為了切斷普丁發動戰爭的經濟資源,美國總統拜登宣布禁止俄羅斯石油銷售到美國。然而此舉卻可能讓美國企業面臨來自東方的網路攻擊砲火。
3 月 8 日,美國總統拜登簽署了一項行政命令,禁止俄羅斯的石油、液態天然氣與煤炭銷售至美國。這項禁令獲得了兩黨共同支持,其目的是要切斷普丁對烏克蘭發動戰爭的經濟資源。然而,雖然這項禁令意味著美國升高對俄羅斯的制裁,但也可能使得美國企業更直接地面臨來自東方的網路攻擊砲火。本週二,美國情報圈領導人也在首都舉行的年度聚會 上表達了同樣的關切。美國國家情報總監 (Director of National Intelligence) 艾薇兒·海恩斯 (Avril Haines) 表示:「儘管如此,我們的分析師評估普丁不太可能因為這樣的挫敗而善罷甘休,反而可能變本加厲,基本上應該會雙倍加碼。」
所幸,有關網路資安最佳實務的建議目前仍可維持不變。只要網路資安與情報社群持續團結、彼此分享有關俄羅斯網路攻擊行動的資訊,然後客戶也建置適當的偵測及回應工具,企業機構就能維持強大的防禦能力。
等待轉捩點
到目前為止,俄羅斯國家駭客所發動的網路攻擊與代理攻擊規模並不如預期。我們確實看到持續不斷的 DDoS 攻擊、一波網頁置換攻擊以及各種不同的資料清除惡意程式攻擊,然而這些攻擊主要還是針對烏克蘭機構。可能俄羅斯仍未動用全部的力量,或者烏克蘭的反制攻擊與破壞已發揮效果。根據報導指出,數萬名的網路資安人員已經報名自願協助烏克蘭。此外,「匿名者」駭客集團也出面承認了 多起針對俄羅斯的駭客攻擊。
隨著該地區的實體戰事持續升高,網路方面也可能會有對應的行動,只不過這些行動應該只會針對烏克蘭。不過,就在美國總統發布行政命令之後的這個禮拜,我們很可能看到俄羅斯APT 攻擊 集團或代理組織開始擴大對美國關鍵基礎建設的攻擊。石油與天然氣、銀行、國防等產業,將是最可能遭到攻擊的目標。
我們可以預期什麼?
如果事態真的如此演變,駭客有可能會開始在一些已經遭到入侵的目標或已知含有漏洞的系統上散播一些破壞性惡意程式,如:IsaacWiper、 HermeticWiper 和 WhisperKill 。接著,會看到一些在第一波攻擊中無法被駭客入侵的系統開始遭到 DDoS 或其他大規的模癱瘓性攻擊。此外,駭客平常留著備用的一些零時差漏洞,也可能在這階段被拿出來使用。
除了來自俄羅斯國家駭客的威脅之外,普丁也可能號召其境內的一些「愛國」網路犯罪集團。例如,Conti 和 Lockbit 勒索病毒集團已公開表明支持俄羅斯政府。不過,就在烏克蘭的一名資安研究人員將 Conti 的原始程式碼及其他內部資訊公開之後,Conti 也被迫 在言詞上放低姿態。雖然在克里姆林宮的號召下,他們也許別無選擇,但這次的事件肯定會讓俄羅斯境內的勒索病毒集團有理由在決定加入這場戰爭再次三思。
反擊
只要事情沒有發展到最壞的情況,也就是美國企業機構遭到「大規模」攻擊,那麼一般正常的網路資安最佳實務原則還是依然適用。首先是根據風險程度持續修補系統,並且採用多重認證、網路監控、最低授權原則、資料加密,並且加強網路釣魚(Phishing)防範意識與訓練,以及培養其他良好的網路資安習慣。除此之外,企業機構還必須部署偵測及回應工具 (最好是 XDR) 來交叉關聯所有事件以迅速而精準地發掘高可信度的警示,並優先處理。
整個資安社群,包括政府機關,也應加快情報分享的腳步,同時提升公私部門的威脅追蹤與偵測能力。除此之外,資安營運 (SecOP) 領導人還應該:
- 加強使用者與合作夥伴的教育訓練與資安意識。
- 從非傳統資安來源 (例如供應鏈廠商管理系統) 蒐集一些監測資料。
- 擴大盤點物聯網(IoT ,Internet of Thing)、工業物聯網 (IIoT)、行動裝置以及雲端的受攻擊面。
- 擴充或部署一套零信任架構框架。
- 強化您的資料備份。
原文出處:Will Russian Oil Ban Spur Increased Cyber-Attacks 作者:Ed Cabrera
🔴延伸閱讀:
專門攻擊俄羅斯的 RURansom 資料清除程式
在國際間發生重大事件的不確定時期,如何確保上網安全?
2022 年烏克蘭網路攻擊:網路資安地緣政治
全球網路攻擊:混亂的時代如何妥善管理風險 ?
資安警示:面對全球網路威脅動作頻頻之際的資安改善建議
俄烏衝突升高,網路攻擊也如火如荼