極客網(wǎng)·企業(yè)級(jí)IT 8月15日 全球IT、網(wǎng)絡(luò)和網(wǎng)絡(luò)安全解決方案巨頭思科于8月10日承認(rèn),該公司在2022年5月下旬遭受了針對(duì)其企業(yè)IT基礎(chǔ)設(shè)施的安全事件。
在網(wǎng)絡(luò)攻擊者控制了一名員工的個(gè)人谷歌賬戶后,其憑證被盜用,而保存在其瀏覽器中的數(shù)據(jù)也被同步。網(wǎng)絡(luò)攻擊者將這起安全事件中竊取的文件發(fā)布到了暗網(wǎng)。
不過(guò)該公司表示:“這一安全事件已被控制在我們的企業(yè)IT環(huán)境中,沒有發(fā)現(xiàn)對(duì)任何思科產(chǎn)品或服務(wù)、敏感客戶數(shù)據(jù)或員工信息、思科的知識(shí)產(chǎn)權(quán)以及供應(yīng)鏈運(yùn)營(yíng)造成任何影響?!?/p>
思科聲稱,已經(jīng)采取行動(dòng)進(jìn)行遏制并根除網(wǎng)絡(luò)攻擊的侵入,并猜測(cè)這可能與臭名昭著的威脅組織LAPSUS$團(tuán)伙有關(guān)。之所以決定現(xiàn)在公開宣布這起事件,是因?yàn)橹罢诜e極收集有關(guān)不良行為者的信息,以幫助保護(hù)安全社區(qū)。
網(wǎng)絡(luò)攻擊者采用“復(fù)雜的語(yǔ)音網(wǎng)絡(luò)釣魚”策略
這起安全事故到底是如何發(fā)生的呢?極客網(wǎng)了解到,在這一安全事件的執(zhí)行摘要中,思科安全事件響應(yīng)(CSIRT)團(tuán)隊(duì)Cisco Talos指出:“網(wǎng)絡(luò)攻擊者以各種受信任的組織的名義進(jìn)行了一系列復(fù)雜的語(yǔ)音網(wǎng)絡(luò)釣魚攻擊,試圖說(shuō)服受害者接受由攻擊者發(fā)起的多因素身份驗(yàn)證(MFA)推送通知。攻擊者成功實(shí)現(xiàn)了多因素身份驗(yàn)證(MFA)推送接受,最終授予他們?cè)谀繕?biāo)用戶場(chǎng)景中訪問VPN的權(quán)限?!?nbsp;
在獲得初始訪問權(quán)限后,網(wǎng)絡(luò)攻擊者采取了一些措施以維護(hù)其訪問權(quán)限,最大限度地減少取證,并提高他們對(duì)環(huán)境中系統(tǒng)的訪問級(jí)別。 “在整個(gè)攻擊過(guò)程中,我們觀察到了網(wǎng)絡(luò)攻擊者從環(huán)境中竊取信息的嘗試行為。確認(rèn)攻擊期間唯一成功的數(shù)據(jù)過(guò)濾包括與受損員工帳戶相關(guān)的Box文件夾的內(nèi)容和active directory中的員工身份驗(yàn)證數(shù)據(jù)。
思科安全團(tuán)隊(duì)繼續(xù)說(shuō)道,在這種情況下,他們獲得的Box數(shù)據(jù)并不敏感。我們已經(jīng)成功從運(yùn)營(yíng)環(huán)境中移除網(wǎng)絡(luò)攻擊者。雖然他們?cè)诔晒M(jìn)行網(wǎng)絡(luò)攻擊之后的幾周內(nèi)多次嘗試重新獲得訪問權(quán)限,然而這些嘗試都沒有成功。”
該團(tuán)隊(duì)還指出,網(wǎng)絡(luò)攻擊反復(fù)向與思科的執(zhí)行成員發(fā)送電子郵件尋求通信,但沒有提出任何具體的威脅或勒索要求。也沒有發(fā)現(xiàn)任何證據(jù)表明網(wǎng)絡(luò)攻擊者可以訪問思科關(guān)鍵內(nèi)部系統(tǒng),例如與產(chǎn)品開發(fā)和代碼簽名相關(guān)的系統(tǒng)。
一起與LAPSUS$威脅團(tuán)伙相關(guān)的攻擊
思科以“中等到高度的信心”進(jìn)行評(píng)估,此次攻擊是由一個(gè)先前被確定為與UNC2447網(wǎng)絡(luò)犯罪團(tuán)伙、LAPSUS$威脅參與者團(tuán)體以及Yanluowang勒索軟件運(yùn)營(yíng)商有聯(lián)系的初始訪問代理(IAB)進(jìn)行的。
思科在一份聲明指出,“在我們的調(diào)查過(guò)程中發(fā)現(xiàn)的一些技術(shù)、工具和程序(TTP)_與LAPSUS$的那些TTP相匹配……據(jù)報(bào)道,該團(tuán)伙曾對(duì)此前數(shù)起重大的企業(yè)違規(guī)事件負(fù)責(zé)。UNC2447是出于經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)攻擊者,此前曾觀察到他們進(jìn)行勒索軟件攻擊,并利用雙重勒索的技術(shù)。而先前的調(diào)查表明,已經(jīng)觀察到UNC2447采用各種勒索軟件,其中包括FIVEHANDS、HELLOKITTY等?!?nbsp;
然而,思科表示在此次攻擊中沒有觀察到網(wǎng)絡(luò)攻擊者采用或部署勒索軟件。該公司指出,“每次網(wǎng)絡(luò)安全事件都是一次學(xué)習(xí)機(jī)會(huì),將會(huì)增強(qiáng)我們的應(yīng)變能力,并幫助更廣泛的安全社區(qū)。思科通過(guò)觀察網(wǎng)絡(luò)攻擊者采用的技術(shù)、與其他方共享妥協(xié)指標(biāo)(IOC)、與執(zhí)法部門和其他合作伙伴聯(lián)系獲得的情報(bào)更新了其安全產(chǎn)品。”
據(jù)悉,思科在事后實(shí)施了全公司范圍的密碼重置。
加強(qiáng)MFA、設(shè)備驗(yàn)證和網(wǎng)絡(luò)分段以降低風(fēng)險(xiǎn)
思科建議客戶和企業(yè)采取措施降低與此事件相關(guān)的風(fēng)險(xiǎn),包括加強(qiáng)多因素身份驗(yàn)證(MFA)、設(shè)備驗(yàn)證和網(wǎng)絡(luò)分段。
同時(shí)思科還指出,鑒于網(wǎng)絡(luò)攻擊者在使用多種技術(shù)獲得初始訪問權(quán)限方面表現(xiàn)出的熟練程度,對(duì)用戶進(jìn)行安全教育也是應(yīng)對(duì)多因素身份驗(yàn)證(MFA)繞過(guò)技術(shù)的關(guān)鍵部分。與實(shí)施多因素身份驗(yàn)證(MFA)同樣重要的是確保員工接受安全培訓(xùn),讓他們了解如果在手機(jī)上收到錯(cuò)誤的推送請(qǐng)求采取的應(yīng)對(duì)措施以及如何響應(yīng)。如果確實(shí)發(fā)生此類事件,還必須讓員工了解與誰(shuí)聯(lián)系,以幫助確定該事件是技術(shù)問題還是惡意事件。
思科補(bǔ)充說(shuō),通過(guò)對(duì)設(shè)備狀態(tài)實(shí)施更嚴(yán)格的控制來(lái)限制或阻止來(lái)自非托管或未知設(shè)備的注冊(cè)和訪問,實(shí)施強(qiáng)大的設(shè)備驗(yàn)證將會(huì)受益。這其中,網(wǎng)絡(luò)分段是企業(yè)應(yīng)采用的另一項(xiàng)重要安全控制措施,因?yàn)樗鼮楦邇r(jià)值資產(chǎn)提供了增強(qiáng)的保護(hù),并在網(wǎng)絡(luò)攻擊者能夠獲得對(duì)環(huán)境的初始訪問權(quán)限的情況下實(shí)現(xiàn)更有效的檢測(cè)和響應(yīng)能力。
思科還指出,集中式日志收集有助于最大程度地減少網(wǎng)絡(luò)攻擊者采取主動(dòng)措施從系統(tǒng)中刪除日志時(shí)導(dǎo)致的可見性不足。確保集中收集端點(diǎn)生成的日志數(shù)據(jù),并分析異?;蛎黠@的惡意行為,可以在網(wǎng)絡(luò)攻擊發(fā)生時(shí)提供一些早期提示。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- IDC:三季度全球以太網(wǎng)交換機(jī)收入同比下降7.9%、環(huán)比增長(zhǎng)6.6%
- Fortinet李宏凱:2025年在中國(guó)大陸啟動(dòng)SASE PoP節(jié)點(diǎn)部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬(wàn)
- 央國(guó)企采購(gòu)管理升級(jí),合合信息旗下啟信慧眼以科技破局難點(diǎn)
- Apache Struts重大漏洞被黑客利用,遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)加劇
- Crunchbase:2024年AI網(wǎng)絡(luò)安全行業(yè)風(fēng)險(xiǎn)投資超過(guò)26億美元
- 調(diào)查報(bào)告:AI與云重塑IT格局,77%的IT領(lǐng)導(dǎo)者視網(wǎng)絡(luò)安全為首要挑戰(zhàn)
- 長(zhǎng)江存儲(chǔ)發(fā)布聲明:從無(wú)“借殼上市”意愿
- 泛微·數(shù)智大腦Xiaoe.AI正式發(fā)布,千人現(xiàn)場(chǎng)體驗(yàn)數(shù)智化運(yùn)營(yíng)場(chǎng)景
- IDC:2024年第三季度北美IT分銷商收入增長(zhǎng)至202億美元
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。