馬克·波默羅
美國國家安全局和網絡司令部的綜合網絡中心和聯合作戰中心。(國家安全局)華盛頓消息:當黑客突破五角大樓的網絡防禦系統時,精英威脅搜尋小組的工作就是尋找入侵者或破壞者。
最近,在一些專家和國會議員認為太陽風網絡攻擊可能是美國歷史上規模最大的黑客和網絡間諜活動之後,美國網絡司令部部署了網絡團隊,以檢查軍事網絡是否存在被攻擊的跡象。
五角大樓迄今沒有發現證據表明這種敏感性影響了國防部的網絡。美國網絡司令部發言人卡特裡娜·切斯曼上尉說:「我們的軟體供應鏈資源的一部分已經披露了他們系統中的漏洞,但是我們沒有跡象表明國防部已經受到威脅。」
但是團隊仍在尋找可能受到的損害。
儘管該部門沒有分享有關防禦性網絡保護團隊如何工作的許多細節,但威脅獵人使用的一種常見策略是密切監視網絡中是否存在任何奇怪的行為或活動,例如奇怪的登錄時間或使用不尋常的軟體。
網絡用戶在日常日常活動之外採取其他措施,那就可能是黑客,防禦團隊必須將其阻擋在計算機系統之外,有時會直接與活躍的侵入者「面對面」對抗,以通過虛擬的近距離交戰來拒絕訪問。
在最新的漏洞中,美國指責俄羅斯在政府供應商SolarWinds提供的軟體更新中植入了惡意代碼,從而得以對聯邦網絡數月來前所未有的訪問。
《華爾街日報》在2021年1月29日的一篇文章中報導說,這種滲透已經超出了軟體供應商的範圍,黑客通過各種方式訪問網絡,其中包括美國網絡安全和基礎設施安全局的估計,其中30%的受影響企業和政府部門沒有與SolarWinds的直接連結。
切斯曼說,到目前為止,還沒有要求美國網絡司令部的團隊協助違反聯邦法規的機構,但是如果得到授權,他們會這樣做。五角大樓的網絡部隊中,網絡保護團隊共有68個,對他們的需求始終很高,他們需要在整個DoD信息網絡中協助開展活動。全世界的員工都在使用DODIN,它是數千個本地網絡的複雜集合,從發送實時信息到戰鬥人員到存儲基本人員數據,應有盡有。
網絡保護小組處於美國國防部的網絡防禦前線,但他們主要是作為響應力量,直到敵方破壞網絡時,他們才參與其中。
發生違規時,團隊將使用專門的工具包前往問題現場,這些工具包包括筆記本電腦,小型伺服器,無源和有源傳感器,分析能力和軟體工具的組合。
他們與運行網絡的本地IT人員合作,以了解特定網絡的日常運營的獨特品質。這些小組幫助尋找惡意活動,消除所有纏擾的入侵者,並向當地人員推薦如何重建更強大的網絡防禦。
每個團隊有39名成員,但他們部署在較小的單元中以傳播專業知識,並通過積極的行動,重組和培訓進行輪換。
熟悉網絡保護團隊工作的網絡專家針對C4ISRNET描述了單位如何應對假設的違規行為,一些專家匿名共享見解,因為他們無權公開談論此問題。
如果網絡保護團隊(CPT)看到對手仍然在網絡上,他們將通過更改憑據和阻止後門之類的訪問方法來阻止黑客,然後確定參與者獲得了哪些信息。這些團隊可能必須在網絡內建立故意的防禦,設置封鎖來破壞對手並將其逼入網絡的某些部分。這樣可以提高他們查看黑客活動或直接與他們對抗的能力。
團隊的第一步可能是控制攻擊媒介,確定哪些機器或網段運行惡意軟體。從那裡開始,指揮官優先搜尋網絡中最高和最敏感的資產或部分。例如,與核指揮控制基礎設施一起工作的系統將是重中之重。
需要高端的網絡獵人,因為高端參與者會使用各種工具來混淆他們的活動,例如使用憑據和特權來看起來像管理員或合法用戶。CPT將嘗試通過更改憑據和密碼來鎖定參與者,這是一個艱苦的過程,需要檢查網絡的各個角落,所有合法用戶和憑據。
由於最近的違規行為,行為體們的活動是如此隱秘,他們成功地掩蓋了自己的活動,使其看起來像合法用戶。這是獵人必須了解內部和外部網絡進程的地方,包括正在運行的伺服器和正在運行這些進程的系統級別。他們的取證過程可能會將他們帶入網絡日誌以進行分析。
這些獵人仔細地尋找絲毫異常行為。許多消息人士稱,該技能是培訓網絡戰士以聯合標準學習攻擊和防禦的好處。
美國陸軍上校安德魯·霍爾(Andrew Hall)說:「您花時間嘗試作為一個進攻者在網絡上工作的時間將幫助您了解您可能想在哪裡防守。」「現在,他們可能會使用與您不同的技術,因此您可能不會找到與您完全相同的東西,但您會從雙方的角度去思考。」
但是,最近黑客入侵的範圍使獵人很難知道在哪裡尋找。考慮到政府和國防部內部易受攻擊的軟體的廣泛使用,以及行動者被隱藏起來的程度,專家們表示,發現任何損害的程度可能要花費幾個月的時間。