这次美国电信业遭中国骇客入侵的事件,虽然完整调查尚未出炉,但很可能涉及网路设备设定不当的状况,这是因为,美国、加拿大、澳洲、纽西兰的国家网路安全机构,在12月4日联合公布「通讯基础建设强化指南」,当中有一部分,是强调思科产品的安全设定。
2024年12月3日,美国、加拿大、澳洲和纽西兰国家网路安全机构联合发布防护指引,名为「增强电信通讯基础设施可视性与防护指南」,目的是呼吁大家重视中国资助的骇客组织已成功渗透多家全球主要电信公司,并发动大规模网路间谍活动,因此提供最佳实践,帮助电信公司的网路工程与防御人员强化资安防护。
防护建议有两大重点:思科网路装置管理与网路监控强化
关于这份防护指南的内容,我们首先找到趋势科技资深威胁研究员陈健宏,请他谈谈有哪些重点。
陈建宏表示,指引中提及多项管理与防御措施,许多是常见基本要求,值得注意的有两大方面:一是关于思科网路装置,一是关于网路监控。
首先,在这份指引文件后半部提到的「Cisco网路装置」部分,几乎都是围绕在安全设定而来。陈建宏指出,这份指引中列出了具体的项目,可帮助电信业一一去检查的项目,例如,不要设定太弱的密码,不要暴露让外部可以直接存取等。
具体而言,CISA建议用户应使用思科的「Type-8密码」,来保护装置配置档中的管理员登入密码等凭证,这个Type-8密码采用PBKDF2作为基础演算法,可使暴力破解变得更加困难。同时,他们也建议不要使用老旧的Type-5、Type-7密码。
其他重要的安全防护建议,还包括:关闭思科的智慧安装服务(vstack),若非必要、应停用guestshell存取,停用Telnet连线并确保在任何VTY线路上都不可用等,以及禁用所有未加密的Web管理功能。
第二个重点,是这份指引文件前半部提到的「监控」。陈建宏强调,网路设备需要集中管理并做好保护,并要持续对网路设备的配置变更做好监控,避免骇客入侵其中一台网路设备,就可以轻易变更其设定配置,或是配置遭到修改。
简单而言,CISA在监控方面的建议有6大层面,包括:(一)需要集中储存配置并从中央部署到设备端,同时需要监控并测试这些配置;(二)部署流量监控解决方案,将流量收集器设置于关键出入口,(三)不要让管理流量直接暴露于网际网路。(四)同时监控内部外部帐号登入,确保每次登入都是合法、符合规范的操作。(五)实施集中式日志记录管理,采用自动化安全分析SIEM工具;(六)确保设备与韧体及时更新。
不过,趋势科技威胁研究团队认为,电信业遭骇的调查难度大,加上这些骇客仍潜伏在电信环境之内,因此美国现在也不愿透露更多资讯。就目前状况来看,还是要等调查结果完整公布,才能进一步确认问题环节。但同时有好几家电信业者被入侵的状况,很有可能是几家电信业先被入侵,攻击者再移动至其他电信业者。
呼吁重视边缘装置安全问题
对于这份防护指引,杜浦数位安全(TeamT5)技术长李庭阁,同样认为这是一份很实务面的参考,有条理的列出各项重点,让电信业知道要做哪些事情,尤其是在网路监控部分。
但他想提醒国内的是,这对大公司、大型资安团队而言,是一份很务实的指南,但台湾有许多公司缺乏资安投资与人力,尽管台湾整个资安环境已在逐步提升,只是还有进步空间。不过,这些最佳实践仍然可以当作参考,可以得到很多启发。
李庭阁并指出,现在骇客攻击的主流方式,是从边际网路设备开始入侵,这点特别要注意。像是民众使用的路由器装置也都要注意,若是疏于管理,一直处于预设、不安全的状态,同样会是一大风险。