《CERT Polska 2025 年能源產業事件報告》提醒我們,許多網路安全事件並非始於高階技術或未知漏洞,而是源於那些從未被修補的基本弱點。預設的登入憑證、未受監控的存取權限、攻擊者能夠刪除的日誌,以及未涵蓋真正重要系統的備份。
在文中描述的幾起事件中,攻擊者無需費力,環境本身已助長了他們的氣焰。
攻擊行動是如何成形的
該報告概述了多起攻擊者透過常見途徑入侵的事件。釣魚電子郵件、惡意附件、遭入侵的網站以及暴露的服務,都是常見的入侵起點。一旦單一終端裝置遭到入侵,攻擊者便會專注於悄無聲息地移動,並利用合法工具和標準通訊協定進行行動。
人們常認為內部網路中的裝置是安全的。然而,這個假設被證明是錯誤的。網路設備、管理介面及作業系統有時會使用預設或共用憑證進行部署。在少數情況下,攻擊者甚至無需利用漏洞,僅需直接登入即可。
遠端存取也扮演了一定角色。VPN 連線並非總是受到嚴格審查,且不同環境中的驗證控制措施各不相同。一旦連線成功,攻擊者便利用 RDP 連線和 SMB 檔案共享進行橫向移動,混入正常流量中,從而避免立即被偵測到。
為何預設憑證仍是最大的風險之一
預設憑證仍是可避免的風險之一,然而在實際事件中仍屢見不鮮。該報告明確指出,這不僅僅是面向網際網路的設備所面臨的問題。內部系統——包括營運技術(OT)元件和管理伺服器——也存在憑證未變更或管理員權限過大的情況。
攻擊者首先會尋找這些漏洞。一旦發現,他們便能迅速且悄無聲息地取得控制權。
變更預設憑證、限制共用帳戶,以及落實特權存取的問責機制,並非進階措施,而是基本原則。一旦這些措施缺失,其他所有工作都會變得更加困難。
事後才發現已經太遲了
值得注意的是,在某些情況下,端點安全工具確實偵測到了惡意活動。這有助於將損害控制在一定範圍內。然而,這類偵測往往是在惡意軟體已經開始執行之後才發生。
一旦惡意軟體執行,攻擊者便能竊取憑證、修改設定,並建立持久性。屆時,應對措施將變得更加複雜且更具破壞性。
該報告強調了在檔案執行前進行檢查的重要性。電子郵件附件、下載檔案以及透過可移除儲存裝置導入的檔案,都應在進入作業系統之前進行掃描與清理。在威脅進入系統的入口處加以阻擋,可減少日後進行清理的必要性。
監控攻擊者實際使用的手段
報告中描述的幾起事件涉及的是橫向移動,而非花俏的漏洞利用:例如系統間的 RDP 連線、用於傳輸工具的 SMB 共用資料夾,以及隨時間推移逐漸打開後門的小幅配置變更。
監控內部通訊至關重要。相較於對外網路活動,東西向流量往往較少受到關注,然而一旦攻擊者滲透進系統內部,他們便會將大部分時間花在這裡。
配置變更同樣值得高度重視。Firewall 、VPN 設定及 Active Directory 權限不應在無人察覺的情況下被修改。組織需要清楚掌握哪些內容被變更、由誰進行變更,以及變更的原因。意外的變更往往是系統遭入侵的最早徵兆。
日誌與備份:攻擊者試圖破壞的環節
該報告還揭示了攻擊者如何鎖定日誌記錄與復原流程。在某些事件中,日誌遭到刪除或篡改,導致調查進度受阻,並限制了對事件經過的了解。
稽核日誌應轉發至安全的位置,以確保攻擊者無法修改或刪除這些日誌。理想情況下,日誌應僅朝單一方向傳輸。若攻擊者能夠刪除日誌,便能掩蓋其行蹤。
備份工作同樣需要細心處理。許多組織雖然會備份設定檔,卻往往忽略了韌體、完整系統映像檔以及終端裝置的狀態。一旦韌體或系統二進位檔遭到入侵,僅靠設定檔備份是遠遠不夠的。乾淨的韌體、伺服器備份以及可信的終端裝置映像檔,對於系統復原至關重要。
真正的啟示
CERT Polska 的報告並未描述因缺乏工具而導致的失敗,而是描述了因忽視基本原則而導致的失敗,例如:
- 預設的憑證仍保留在原處。
- 遠端存取未受到全面監控。
- 日誌存放在攻擊者能夠接觸到的位置。
- 惡意軟體是在其開始運作後才被偵測到的。
值得慶幸的是,部分攻擊在造成重大干擾之前已被偵測到。但運氣並非可控因素。
能源機構必須在攻擊鏈的更早期階段降低風險——在惡意軟體執行之前、在憑證遭濫用之前,以及在攻擊者來得及掩蓋蹤跡之前。這份報告清楚指出:攻擊者正利用可預測的途徑。這意味著防禦方能夠封堵這些途徑。
這些修正措施雖不新奇,但卻刻不容緩。
不要等到惡意軟體執行後才採取行動。瞭解如何 OPSWAT MetaDefender 如何在檔案抵達您的關鍵系統之前進行掃描與淨化,從而於入口點阻擋威脅。
