返回列表
摘要
2024年12月8日,美国财政部遭遇了一起重大网络安全事件,黑客通过第三方远程管理软件公司BeyondTrust的系统入侵了财政部的网络,远程访问了财政部员工的工作站和部分未分类文件。
BeyondTrust是一家提供特权访问管理(PAM)和远程支持服务的公司。此次事件暴露了其远程支持产品的安全漏洞,尽管该公司声称已采取措施修复漏洞并加强安全措施。
(一)安全密钥泄露:攻击者获取了BeyondTrust用于保护其远程支持服务的API密钥,该密钥用于确保云服务的安全性。
(二)绕过安全措施:通过窃取的密钥,攻击者能够破坏服务的安全性,远程访问财政部的工作站和非机密文件。
(一)BeyondTrust的响应:BeyondTrust在12月8日发现异常行为后,立即撤销了被泄露的API密钥,暂停了相关服务实例,并通知了受影响的客户,包括美国财政部。
(二)财政部的行动:财政部在接到通知后,立即停止了BeyondTrust的服务,并与网络安全和基础设施安全局(CISA)、联邦调查局(FBI)以及第三方调查人员合作,展开调查。
(一)数据泄露:攻击者访问了财政部员工的工作站和部分未分类文件,可能导致敏感信息泄露。
(二)系统中断:受影响的BeyondTrust服务被下线,可能对财政部的日常运营造成一定影响。
(三)声誉损害:事件引发了公众对财政部数据保护能力的质疑,尤其是对供应链安全的担忧。
定性为“重大事件”:根据《联邦信息安全和现代化法案》,此次事件被归类为“重大网络安全事件”,财政部需在30天内提交补充报告。
美国财政部根据现有指标,将此次攻击归因于“中国支持的高级持续性威胁(APT)组织”。中国外交部发言人毛宁否认了美方的指控,称中国坚决反对一切形式的网络攻击,并指责美方在缺乏证据的情况下对中国进行抹黑。此外,BeyondTrust的客户名单广泛,攻击者可能还针对其他客户进行了类似攻击。
此次事件暴露了第三方服务提供商在网络安全中的潜在风险。尽管美国财政部迅速采取了应对措施,但事件的影响仍在评估中。事件的根本原因在于密钥管理不善、供应链安全评估不足以及高级持续性威胁(APT)的高度复杂性。政府和企业应该加强供应链安全审计、优化特权访问管理(如实施零信任架构和多因素认证)、提升威胁监测与响应能力。
深圳市网安计算机安全检测技术有限公司(公安部一所深圳网防服务中心) 观点:
(一)加强供应商审查:对第三方供应商进行严格的安全审查,确保其符合安全标准,并定期评估其安全状况。
(二)实施零信任架构:采用零信任架构,确保即使内部系统被渗透,攻击者也无法轻易获取敏感数据。
(三)定期安全评估:定期对供应链进行安全评估,及时发现和修复潜在漏洞。
(四)数据加密与备份:对敏感数据进行加密存储和传输,并定期备份重要数据,以减少数据泄露和业务中断的风险。
(五)应急响应计划:制定详细的应急响应计划,确保在发生安全事件时能够迅速反应,减少损失。
