CISA 紅隊演練，入侵政府機構五個月沒人發現

政府機構常是駭客攻擊目標，美國網路安全和基礎設施安全局（CISA）負責安全防衛，但去年紅隊演練（Red Teaming）入侵行動，目標政府機構竟然五個月過去沒人發現被入侵。

CISA 表示，2023 年進行 SILENTSHIELD 紅隊演練評估，未先通知就入侵聯邦民間行政部門（FCEB）機構，模擬長期敵對國家組織行動。紅隊利用目標機構 Oracle Solaris 系統未修補漏洞（CVE-2022-21587，CVSS 評分 9.8）取得初級權限，再入侵整個系統。

紅隊取得 Solaris 系統存取權限後，無法直接進入 Windows 網路，改為釣魚攻擊目標機構成員，成功進入 Windows 網路，植入持久性遠距木馬（RAT），還發現未受保護的管理員憑證，代表被評估機構很容易被掌握。

且測試五個月內，目標 FCEB 機構完全沒發現或修復任何 SILENTSHIELD 活動，直到 CISA 披露。CISA 說與機構安全團隊和系統管理員舉行每週會議，「已知技術反應時間和基於行為的檢測可衡量改進」，主要問題就是機構記錄收集「效率低下且無效」。

FCEB 機構需採縱深防禦原則，即多層檢測和分析以完整防衛。CISA 建議網路分段，過度依賴已知入侵指標（IoC）相當危險。也呼籲採「安全設計」原則，不要用預設密碼、提供用戶免費紀錄，並要求供應商與 SIEM 和 SOAR 供應商合作，充分利用紀錄。

• CISA broke into a US federal agency, and no one noticed for a full 5 months

（本文由 Unwire Pro 授權轉載；首圖來源：Flickr/Blogtrepreneur CC BY 2.0）