最新報告呼籲國防承包商採取主動安全措施,以應對日益嚴峻的資訊竊取軟體威脅
TL;DR
最新報告呼籲國防承包商採取主動安全措施,以應對日益嚴峻的資訊竊取軟體威脅
美國國防工業基礎正遭受圍攻。一份全面性的新報告揭露,資訊竊取軟體(簡稱「Infostealer」)的使用量出現了危險的激增,這些惡意軟體正系統性地瓦解承包商與政府機構的數位防禦。這不僅是隨機攻擊,而是旨在大規模竊取登入資料的精準打擊。結論是什麼?如果您仍依賴傳統的端點防護來阻擋駭客,那麼您已經落後了。現在是時候停止防守邊界,轉而開始保護「身分」了。
數據令人震驚。僅在 2025 年,就有超過 1,110 萬台裝置受到此類惡意軟體感染。這意味著 33 億筆個人憑證已落入惡意分子手中,為他們提供了大量可直接使用的「鑰匙」,足以開啟我們最敏感的網路。正如《National Defense Magazine》所指出的,2026 年發現的一個單一資料庫中,就包含超過 1.49 億筆被竊的登入憑證。當敵人擁有如此多可以隨意進出的門戶時,國家基礎設施的安全就不再是理論上的擔憂,而是一場危機。
資訊竊取軟體的生命週期機制
那麼,他們是如何做到的?這是一個精密的四階段運作:感染、暴露、滲透,最後是攻擊。一切始於簡單的感染,通常是透過看似無害的連結或檔案。一旦惡意軟體進入機器,它便開始運作,竊取從專有資料到瀏覽器 Cookie 和儲存密碼的所有資訊。這些贓物不會消失,而是被打包並在地下市場販售,助長了「惡意軟體即服務 (Malware-as-a-Service)」的經濟模式,讓低階威脅行為者也能輕易在國防供應鏈中立足。
一旦他們掌握了您的憑證,就不需要「駭入」您的邊界,他們只需直接登入即可。他們可以繞過防火牆、存取開發時程表,並竊取關鍵國防行動的藍圖。由於此類惡意軟體旨在保持持久性與隱蔽性,傳統專注於在端點阻擋惡意檔案的防毒軟體,實際上只是在對著影子揮拳。
全新的防禦框架
如果舊有的方式已經失效,該如何補救?安全專家正推動轉向「主動式身分威脅偵測」。由於資訊竊取軟體專門搜尋 Session Cookie 和儲存的瀏覽器憑證,單純強制重設密碼已不足夠。如果攻擊者擁有您有效的 Session Token,他們就已經在系統內部了。
為了扭轉局勢,組織需要專注於在被利用前,先抵銷被竊資料的價值:
- 多因素驗證 (MFA): 使用資訊竊取軟體難以偽造的強大硬體式 MFA。
- 快速工作階段失效 (Rapid Session Invalidation): 若系統偵測到任何可疑行為跡象,應立即終止該有效工作階段,無需等待使用者登出。
- 憑證輪替 (Credential Rotation): 不要將密碼視為永久固定。頻繁且自動化的輪替可縮短攻擊者持有被竊資料的獲利窗口。
- 主動監控: 不要等待外洩報告。主動掃描暗網與地下日誌,確認員工憑證是否已外洩。
威脅態勢一覽
| 威脅階段 | 對手目標 | 防禦優先級 |
|---|---|---|
| 感染 | 在端點部署惡意軟體 | 端點偵測與回應 (EDR) |
| 暴露 | 竊取憑證/Cookie | 身分監控與威脅獵捕 |
| 滲透 | 存取供應鏈網路 | 工作階段管理與 MFA |
| 攻擊 | 竊取敏感計畫 | 憑證輪替與存取控制 |
國防工業基礎的現實檢核
針對 美國政府機構與國防承包商 的攻擊行動,是有意削弱我們國家安全體系完整性的行為。這裡最大的障礙不僅是惡意軟體,而是「可視性缺口」。大多數承包商在資料出現在犯罪資料庫,或更糟的情況——被用於發動下游攻擊之前,根本不知道自己已經被入侵。
轉向以身分為中心的防禦不僅是技術上的升級,更是風險管理上的根本轉變。您必須假設每個憑證都已經外洩。透過實施細粒度的存取控制與行為分析,您可以偵測到合法帳號何時被用於非法用途。
此外,威脅情報已不再是選配。透過掌握地下資料外洩的脈動,安全團隊可以在對手意識到擁有目標之前,搶先重設帳號並修補漏洞。這種主動姿態,結合嚴格的工作階段管理,是保護國防產業競爭力所需的開發時程與專有計畫的唯一途徑。
正如 Flashpoint 報告所言,此威脅不會消失。這些惡意軟體平台的自動化意味著攻擊者可以以極低成本擴大攻擊規模。為了反制,我們的防禦策略必須具備同樣的可擴展性。我們需要自動化憑證安全,並在整個供應鏈中維持持續且嚴格的身分驗證。
最終目標是讓攻擊成本高於潛在收益。透過快速失效與持續輪替,使被竊憑證失去效用,我們可以破壞資訊竊取軟體的生命週期。這會迫使攻擊者付出更多努力、投入更多成本,最重要的是,增加了他們觸發警報的機率。我們正從過去靜態、脆弱的邊界防禦,邁向一個動態、以身分為核心的防禦新時代。在現代網路戰爭的世界中,這是留在戰場上的唯一方法。
