最新报告敦促国防承包商采取主动安全措施,以应对日益严重的窃密软件威胁
TL;DR
最新报告敦促国防承包商采取主动安全措施,以应对日益严重的窃密软件威胁
美国国防工业基础正处于被围困的状态。一份全面且最新的报告揭示,信息窃取软件(简称“窃密软件”或“infostealers”)的使用量急剧增加,正系统性地瓦解承包商和政府机构的数字防御。这些攻击并非随机事件,而是旨在大规模窃取登录数据的精准打击。结论显而易见:如果您仍依赖传统的端点保护来抵御攻击者,那么您已经落后了。现在是时候停止仅仅守护边界,转而开始保护身份安全了。
数据令人震惊。仅在 2025 年,就有超过 1110 万台设备受到此类恶意软件的侵害。这意味着 33 亿个个人凭据现已落入恶意行为者手中,为他们提供了大量可直接使用的“钥匙”,用以进入我们最敏感的网络。正如 《国防杂志》(National Defense Magazine) 所指出的,2026 年发现的一个数据库中就包含了超过 1.49 亿个被盗登录凭据。当敌人拥有如此多可以随意进出的“门”时,国家基础设施的安全就不再是一个理论上的担忧,而是一场真正的危机。
窃密软件的生命周期机制
那么,他们是如何做到的呢?这是一个流畅的四阶段操作:感染、暴露、渗透,最后是攻击。它始于简单的感染,通常通过看似无害的链接或文件。一旦恶意软件进入机器,它便开始工作,窃取从专有数据到浏览器 Cookie 和保存的密码等一切信息。这些赃物并不会消失,而是被打包并在地下市场出售,助长了 恶意软件即服务 (malware-as-a-service) 的经济模式,使得即使是低水平的威胁行为者也能轻易在国防供应链中站稳脚跟。
一旦他们掌握了您的凭据,就不再需要“黑入”您的边界——他们只需直接登录即可。他们可以绕过防火墙,访问开发时间表,并带走关键国防行动的蓝图。由于这种恶意软件旨在实现持久化和隐蔽性,传统的杀毒软件(侧重于在端点处拦截恶意文件)实际上是在做无用功。
全新的防御框架
如果旧的方法已经失效,那么解决之道是什么?安全专家正推动向主动身份威胁检测转型。由于窃密软件专门搜寻会话 Cookie 和保存的浏览器凭据,仅仅强制重置密码是不够的。如果攻击者拥有您的活动会话令牌,他们就已经进入了系统。
为了扭转局面,组织需要专注于在被利用之前中和被盗数据的价值:
- 多因素身份验证 (MFA): 使用窃密软件难以轻易伪造的、基于硬件的强 MFA。
- 快速会话失效: 如果系统检测到任何可疑行为的迹象,应立即终止活动会话,不要等待用户注销。
- 凭据轮换: 不要将密码视为永久固定不变的凭据。频繁的自动轮换可以缩短攻击者持有被盗数据的时间窗口。
- 主动监控: 不要坐等违规报告。主动扫描暗网和地下日志,查看员工的凭据是否已经泄露。
威胁态势一览
| 威胁阶段 | 对手目标 | 防御优先级 |
|---|---|---|
| 感染 | 在端点部署恶意软件 | 端点检测与响应 |
| 暴露 | 窃取凭据/Cookie | 身份监控与威胁搜寻 |
| 渗透 | 访问供应链网络 | 会话管理与 MFA |
| 攻击 | 窃取敏感项目 | 凭据轮换与访问控制 |
国防工业基础的现实检验
针对 美国政府机构和国防承包商 的攻击活动,是削弱我国国家安全机构完整性的蓄意尝试。这里最大的障碍不仅仅是恶意软件,而是可见性差距。大多数承包商在数据出现在犯罪数据库中,或者更糟糕的是被用于发起下游攻击之前,根本不知道自己已经被入侵。
转向以身份为中心的防御不仅仅是技术上的修补,更是风险管理模式的根本转变。您必须假设每个凭据都已经泄露。通过实施细粒度的访问控制和行为分析,您可以识别合法账户何时被用于非法用途。
此外,威胁情报不再是可选项。通过密切关注地下数据泄露情况,安全团队可以在对手意识到自己拥有目标之前就抢占先机,重置账户并修补漏洞。这种主动姿态,配合严格的会话管理,是保护国防部门保持竞争力的开发时间表和专有项目的唯一途径。
正如 Flashpoint 报告 所明确指出的,这种威胁不会消失。这些恶意软件平台的自动化意味着攻击者可以以极低的成本扩大攻击规模。为了应对这一点,我们的防御策略必须具备同样的可扩展性。我们需要实现凭据安全自动化,并在整个供应链中保持持续、严格的身份验证。
最终目标是使攻击成本高于潜在收益。通过快速失效和持续轮换使被盗凭据失效,我们可以破坏窃密软件的生命周期。这迫使攻击者付出更多努力、投入更多成本,最重要的是,增加了他们触发警报的几率。我们正在告别过去静态、脆弱的边界,进入一个动态的、以身份为中心的防御新时代。在现代网络战的世界里,这是保持战斗力的唯一途径。
