最新報告促請國防承包商採取主動安全措施,應對日益嚴峻的資訊竊取程式威脅
TL;DR
最新報告促請國防承包商採取主動安全措施,應對日益嚴峻的資訊竊取程式威脅
美國國防工業基礎正遭受圍攻。一份全面性的新報告揭示,資訊竊取惡意軟體(簡稱「infostealers」)的使用量出現了危險的急劇上升,這些軟體正系統性地瓦解承包商與政府機構的數位防線。這些攻擊並非隨機發生,而是旨在大規模竊取登入資料的精準打擊。結論是什麼?如果您仍依賴傳統的端點防護來阻擋惡意攻擊者,那麼您已經落後了。現在是時候停止守護邊界,轉而開始保護「身份」了。
數據令人震驚。僅在 2025 年,就有超過 1,110 萬台裝置被此類惡意軟體入侵。這意味著 33 億個個人憑證落入了惡意分子手中,為他們提供了大量可隨時使用的「鑰匙」,用以存取我們最敏感的網路。正如《National Defense Magazine》所指出的,2026 年發現的一個單一資料庫中,就包含了超過 1.49 億個被盜的登入憑證。當敵人擁有如此多可以隨意進出的門戶時,國家基礎設施的安全就不再是理論上的擔憂,而是一場危機。
資訊竊取程式的生命週期機制
那麼,他們是如何做到的?這是一個流暢的四階段操作:感染、暴露、滲透,最後是攻擊。它始於簡單的感染,通常是透過看似無害的連結或檔案。一旦惡意軟體進入機器,它便開始運作,竊取從專有資料到瀏覽器 Cookie 和已儲存密碼的所有內容。這些贓物並不會消失;它們會被打包並在地下市場出售,助長了「惡意軟體即服務」經濟,使得即使是低階威脅行為者也能輕易在國防供應鏈中立足。
一旦他們掌握了您的憑證,就不需要「駭入」您的邊界——他們只需直接登入即可。他們可以繞過防火牆、存取開發時程表,並竊取關鍵國防行動的藍圖。由於此類惡意軟體旨在保持持久性和隱蔽性,傳統的防毒軟體(專注於在端點阻擋惡意檔案)實際上是在徒勞無功地揮舞拳頭。
新的防禦框架
如果舊有的防禦方式已經失效,該如何補救?安全專家正推動轉向「主動身份威脅偵測」。由於資訊竊取程式專門獵取 Session Cookie 和已儲存的瀏覽器憑證,單純強制重設密碼已不足夠。如果攻擊者擁有您的有效工作階段權杖(Session Token),他們就已經身處內部了。
為了扭轉局勢,組織需要專注於在被利用之前消除被盜資料的價值:
- 多重身份驗證 (MFA): 使用強大、基於硬體的 MFA,這是資訊竊取程式難以輕易偽造的。
- 快速工作階段失效 (Rapid Session Invalidation): 如果系統偵測到任何可疑行為的跡象,請立即終止該活動工作階段。不要等待使用者登出。
- 憑證輪替 (Credential Rotation): 不要將密碼視為永久固定不變的。頻繁且自動化的輪替可以縮短攻擊者持有被盜資料的機會窗口。
- 主動監控: 不要等待外洩報告。主動掃描暗網和地下日誌,查看員工的憑證是否已經外洩。
威脅形勢概覽
| 威脅階段 | 對手目標 | 防禦優先級 |
|---|---|---|
| 感染 | 在端點部署惡意軟體 | 端點偵測與回應 (EDR) |
| 暴露 | 竊取憑證/Cookie | 身份監控與威脅獵捕 |
| 滲透 | 存取供應鏈網路 | 工作階段管理與 MFA |
| 攻擊 | 竊取敏感計畫 | 憑證輪替與存取控制 |
對國防工業基礎的現實檢視
針對 美國政府機構與國防承包商 的攻擊行動,是有意削弱我們國家安全體系完整性的行為。這裡最大的障礙不僅是惡意軟體,而是「可視性差距」。大多數承包商在資料出現在犯罪資料庫,或者更糟的是被用於發動下游攻擊之前,根本不知道自己已經被入侵。
轉向以身份為中心的防禦不僅僅是技術上的修補,更是風險管理上的根本轉變。您必須假設每個憑證都已經被洩露。透過實施細緻的存取控制和行為分析,您可以識別合法帳戶何時被用於非法用途。
此外,威脅情報已不再是可選項。透過掌握地下資料外洩的脈動,安全團隊可以在對手意識到自己擁有目標之前,搶先重設帳戶並修補漏洞。這種主動姿態,加上嚴格的工作階段管理,是保護國防領域競爭力所需的開發時程表與專有計畫的唯一途徑。
正如 Flashpoint 報告 所述,這種威脅不會消失。這些惡意軟體平台的自動化意味著攻擊者可以以極低的成本擴大其攻擊規模。為了應對這一點,我們的防禦策略必須具備同樣的可擴展性。我們需要自動化憑證安全,並在整個供應鏈中維持持續、嚴格的身份驗證。
最終,目標是讓攻擊成本高於潛在收益。透過快速失效和持續輪替使被盜憑證失效,我們可以破壞資訊竊取程式的生命週期。這會迫使攻擊者付出更多努力、花費更多成本,最重要的是,增加了他們觸發警報的機率。我們正在擺脫過去靜態、脆弱的邊界,進入一個動態、以身份為中心防禦的新時代。在現代網路戰的世界中,這是保持競爭力的唯一途徑。
