国土安全部专家：追踪APT黑客，行为模式比攻击策略更有效

美国国土安全部的IT专家卡森(Casey Kahsen)表示，为了更好地追踪高级攻击团队，美国公司应该观察人类行为的信号，而不是变化的策略。

以那些针对美国能源公司的俄罗斯政府支持型黑客团体为例，他们的攻击行为就有许多相似之处。上周五，卡森在国会山举行的一个网络安全活动上称，虽然这些团体的行为存在不一样，但是其行为要素大体一致，因为行为要素的改变成本比较大。

此次活动由莱克星顿研究所主办，会上卡森说：“这些攻击者正在改变攻击策略；他们打算改变工具。我们需要寻找他们更难以改变的东西——人类行为要素。”

卡森提及的人类行为通常包括一个团体的运作时间或编码风格，网络专家表示这些要素可以给出提示，让追踪者知晓对手是谁。

据国土安全部透露，卡森提到的有莫斯科背景的黑客团体曾针对美国能源和制造公司实施长达两年的攻击活动。攻击者使用鱼叉式钓鱼攻击和水坑攻击收集能源工厂设施中工控系统和安全系统的信息。

卡森在其讲话中表示，这些俄罗斯黑客寻找的文件可以帮助他们更好地了解工控过程。

他以黑客的持久性举例，称黑客会长时间盯紧某个组织的IT网络，直到管理人员打开服务器更新其ICS。攻击者会利用这个修复过程在该组织的IT和运营技术网络之间搭起桥梁。

卡森说，黑客还利用ICS贸易刊物和信息网站对能源公司进行侦查。这样的“分级目标”防不胜防。如果一家公司的IT人员把更新操作外包了出去，我们要如何更好地保护这样的公司呢？

为了更好地应对这类威胁，国土安全部与电力信息共享与分析中心（E-ISAC）这类行业组织展开合作，对带有新型恶意行为的公司发出了警告。

在采访中，电力信息共享与分析中心的主任劳伦斯（Bill Lawrence）称，早在国土安全部的三月声明之前，他们组织就已经留意俄罗斯黑客的行为有好几个月了。不过，此类敏感话题的公共属性需要耗费更长的时间。

劳伦斯称，美国政府需要很长的时间拨乱反正，因为他们只有在证据确凿的时候，才可以指责外国政府。

本文由安全内参翻译自CyberScoop

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。