美国土安全部网络专家：行为模式是追踪 APT 组织的更好方式

翻译：360代码卫士团队

美国国土安全部的一名 IT 专家 Casey Kahsen 指出，为了更好地追踪高阶黑客组织，美国企业应该更多地关注人类行为发出的信号而非不断变化的技术。

上周五，Kahsen 在美国国会举行的一次网络安全活动上表示，攻击美国能源企业的俄罗斯政府黑客组织发动的多次活动都“存在很多相似之处”。他表示，“有些事情发生了变化，但行为元素仍然基本一致，因为要更改行为模式代价高昂。”

他解释称，“攻击者们一定会改变攻击技术，他们将会改变攻击工具。我们需要寻找他们所做的事情中更难以改变的部分即人类行为元素。”

Kahsen 提到的人类行为包含某个组织的攻击活动时长或编码风格，网络安全专家认为这些能够提供关于幕后黑手的一些线索。

从美国国土安全部发布的安全公告来看，Kahsen 所讨论的俄罗斯黑客组织针对美国能源和制造行业发动了为期两年的攻击活动。攻击者利用鱼叉式钓鱼活动和水坑式攻击收集了关于工控系统和用于如电力网等设施中的安全系统的信息。

Kahsen 指出，俄罗斯黑客从每个目标中“追寻能够更好地理解工业进程的文档”。Kahsen 指出，在某个黑客组织持续攻击的案例中，它一直都潜伏在某个组织机构的 IT 网络中，直至管理员设置了更新工控系统的服务器。攻击者利用这个打补丁进程连接起该机构的 IT 和运营技术网络。这些黑客还利用工控系统商业出版物和信息网站侦察能源企业的活动。Kahsen 指出，这类“临时性目标”难以防御，“我们如何能更好地捍卫一家拥有一名外包出去做定期更新的 IT 人员的公司呢”？

为阻止此类威胁，美国国土安全部和行业组织机构如电力信息共享和分析中心 (E-ISAC) 合作向企业发出警惕新型恶意活动的警告。

E-ISAC 的负责人 Bill Lawrence 在一次访谈中指出，在国土安全部发出的3月公告前该机构就注意到俄罗斯黑客的活动多年至少是多个月的活动。然而要对此类敏感话题做出公开归属判断所需的时间更长。Lawrence 表示，在这个具体案例中，美国政府耗费了很长的时间缕清所有的一切，因为当他们指责某个外国政府时，需要掌握绝对正确的事实。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。