ENISA和CERT-EU警告针对欧盟组织的中国APT

欧盟网络安全局 (ENISA) 和 CERT-EU 警告说，多个与中国有关的威胁行为者针对欧盟的企业和政府组织。

该联合报告重点关注多个中国高级持续威胁 (APT) 组织进行的网络活动，包括APT27、APT30、APT31、Ke3chang、GALLIUM和Mustang Panda。

“欧盟网络安全局 (ENISA) 和欧盟机构、团体和机构的 CERT (CERT-EU) 希望引起各自受众对特定高级持续威胁 (APT) 的关注，这些威胁被称为 APT27、APT30、APT31 、Ke3chang、GALLIUM 和 Mustang Panda。这些威胁行为者最近一直在对联盟内的企业和政府进行恶意网络活动。”。“这些威胁行为者对欧盟构成了重要且持续的威胁。这些参与者最近的行动主要集中在信息窃取上，主要是通过在具有战略意义的组织的网络基础设施中建立持久的立足点。”

欧洲机构呼吁欧盟所有公共和私营部门组织应用警报中提供的建议。该警报敦促组织改善其网络安全态势并增强其对网络攻击的弹性。

该警报提供预防、检测和响应的建议。

为防止此类攻击，各机构建议：

• 遵循供应商提出的安全最佳策略来强化他们的产品并管理高特权帐户和关键资产。
• 努力维持当前的实物和虚拟资产库存。
• 阻止或严格限制很少重新启动的服务器或其他设备的互联网访问出口。
  实施身份和访问管理的最佳实践。
• 采用备份策略。
• 
  确保对最终用户进行严格和适当的访问控制，最重要的是，对可以访问内部网络和系统的外部第三方承包商进行访问控制。
• 使用网络分段来隔离关键系统，特别是功能和资源的隔离。
  在与互联网和第三方的互连方面实施隔离。
• 将关键资产转移到安全的网络或者安全的云环境。
• 实施包括适当过滤和审查机制的电子邮件策略。
• 考虑在Active Directory环境中防止基于所谓的 Pass-the-Ticket 技术的攻击。
• 投资于网络安全教育。

为检测恶意网络活动，欧洲机构建议：

• 实施强大的日志收集并定期审查安全组件触发的警报。
• 使用适当的工具监控网络中设备的活动。
• 使用精心策划的网络威胁情报主动搜索您的日志以寻找可能的威胁迹象。
• 通过精心设计的定期威胁搜寻来检测网络中的危害痕迹，例如，基于 MITRE ATT&CK® 框架。
• 使用入侵检测签名和 NetFlow 发现网络边界的可疑流量，并检测可能表明软件利用或数据泄露的情况。
• 投资检测在 Windows 中利用 NTLM 和 Kerberos 协议的横向移动。
• 培训您的用户立即向您当地的网络安全团队报告任何可疑活动。

该报告还提供了改进事件响应的建议。敦促组织制定和维护事件响应计划并评估事件的严重性。

该文件还概述了针对欧盟组织的与中国有关的威胁行为者。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4201.html