了解思科安全事件的教训

关键要点

• 思科于 5 月 24 日发现并迅速响应了一起针对公司 IT 基础设施的安全事件。
• 攻击者利用多因素认证 (MFA) 疲劳进行攻击，安全团队及时检测和阻止了事态扩大。
• 员工培训和用户行为分析在预防和响应安全事件中至关重要。
• 较小的组织也要采取有效措施来防范类似攻击。

思科最近宣布了一起与其企业 IT基础设施相关的安全事件，尤其在这个供应链攻击频发的时代，引起了安全专业人员的高度关注。然而，此事件的处理展示了思科在安全方面的成功。一旦发现问题，思科立即采取行动，及时减轻了影响，并增强了其
IT 环境以防止类似事件的再次发生。这次攻击主要依赖一系列复杂的 ，最终导致一名员工接受了攻击者发出的多因素认证推送通知，从而使得攻击者能够访问
VPN。

JimLewis，战略与国际研究中心技术与公共政策项目的高级副总裁及主任，表示：“我喜欢他们使用语音，真的是老派的做法。思科声称他们快速发现了这个事件，这就是成功的秘诀。”

但在这种情况下，是否仍有教训可供借鉴？CISO 如何理解这一事件？SC Media 联系了传奇娱乐公司全球安全和企业运营的副总裁及 CISO/CSO DanMeacham 以获取他的见解。

思科的响应迅速。你对他们如何沟通这一事件有何看法？

我很欣赏他们对攻击手段的透明披露，以及 Calm AntiVirus
签名的创建。提供攻击方法和所用工具的信息，使安全从业者能有机会评估自己的环境是否存在类似的曝光和风险。

零信任和可信设备的安全模型并不完美。在这次攻击中，黑客通过 MFA 疲劳获得了访问权——这是一种基本上导致用户收到大量 MFA请求的攻击方式，期望用户最终会接受这些请求。一旦黑客进入系统，他们就将他们的设备登记为受害者的可信设备。

那么，正如你所说，安全从业者如何评估他们自己的环境？

此次攻击有几个关键教训。首先，培训非常重要——用户需要确保所有账户都启用了 MFA，包括 Google Gmail 和
Chrome。黑客是否通过一个未启用 MFA 的 Google/Chrome 账户进入？用户不应在浏览器（如
Safari、Chrome、FireFox、Edge 等）中缓存凭据。相反，他们应该使用密码管理器。最后一个培训要点是，当你有一条未发起的 MFA
请求时，务必通知安全团队——一定要做到。如果你收到一条并非由你发起的 MFA 请求，说明有人知道你的密码并正在积极使用它。

其次，监控 ——被攻破的用户账户权限升级至管理员。这一操作引起了思科安全运营中心的警觉，并激活了他们的思科安全事件响应团队。如果思科没有监控到这种行为或活动，黑客可能会在思科系统内进行更深入的操作，从而延长识别受损账户的时间。此外，黑客使用了
LogMeIn、TeamViewer 以及 PowerSploit、Mimikatz、Impacket 和 Cobalt Strike等攻击性安全工具。需要使用特权访问管理（PAM）来保护远程访问/控制工具，通过设置访问时间、来源位置的限制以及触发审计和警报来增强安全性。此外，应该设置入侵指示器，以在网络或系统上检测到攻击性工具运行时发出警报。

思科规模庞大。那么对于资源更少的小型组织，应该如何处理？

我认为每个安全团队应该内部询问以下问题，并与其 ZTNA / IDM / SSO / MFA 提供商沟通：1）有什么机制或对策来防止 MFA
疲劳攻击？2）有什么机制或对策来限制设备登记？例如，当用户希望登记新设备时，是否有次级控制机制要求管理员批准登记请求？3