防御网络安全公司抵御当今威胁所需的能力
执行摘要
- SentinelOne近期观测并防御了从经济驱动的犯罪软件到国家级高级持续性威胁的系列攻击。
- 这些事件是针对美国网络安全公司的真实入侵尝试,此类事件对SentinelOne而言并非新现象或独有。
- 近期遭遇的对手包括:伪装成求职者的朝鲜IT工作者、试图访问或滥用平台的勒索软件运营商、以及针对与公司业务和客户群相关组织的中国国家级行为体。
- 本报告强调了一个鲜少讨论但至关重要的攻击面:安全供应商自身。
概述
作为网络安全公司,应对真实威胁是日常工作现实。我们不仅研究攻击,更亲身经历它们。这使我们能够持续测试防御效果,推动产品和运营的改进。安全供应商因其访问权限、责任和所吸引的攻击者而成为多种威胁行为者的首要目标。当攻击者入侵安全公司时,他们可能获得洞察成千上万环境和数百万端点保护方式的能力。
过去几个月,我们防御了从犯罪软件到国家级活动的各种攻击,攻击者包括朝鲜IT工作者、勒索软件运营商和中国国家级行为体。我们分享这些观察,以促进集体防御和协作。
朝鲜IT工作者寻求内部职位
朝鲜关联的IT工作者试图在西方科技公司(包括SentinelOne)获得远程就业,是近年来我们追踪的最持久的敌对活动之一。攻击者不断改进流程,利用窃取或伪造的身份,模仿合法求职者。我们已追踪到约360个虚假人物角色和超过1000份与朝鲜IT工作者操作相关的求职申请。
我们采取了情报驱动的参与策略,与人才招聘团队合作,在招聘早期阶段识别并与可疑申请人互动。通过将轻量级审查信号嵌入招聘流程,我们将异常模式直接输入情报平台供分析师审查。这些互动让我们深入了解了攻击者的狡猾和坚持。
关键收获: 与不同业务部门(如招聘团队)进行跨职能协作至关重要。通过向他们提供威胁背景和清晰的升级路径,可以早期发现异常,同时将洞察力自动化,以持续降低招聘人员的负担和渗透风险。
勒索软件集团能力发展
经济驱动的威胁行为者经常以企业安全平台为目标,以获取直接访问权限。对管理接口或终端安全代理安装程序的特权访问,为对手提供了禁用保护、操纵配置、测试恶意软件或隐藏取证可见性的能力。这在业内是持续存在的现实。
地下经济日益成熟,围绕企业安全工具的买卖和租赁而活跃。犯罪论坛上充斥着公开宣传此类访问的供应商,以及积极寻求的买家。活动也已转移至Telegram、Discord、Signal等保密通讯平台。甚至出现了“EDR测试即服务”,允许攻击者在半私密环境中评估恶意软件。
访问权并非总是购买而来。威胁行为者经常从信息窃取日志中收集合法凭据,或通过贿赂员工获取访问权。在防御方面,这需要持续监控和维护平台完整性。我们的研究团队专注于监控异常的控制台访问和站点令牌使用,并采取行动撤销这些访问向量。
Nitrogen勒索软件集团 展示了一种新趋势:他们不再购买非法访问,而是通过精细的仿冒活动(冒充真实公司)从经销商处购买合法的安全产品许可证。这凸显了经销商尽职调查和客户识别执法成为威胁面的一部分。
经验教训: 深入、早期的内部跨团队协作(如与经销商运营和客户成功团队合作)价值巨大。通过创建共享剧本、嵌入威胁背景并建立清晰的升级路径,可以将反应性过程转变为主动信号来源,并通过自动化来扩展工作。
中国国家级对手
我们观察到针对SentinelOne基础设施和高价值客户组织的侦察活动。在一个先前为SentinelOne员工提供硬件后勤服务的组织被入侵后,我们意识到了这一威胁集群,称之为PurpleHaze,其技术特征与多个公开报告的中国APT组织有重叠。
PurpleHaze活动集群: 该行为者进行了多次入侵,包括针对一个南亚政府支持实体。活动涉及复杂的基础设施,部分与运营中继箱网络相关,以及一个名为GoReShell的Windows后门。我们高度确信PurpleHaze是中国关联行为体,与APT15有松散关联。
ShadowPad入侵: 在PurpleHaze活动前约四个月,我们观察到针对同一南亚政府实体的威胁活动。其中识别出使用ScatterBrain混淆的ShadowPad后门样本。Google威胁情报组也将此类样本归因于与中国APT行为体APT41相关的集群。基于私有遥测数据,我们发现自2024年7月至2025年3月,超过70个全球组织遭到此类恶意软件入侵。攻击者主要利用CheckPoint网关设备的漏洞获得初始立足点。受害者中包括先前为SentinelOne管理硬件物流的组织。尽管对SentinelOne自身基础设施的调查未发现二次入侵证据,但此事件凸显了更广泛的供应商生态系统的脆弱性。
加固运营生态系统的经验教训:
- 将威胁情报分发给运营相关方: 主动与业务部门(如管理供应商关系、物流和运营的部门)共享威胁情报。
- 将威胁上下文集成到资产归因工作流中: 基础设施和IT团队应与威胁情报职能协作,将威胁感知元数据嵌入资产清单。
- 扩展供应链威胁建模: 改进威胁建模过程,明确考虑上游供应链威胁,特别是国家级行为体利用承包商或物流伙伴作为间接访问途径的情况。
威胁情报的战略价值
在当今威胁环境中,威胁情报已从一个小众功能演变为防御的关键支柱。其价值体现在:
- 内部人才获取与内部威胁防御: 识别朝鲜IT工作者等行为体渗透企图。
- 支持销售与渠道运营: 通过将情报洞察集成到售前审查工作流中,验证客户合法性,识别异常购买行为。
- 强化自身技术与供应链防御: 了解对手如何逆向工程我们的软件,识别其试图入侵的技术栈部分,从而指导主动加固、遥测优先排序以及与产品工程团队的协作。
网络威胁情报已不再是后台功能,它已融入公司防御、运营和发展的方方面面。