实施高级持续性威胁（APT）攻击的恶意行为者并不仅仅想要访问您的网络，他们想要悄无声息地潜入并潜伏在您的网络中以收集有价值的数据或为未来的攻击制定计划。

据思科Talos安全研究部门的外联主管Nick Biasini称，网络安全威胁正在增长，它们主要针对的是早已过时且可能存在关键未修复漏洞的网络基础设施和边缘设备。

“我们确实看到了各种各样的威胁。但是，较旧的设备提供了更多的访问途径，尤其是已经过时且在过去三四年内未进行更新的设备。”

长期以来，企业在处理边缘设备时一直采取一种放手不管的态度，即一种“别碰它，让它做它该做的事，让它继续运行”的态度。Biasini说，“过去，有一个已经运行了两三年的边缘设备就像是一种荣誉的象征。现在，这已经成为一个非常大的隐患，是组织真正需要解决的问题。”

Biasini表示，“这些设备有许多漏洞，提供了潜在的攻击途径”，而最近安装的、拥有最新固件的边缘设备所面临的攻击面将会小得多。“我们确实看到恶意行为者正在利用这些较旧的设备。”

思科全球网络安全产品营销经理Hazel Burton称，当旧设备在设计时未考虑安全性，且网络基础设施位于安全生态系统之外时，监测网络访问尝试的难度就会越来越大。

“一旦获得对网络的初步访问权，攻击者，尤其是APT攻击者，就会利用这种情形开展隐蔽的活动。”Burton在一篇概述攻击场景的博客中写道。“他们的目标是为自己提供一个立足点，以便能够长时间地潜伏在受害者的网络中进行侦察、收集敏感信息，并可能最终实施数据窃取或破坏行动。他们会隐藏自己的活动，并搜寻可以帮助他们实现间谍和/或破坏目标的数据和情报。”

Biasini表示，有两类主要的恶意行为者正在针对网络基础设施：受国家支持的攻击者和商业犯罪企业。“受国家支持的团体对这些设备感兴趣，主要是为了获得间谍活动的立足点，并长期维持访问权限。” Biasini说。

追求商业利益的企业的目标则有所不同，他们通常访问较旧的边缘设备以获得初步的立足点，并迅速在网络内部进行跳转，试图勒索受害者。“因为从勒索软件和勒索集团的角度来看，仅依靠边缘设备很难对某人进行勒索。但是，如果可以利用该边缘设备进入网络，然后发起大规模的勒索软件攻击，这对他们来说将是非常有利的。” Biasini说。

思科的Talos识别出了网络基础设施上最常见的三种入侵手段：

1. 修改固件。“Talos观察到APT攻击者修改旧设备的网络设备固件，以添加某些功能，这将使他们在网络上获得更大的立足点。这可能包括添加恶意代码或修改设备捕获信息的方式。” Burton写道。
  “一个例子是最近对Cisco IOS XE软件Web管理用户界面的利用。其中一次攻击包括部署了一个我们称为‘BadCandy’的代码，它由一个配置文件（‘cisco_service.conf’）组成。该配置文件定义了用于与恶意代码交互的新Web服务器端点（URI路径）。该端点接收某些参数，允许攻击者在系统或IOS级别执行任意命令。”

2. 上传定制/旧版固件。“如果威胁行为者无法修改现有固件，或者他们需要目前尚未拥有的额外访问级别，攻击者可以上传他们知道有可利用漏洞的定制或旧版固件（实际上，回退到旧版本的固件）。” Burton写道。“一旦用于攻击的固件被上传，他们重启设备，然后利用现在未修补的漏洞。这为威胁行为者提供了一个可以添加额外功能（例如，数据外泄）的盒子。”
  “如果你查看日志，会发现有人实际上关闭了日志记录，这是一个明显的警示信号，表明你的网络已被渗透，并可能已被破坏。”

3. 绕过或删除安全程序。“Talos还观察到威胁行为者采取措施删除任何阻碍他们实现目标的障碍。例如，如果他们想窃取数据，但存在访问控制列表（ACL）阻止他们访问主机，他们可能会修改ACL或从接口中删除它。或者他们可能会安装操作系统软件，该软件知道不对某些行为者IP地址应用ACL，无论配置如何。” Burton写道。

BadCandy攻击活动是一个很好的例子，说明行为者如何能够移除某些安全措施。“攻击者能够在被攻陷的系统中创建微型服务器（虚拟化计算机），这为他们创建了一个行动基地。这使得威胁行为者能够拦截和重定向流量，以及添加和禁用用户账户。这意味着即使组织重启设备并清除活动内存，攻击者仍然拥有持久账户——这实际上是一个持续的后门。” Burton写道。

Cisco 的建议

Cisco和其他公司对抗网络基础设施攻击及其他安全挑战的方式之一，是通过2023年成立的一个行业组织——网络韧性联盟（Network Resilience Coalition）。该联盟的成员包括AT&T、Broadcom、BT Group、Cisco、Fortinet、Intel、Juniper Networks、Lumen Technologies、Palo Alto Networks、Verizon和VMware。该组织发布了一系列针对供应商和用户的建议，旨在帮助他们应对覆盖网络基础设施生命周期的安全威胁。

正如Talos博客总结的那样，联盟的一些建议包括：

●  根据NIST安全软件开发框架（SSDF）调整软件开发实践。

●  提供产品“生命周期结束”的明确和简洁的详细信息，包括具体日期范围以及每种产品预期的支持级别。

●  将客户的关键安全修复程序分开，不要与新产品功能或功能更改捆绑在一起。

●  增加对超出支持期的老旧产品的网络安全处置（漏洞扫描、配置管理）。

●  定期确保产品配置与供应商建议保持一致，并随着产品老化而增加频率，确保及时实施更新和补丁。

Talos补充说，组织应该部署复杂的密码和社区字符串，使用SNMPv3或后续版本，在可能的情况下部署多因子授权，以及在配置和监控设备时要求加密。