总结

  • 在研究人员报告有攻击者正在积极利用后,Ivanti 披露了影响 Connect Secure 和 Policy Secure 的连锁漏洞,包括 CVE-2023-46805 认证绕过和 CVE-2024-21887 命令注入。
  • Volexity 和 Mandiant 描述了针对 Ivanti VPN 设备的攻击活动,包括 webshell、凭证或配置访问以及以持久化为目的的技术手段。
  • CISA 发布了面向联邦机构的紧急指令 24-01,随后要求受影响的机构断开易受攻击产品的连接,导出配置,重置设备,升级,并导入干净的配置,然后才能将其恢复使用。
  • 该事件将 VPN 设备变成了一个治理面:资产清单、缓解时机、完整性检查的信任、重建门槛、凭证轮换、日志记录和连续性计划与补丁可用性同等重要。
  • 公开记录支持一个高置信度的结论,即在已知的利用事件发生后,暴露的远程访问设备必须被视为可能已受入侵的系统来处理。它并不证明每个 Ivanti 客户都已被入侵,也不证明所有稍后的远程访问事件都源自同一个漏洞链。

漏洞链使远程访问成为第一个问责问题

Ivanti 关于CVE-2023-46805 和 CVE-2024-21887的公开公告描述了影响 Connect Secure 和 Policy Secure 网关的一对漏洞。CVE-2023-46805 是一个认证绕过,CVE-2024-21887 是一个命令注入。两者结合,问题使得未经认证的攻击者能够在易受攻击的设备上触及命令执行路径。对于远程访问网关而言,这是一个严重的控制失败,因为该设备正处于外部人员应转换为经过认证的内部人员的边界上。

Volexity 关于两个零日漏洞的积极利用的报告称,其在 2023 年 12 月观察到利用活动,并将该活动与一个被追踪为 UTA0178 的可疑中国国家支持的黑客组织联系起来。Mandiant 对疑似 APT 针对 Ivanti 零日漏洞攻击的分析描述了后渗透工具、webshell、凭证访问以及维持访问的尝试。这些报告使该事件超出了一份厂商公告的范畴,将真实的入侵活动载入公开记录。

因此,问责问题在客户打开变更工单之前就已经开始。谁有暴露的设备?谁为每台设备指定了负责人?谁能立即应用缓解措施?谁能验证在缓解前设备是否已遭入侵?谁能在不影响关键工作的前提下断开远程访问?这些问题不仅是技术问题,更是组织问题。

这种区别很重要。如果软件库存在严重漏洞,组织可以修补系统并监控应用程序行为。如果 VPN 设备已被利用,网关本身可能成为跳板。它能调节访问、存储机密,并且只记录部分真相。这使得信任更难恢复。

CISA 将风险升级为紧急操作指令

CISA 的警报Ivanti 发布 Connect Secure 和 Policy Secure 网关的缓解措施要求管理员审查 Ivanti 的公告并应用缓解措施。联邦政府的响应随后升级。紧急指令 24-01命令联邦民事行政部门机构对受影响的 Ivanti 产品采取特定行动。CISA 随后更新了该指令,增加了额外要求,包括将受影响产品从网络断开、导出配置、执行出厂重置、应用更新,然后才能导入配置。

这一系列步骤很重要。它将设备视为可能不可信,而不仅仅是过时。在升级前进行出厂重置并导入干净配置,与“安装补丁后恢复”的姿势不同。它承认,已入侵的设备可能保留普通补丁无法清除的攻击者更改或痕迹。

CISA 后来的联合公告AA24-060B描述了 Ivanti Connect Secure 和 Policy Secure 网关的被利用情况,并对入侵后活动发出了警告。该公告很有用,因为它将分散的厂商和研究人员发现转化为操作响应模型。它引导防御者关注检测、搜寻、凭证和重建问题。

对于公共部门的连续性而言,该指令建立了一个可见的标准。各机构不能说这只是厂商的问题。它们必须知道自己是否使用了受影响的产品,在必要时隔离或断开连接,并按照既定流程恢复它们。这就是当远程访问基础设施支撑公共工作时问责制的体现。

完整性检查器成为信任问题的一部分

Ivanti 提供了一个完整性检查工具,以便客户可以扫描设备中的入侵指标。这是必要的,但公开记录显示了为什么完整性检查需要保持谦逊。Mandiant 后来在调查 Ivanti 利用和持久化方面的工作描述了包括企图逃避检测和持久化机制的活动。CISA 的公告也警告称,技术高超的攻击者可以削弱对设备状态的信心。

这造成了一个棘手的治理问题。客户需要对“我们是否被入侵?”这个问题给出快速答案。该工具可以提供帮助。但工具返回的干净结果并不等同于可信性的证据,尤其是如果攻击者已经获得了设备级访问权限。在潜在受入侵的系统上运行的完整性检查器可能会遗漏被修改的产物、已删除的证据或新型持久化。

这并不意味着该工具无用。它使其成为证据组合的一部分。客户需要将其与外部日志、配置审查、网络遥测、webshell 搜寻、账户审查、凭证轮换以及厂商或事件响应指导相结合。在证据缺失的地方,谨慎程度必须提高。

这一教训超出了 Ivanti 本身。每次边缘厂商事件都会产生压力,要求给出简单的是或否的结果。但受入侵的设备抗拒这种简单结论。有意义的评估通常包含置信度级别:在有充足日志时未发现证据、在有限日志下未发现证据、存在可疑访问的证据、确认入侵、或无法确定。这些类别比通过/不通过扫描告诉管理层更多信息。

补丁时机无法抹去暴露窗口

Ivanti 的公告路径是先提供缓解措施,后发布补丁。CISA 的1 月 31 日警报指出了针对多个产品的安全更新。CVE-2023-46805CVE-2024-21887CVE-2024-21893CVE-2024-22024的 NVD 记录显示了随着事态发展防御者必须追踪的漏洞集群。

这种演变就是操作层面的问题。客户可能应用了第一个缓解措施,然后不得不监控绕行或新的相关漏洞,再应用后来的更新,最后不得不决定是否重建。每一步都需要资产清单和变更权限。只有一台集中管理设备的客户可以快速行动。拥有分布在业务部门、承包商和遗留网络中的许多设备的客户面临不同的问题。

补丁时机也无法抹除修复前发生的利用。如果攻击者在 2023 年 12 月访问了设备,1 月的缓解措施可能会阻止相同的路径,但无法清除 webshell、窃取的凭证、被篡改的配置或网络中其他地方的后续访问。这就是为什么该事件既属于漏洞管理,也属于事件响应。

因此,应问责的时间线不仅仅是“公告日期到补丁日期”。它还包括披露前的暴露、缓解时间、证据收集、可疑活动审查、凭证和证书操作、重建决策、连续性影响以及事后控制变更。只记录补丁日期的客户保留了最简单的指标,却丢失了更难的证据。

资产清单决定了谁能采取行动

紧急指令或厂商公告只有在组织知道是否拥有受影响产品的情况下才有用。Ivanti Connect Secure 设备可能存在于总部环境、区域办事处、收购的网络、承包商访问路径、托管服务组合以及遗留远程访问系统中。一些设备可能是设计为面向互联网的;另一些则可能因偏移而暴露。因此,第一个操作问题是资产清单。

Shadowserver 关于Ivanti Connect Secure 暴露的报告说明了外部扫描如何能够在互联网范围内识别易受攻击或暴露的系统。外部可见性是有价值的,但它不应成为客户发现自身 VPN 基础设施的主要方式。如果政府机构或企业从第三方扫描器中得知一台设备,那么所属权记录已经薄弱。

良好的资产清单包括产品名称、版本、互联网暴露情况、业务负责人、技术负责人、托管提供商负责人、用户群体、认证依赖关系、连接的内部网络、日志配置、备份状态以及紧急隔离程序。这听起来可能很详细。但对于远程访问网关,这是基本的问责要求。该设备不是普通的服务器。它决定了谁能访问内部。

Ivanti 事件暴露了资产清单缺口的代价。遗漏的设备可能继续保持暴露。无人认领的设备可能错过缓解窗口。本地拥有的设备可能缺乏中央日志。承包商管理的设备可能引发关于谁批准关机的争议。这些都是治理失败,攻击者可以利用这些失败,而不在乎是谁的组织架构造成的。

凭证范围比用户密码更广

远程访问网关处理的不仅仅是用户名和密码。它们可能存储本地管理员账户、目录集成凭证、证书、VPN 会话材料、配置备份、SAML 或 RADIUS 设置、组映射、分割隧道规则和访问策略。如果设备被入侵,响应不能停留在软件修复上。

组织需要一个凭证图谱。设备可能使用哪些目录账户?哪些服务凭证被存储或可及?存在哪些证书?有哪些本地管理员?在暴露窗口期间,哪些特权用户进行了认证?哪些下游系统接受来自 VPN 的会话?没有这个图谱,凭证轮换要么狭隘得无法保护信任,要么宽泛得难以有效执行。

Mandiant 对后渗透行为的报告让防御者有理由将持久化和凭证访问视为同一事件的一部分。CISA 的紧急指令通过要求重置和重建行为,而不仅仅是打补丁,强化了这种态度。这些都是实际信号:如果设备已暴露且不能排除入侵,身份控制需要审查。

这正是许多组织面临成本压力的地方。轮换凭证、证书和集成密钥具有破坏性。它可能导致远程访问中断、应用程序连接故障、监控中断以及合作伙伴工作流混乱。但是,在设备可能被入侵后保留旧密钥,可能会保留攻击者的路径。负责任的响应预先设定轮换门槛,这样组织就不会在恐惧和疲劳中讨价还价。

Webshell 将网关变成持久化面

Ivanti 事件变得特别严重,因为公开研究人员讨论了 webshell 和后渗透工具,而不仅仅是初始漏洞利用机制。VPN 设备上的 webshell 改变了响应的形态。攻击者可能不再需要利用原始漏洞。设备本身变成了一个受控的立足点。

MITRE ATT&CK 的利用面向公众的应用程序外部远程服务技术捕获了这一战略模式。该设备面向公众,并提供远程访问。一旦攻击者将该设备变成立足点,后续活动可能看起来不太像漏洞事件,而更像经过认证或类似管理员的行为。

这就是为什么设备日志、外部遥测和配置基准很重要的原因。设备是否开始建立异常的外发连接?是否出现了新文件?web 组件是否发生变化?管理员会话是否在奇怪的时间发生?认证事件是否来自陌生的网络?设备是否与通常不接触的内部系统进行了通信?这些问题必须尽可能使用受入侵设备之外的证据来回答。

公开记录并不意味着每台易受攻击的设备都有 webshell。它意味着防御者必须将这种可能性视为真实存在。成熟的响应不会在网关既有暴露又已知有利用时等待确定性。它会加强监控,缩小访问范围,并在证据不完整时做出保守的信任决策。

厂商问责在于指导质量

Ivanti 的职责包括披露、缓解措施、补丁、工具、客户沟通以及与机构和研究人员的协调。这是在积极利用期间一个艰难的操作处境。厂商必须快速行动,而事实正在变化。但问责的标准不是完美。而是客户是否获得足够清晰的指导以安全地采取行动。

指导质量在多个方面很重要。客户需要知道受影响的版本、利用状态、缓解步骤、补丁时机、工具限制、如何收集证据、何时断开连接、何时重建、保留哪些日志以及轮换哪些密钥。当出现新漏洞或绕行问题时,他们还需要更新。模棱两可将客户推向要么反应不足,要么恐慌。

Ivanti 案例展示了为什么远程访问厂商应在危机之前准备响应剧本。如果 VPN 设备被积极利用,厂商应已有公开语言来描述设备信任、外部日志记录、配置导出、出厂重置、重建、凭证操作和托管提供商协调。在压力下起草指导越困难,越应该提前准备。

厂商问责还包括产品设计。安全的默认设置、更安全的管理路径、更强的防篡改证据、独立的日志记录、更容易的升级和更干净的重建流程,这些都能在漏洞出现时减少客户损害。厂商无法消除未来每个缺陷。但它可以降低每个缺陷演变为信任危机的几率。

客户问责在于操作证明

客户控制着部署架构。他们决定设备是否面向互联网、如何限制管理访问、如何导出日志、如何集成身份、是否存在连续性替代方案以及多快能够应用缓解措施。厂商负责产品安全;客户负责大部分操作面。

客户证据包应当回答简单的问题。哪些设备受到影响?它们是否暴露?何时应用了缓解措施?补丁是否安装?是否在需要时断开了设备?是否在适当情况下进行了出厂重置?完整性检查显示了什么?审查了哪些外部日志?凭证或证书是否轮换?用户是否失去访问权限?哪些业务流程依赖于该网关?之后发生了什么变化?

对于受监管或公共部门客户来说,这些答案应当可审计。公众不需要每个技术细节,但监督机构不应接受一句简单的“我们补救过了”。风险涉及对公共或敏感系统的远程访问。证据必须与风险相匹配。

这也适用于企业。董事会或风险委员会应该询问组织是否能在已知利用后证明设备可信。如果答案依赖于一次干净的扫描而没有支持性日志,置信度应当更低。如果答案包括外部日志、配置对比、凭证操作以及必要时的重建,那么置信度应当更高。

托管服务提供商需要明确的职责分工

许多客户并未独自管理他们的 Ivanti 设备。远程访问基础设施可能由托管安全提供商、外包 IT、区域团队、国防承包商或服务集成商运营。在 VPN 遭遇利用的紧急情况下,这种分层所有权可以加速响应,也可以造成延误。

合同应明确谁关注厂商公告、谁应用紧急缓解措施、谁可以断开服务、谁与用户沟通、谁收集证据、谁运行完整性检查、谁执行出厂重置、谁导入配置、谁轮换凭证以及谁编写事后报告。没有这种分工,每一步都可能变成谈判。

托管服务提供商还需要组合级别的可见性。如果提供商管理众多客户设备,它应该能够快速识别所有受影响实例,对高风险环境进行优先级排序,并告知每个客户其自身设备发生的情况。当积极利用已公开时,一句“我们已意识到该问题”的通用保证是不够的。

客户应要求提供证据,但提供商不应等待被要求。管理面向互联网的 VPN 网关的提供商正在管理一个信任边界。它应向客户提供清晰的状态、具体的补救进展以及带有置信度的发现。这是服务的一部分,而非可选报告。

连续性使断开连接成为艰难但必要的控制

CISA 的指令表明,断开 VPN 设备可能是正确的安全决策。它也可能是一个痛苦的连续性决策。远程员工可能失去访问权限。管理员可能失去正常的维护路径。承包商可能无法访问系统。各机构可能不得不在压力下切换到备用访问方式。

这就是为什么连续性规划应与 VPN 安全放在同一个风险登记册中。一个无法断开易受攻击设备的组织,已经让单一产品成为连续性瓶颈。成熟的组织测试过替代方案:独立的管理访问、紧急堡垒主机、零信任访问路径、本地连续性流程、手动操作或有计划的服务降级。

连续性问题不是每个用户是否能在紧急停机期间正常工作。问题是关键工作能否足够安全地继续。公共机构、医院、公用事业和金融机构需要一个分层的答案:哪些功能必须继续,哪些可以暂停,哪些需要紧急访问,哪些需要手动回退。

如果这个计划不存在,业务压力将迫使团队保持易受攻击设备在线、创建不安全的临时访问或在信任恢复之前将其恢复使用。Ivanti 事件使这种权衡变得可见。安全和连续性不是分离的部门。它们是同一个决策。

哪些证据会改变评估

如果一个组织能够证明设备未面向互联网、不在受影响版本上、在暴露前已应用缓解措施、拥有完整的外部日志、通过了完整性检查并具有支持性遥测数据、且凭证已按要求界定范围并轮换,那么评估就会不那么严重。如果组织根据记录的阈值执行了出厂重置或重建,并测试了远程访问替代方案,情况也会改善。

当设备暴露在外、缓解措施被延迟、日志缺失、完整性检查结果被当作绝对证明、凭证未经审查、且远程访问连续性迫使设备过早恢复使用时,评估就会变得更加严重。当托管服务提供商无法快速识别受影响的客户设备时,评估会进一步加重。

对于厂商 Ivanti 来说,如果有清晰的根因学习、更强壮的安全默认设置、改进的防篡改证据、更简便的重建流程、更好的客户证据工具以及将设备入侵视为事件响应问题的指导,评估就会改善。如果类似类别的被利用远程访问缺陷再次出现,而产品及流程未见明显变化,则会恶化。

目前的公开证据支持一个有限度的结论。Ivanti 产品通过严重漏洞被积极利用,公共机构将风险视为紧急,远程访问设备必须作为潜在受入侵的基础设施来处理。公开证据并不支持声称所有客户都受到一致的入侵。它确实支持对每个暴露的部署实施更高的问责标准。

KEV 列表改变了治理时钟

CISA 的已知被利用漏洞目录中关于CVE-2023-46805CVE-2024-21887的条目很重要,因为它们将漏洞从一般风险管理转移到了被利用风险治理。对于受管辖的联邦机构,KEV 具有正式的操作后果。对于其他人来说,它仍然是一个公开信号,表明问题已从理论暴露跨入主动滥用。

这个信号应当改变会议的应对行为。远程访问设备中的严重漏洞一旦进入 KEV,就不应只停留在补丁管理队列中。它应触发事件指挥、资产确认、业务负责人通知、托管提供商升级、身份团队参与以及使风险为高管所见。原因很简单:被利用的远程访问在补丁会议召开之前就可能成为进入组织的切入点。

KEV 也有助于减少一个常见的借口。组织有时将厂商公告视为众多事项之一,按 CVSS 评分和计划维护窗口排序。已知的利用改变了优先级。一个可能已被威胁行为者使用的 VPN 网关不能在没有记录在案的风险接受的情况下等待舒适的维护周期。如果远程访问太重要而不能中断,这正是该设备值得紧急关注的原因。

该目录也为监督创造了记录。董事会、审计师、保险公司和监管机构可以询问组织是否有 KEV 摄入机制、将 Ivanti 条目与资产清单匹配的速度有多快、所有权是否明确、以及为何任何暴露的设备仍保持在线。这使问责面具有持久性。这不仅仅是安全团队知道什么。而是机构在公开的被利用漏洞信号出现后做了什么。

实际的衡量标准是“达到真相的时间”。组织花了多长时间才知道自己是否拥有受影响的 Ivanti 产品?多长时间才知道它们是否暴露?多长时间才知道谁拥有它们?多长时间才决定缓解、断开、重置或替换?打补丁的时间很重要,但达到真相的时间决定了管理层是在掌控局面,还是在等待别人把事情弄清楚。

外部证据必须在紧急情况前设计好

英国 NCSC 关于安全系统管理的指导强化了一项直接适用于 VPN 设备的原则:特权系统应通过受控、受监控和可审计的路径进行管理。在 Ivanti 案例中,设备本身就是可疑目标。这意味着管理记录、配置更改和远程访问事件不应仅依赖于设备保持诚实。

外部证据始于日志导出。身份验证事件、管理员登录、配置更改、系统事件、可用的 web 请求以及网络流应复制到具有独立保留功能的系统中。日志应进行时间同步,并与身份记录、端点遥测和变更管理工单相关联。如果响应者无法重构公告之前发生的事情,组织就已经在迷雾中做决策了。

配置证据同样重要。组织应当拥有已知良好的、经过完整性检查的备份,记录预期的文件,并有办法将当前状态与基线进行比较。只有在配置本身被理解的情况下,出厂重置后再导入干净配置才是干净的。如果无人知晓备份是否已包含未经授权的更改,重建流程可能会重新引入风险。

外部证据也改变了沟通方式。客户可以更有信心地告诉领导层:“我们在外部保留的、覆盖暴露窗口的身份验证和配置日志中未发现入侵证据”,而不是“设备完整性检查通过”。这两种说法可能都是真的,但威力并不相同。第一种说明了证据范围。第二种可能隐藏了证据限制。

这就是安全工具和问责证据之间的区别。工具可以帮助团队采取行动。证据帮助机构证明其信任的合理性。对于远程访问基础设施,两者都是必需的,因为决策会影响依赖于网关但不管理它的人。

设计安全适用于设备全生命周期

CISA 的设计安全框架之所以相关,是因为远程访问设备不应依赖客户在部署后拼凑每一项安全属性。厂商可以通过提供更安全的默认设置、更清晰的警告、更强的日志记录、防篡改证据、更便捷的修补和更干净的重建工作流来减少客户失败。客户仍有责任,但产品设计可以使安全路径比危险路径更容易。

对于类似 Ivanti 的远程访问产品,设计安全的期望应覆盖整个生命周期。在部署前,应推动管理员使用受限管理接口、强身份验证、外部日志记录和记录在案的备份。在常规运行期间,产品应使暴露面、版本老化程度和风险设置可见。在紧急响应期间,它应提供有关证据收集、重置、升级、配置导入和凭证操作的精确指导。恢复之后,它应帮助客户验证状态并减少复发。

同样的生命周期视角也应适用于客户部署。购买 VPN 设备不是一次性的采购事件。它创建了一种持续的信任依赖。组织需要负责人、修补窗口、升级路径、日志、连续性替代方案和退役计划。如果产品在团队停止主动管理后仍继续服役,设备就变成了治理债务。

Ivanti 事件很有用,因为它展示了设计和运营如何相互作用。厂商缺陷创建了利用路径。客户的暴露面和证据实践塑造了后果。公共机构设定了最低紧急行动。托管提供商影响了速度和可见性。这些层级中没有一个单独能解释整个结果。

这种分层的问责通常令人不适,但它是准确的。厂商不能声称客户在部署后拥有所有责任。客户不能声称在发现缺陷后厂商就拥有所有责任。提供商不能声称客户拥有风险而提供商控制着设备。设计安全思维迫使每一方在下次紧急情况发生前明确自己的控制面。

采购应购买恢复证据,而不仅仅是访问

公共机构和大企业通常根据可用性、安全功能、支持和价格来采购远程访问产品。Ivanti 的记录表明,他们还应采购证据和恢复义务。合同应该询问如果设备被积极利用会发生什么:厂商发布指导的速度有多快、支持队列如何排优先级、托管提供商如何与厂商协调、以及客户可以收到哪些证据。

对于托管部署,合同应更深入。它应定义外部日志保留、客户对日志的访问权限、紧急断开权限、针对被利用漏洞的批准绕过、重建或出厂重置程序、凭证轮换支持、客户特定状态报告以及事后审查。无法从提供商那里获得自身证据的客户无法负责任地关闭自身的事件。

采购团队还应测试连续性假设。如果产品提供主要的远程访问路径,买方应该知道当该路径断开时组织如何运作。该测试应包括技术访问、帮助台负载、用户通信、法律义务和业务流程优先级排序。一份只购买正常运行时间而不购买安全关机能力的合同会使客户在正确的安全控制措施是断开连接时陷入困境。

这对于公共部门机构尤其重要。公民很少知道哪台设备保护着机构的网络。但他们知道何时服务失败、记录泄露或应急响应变慢。因此,公共采购应将设备信任视为公共服务连续性的一部分。如果机构无法证明其在利用发生后的状态,那么一款便宜或熟悉的 VPN 产品是不够的。

买方的证据要求可以改善市场。厂商和提供商会响应客户的需求。如果客户只要求访问功能和支持时长,恢复证据就始终是次要的。如果客户要求设备信任、日志导出、重建剧本和利用后支持,这些能力就成为竞争要求。

补救语言应精确

在被利用的基础设施事件之后,最常见的公开错误之一就是模糊的补救语言。“已缓解”可能意味着已应用变通方案。“已打补丁”可能意味着软件已更新。“已重置”可能意味着凭证已更改或设备已出厂重置。“未发现入侵证据”可能意味着已经审查了强有力的证据,或者微弱的证据未发现任何内容。“已恢复”可能意味着服务可达,而不是信任已完全恢复。

Ivanti 事件要求更精确的语言。一台设备可能已缓解但未完全打补丁。已打补丁但未经调查。已调查但日志缺失。已重置但配置不确定。已重建但密钥未轮换。已恢复但依赖于连续性变通方案。这些区别不是咬文嚼字,而是管理者避免虚假信心的方法。

公开声明无需暴露敏感细节,但应避免将不同状态压缩成一个令人安心的动词。内部记录应更加精确。它们应标注暴露状态、缓解状态、补丁状态、完整性检查状态、日志审查置信度、凭证操作、重建状态、恢复服务批准和残余风险。这份记录成为未来审计和未来紧急情况的基础。

精确性也保护了工作做得好的厂商和提供商。一个能够声明其断开了受影响设备、导出了配置、重置了设备、应用了更新、导入了经过审查的配置、轮换了凭证并保留了日志的提供商,应比仅仅说“所有系统已补救”的提供商获得更多信任。具体性建立信任,因为它点名了控制措施。

最终的好处是学习。如果每一次响应都被记录为“已打补丁”,组织就无法比较事件。如果一次响应需要紧急关机,另一次需要重建,再有一次需要凭证轮换,组织就可以在最痛苦的领域改进架构。因此,Ivanti 案例应推动各机构编写更好的事件状态,而不仅仅是更快地关闭工单。

监督应将事件视为一次控制测试

董事会、审计委员会、公共监察员和机构领导不需要理解每个利用细节就能提出正确的问题。他们需要询问远程访问资产清单是否完整,已知被利用漏洞的摄入机制是否有效,组织能否断开关键网关,证据是否在设备之外存留,以及恢复服务是否基于记录在案的信任。

这些问题使事件在治理层面变得可读。技术团队可能报告缓解措施已快速应用。监督应询问是否有任何设备发现较晚。提供商可能报告客户访问已恢复。监督应询问是否存在客户特定的日志和重建记录。业务负责人可能报告远程员工保持工作。监督应询问这种连续性是否依赖于不安全的例外情况。

重点不是事后猜疑每一个工程决策。而是要证明被利用的远程访问是作为机构风险进行管理的。VPN 设备处于公共网络和内部系统之间。它们的失效可能影响数据保护、公共服务连续性、事件响应和合同信任。这足以为超出安全运营中心的监督关注提供理由。

这也是组织避免以不同的产品名称重复相同事件的方法。下一个被利用的边缘设备可能来自另一家厂商,使用另一个 CVE。治理测试将是类似的:了解资产、隔离它、保存证据、轮换密钥、在信任不确定时重建,并保持关键工作安全运行。

问责测试

Ivanti 事件应通过七项控制来评判。

第一,资产清单:组织能否在几小时内识别出每一台 Connect Secure 和 Policy Secure 设备、版本、负责人、暴露路径、托管提供商关系以及依赖的用户组?

第二,缓解和补丁时机:是否快速应用了 Ivanti 的缓解措施和后续更新,并且随着公告的演变,是否跟踪了新的相关 CVE?

第三,隔离:在必要或谨慎的情况下,是否断开了易受攻击的设备,而不是将远程访问的便利性置于信任之上?

第四,证据:是否保存了外部日志、运行了完整性检查、审查了配置、搜寻了 webshell 或持久化,并记录了置信度级别,而不是依赖于单次扫描结果?

第五,凭证响应:在无法排除入侵可能时,是否轮换或界定了管理凭证、VPN 凭证、证书和集成密钥?

第六,重建纪律:是否明确定义了在将设备恢复使用之前,何时需要进行出厂重置、重镜像或替换?

第七,连续性:是否有安全的备用访问路径,以便公共或业务运营可以继续,而无需匆忙将不受信任的网关重新上线?

最终结论很明确。Ivanti Connect Secure 之所以成为一个公共部门问责面,是因为一次远程访问产品故障触及了政府指令、积极利用、设备信任和连续性。攻击者拥有入侵行为。Ivanti 拥有产品安全、披露、工具和指导。客户和托管提供商拥有部署、证据、重建、凭证和连续性决策。负责任的回应不是“已打补丁”,而是“我们知道什么暴露了、发生了什么、哪些证据存留下来、哪些密钥被更改、哪些设备被重建,以及为何恢复的访问路径可以信任。”

排版

排版是安排字体的艺术和技术,使书面语言清晰、易读且视觉上有吸引力。它涉及选择字体、字号、行长、行距和字间距。

  • 排版起源于 15 世纪约翰内斯·古腾堡发明活字印刷术。
  • 关键元素包括字体选择、字距调整、字间距和行距。
  • 良好的排版增强可读性,并在设计中传达情绪或基调。