What Can Organizations Learn from "Grim Beeper"? [B-Side]
35:51 Share

为什么你需要这么长且复杂的密码？这是我在我的播客制作公司 Pi Media 经常听到新制作人提出的问题。然后，在听了几个“游击队生活”播客的几集后，他们开始使用长且复杂的密码，但记住和跟踪多个强密码并非易事。

而且，不得不不断重置员工忘记的密码对任何企业来说都是一件麻烦事，这就是单一密码的用武之地。你只需要记住一个强大的密码来保护所有东西。单一密码将业界领先的安全与屡获殊荣的设计相结合。

这就是为什么现在有超过十万家企业和数百万人信任它。恶意生活播客的听众可以在单一密码网站（onepassword.com/militias）上免费试用。这是单一密码和游击队生活播客的合作。不要让安全措施拖慢你的业务。访问单一密码网站（onepassword.com/militias）并加入游击队生活。

大家好，欢迎来到游击队生活。所以，这不会是你们典型的恶意生活播客。我们通常喜欢以叙事的方式讲述我们的故事，但这将是一期基于访谈的播客。过去我们做过不少这样的播客。我们称之为，除了通常讨论不完全符合播客常规主题但仍然值得讨论的话题外。

本期播客的主题是关于上个月针对黎巴嫩真主党组织的“格里姆蜂鸣器”攻击事件的供应链教训。对于那些不知道的听众，2024 年 9 月 17 日和 18 日，真主党使用的数千部寻呼机和手持无线电设备在黎巴嫩和叙利亚同时爆炸，造成至少 42 名恐怖分子死亡，超过 3000 人受伤。现在，这不是关于这次袭击本身的播客。

那期播客仍在制作中，将让我们更深入地探讨这次袭击以及以色列摩萨德是如何实施的。那么，一次访谈中能讨论什么呢？这次对话将重点关注各国政府和组织可以从“格里姆蜂鸣器”事件中学到的关于供应链攻击的经验教训。

因为你们中的一些人可能已经知道，“格里姆蜂鸣器”事件是历史上最复杂的供应链攻击之一。我们的嘉宾是戴维·阿克曼，他是 Cybereason 的全球数字取证和事件响应负责人，也是美国联邦调查局运营技术部门的前特工，曾担任武装部队收藏品和取证分析的高级认证取证检查员。

他是畅销书《深入事件响应》的作者，也是专注于数字取证和事件响应资源的网站 aboutthefear.com 的创建者。在与戴维的谈话中，我们将讨论此类创伤事件如何影响受攻击组织的心态，哪些类型的威胁参与者能够实施长期攻击，以及组织可以采取的三项最重要的措施来最大限度地减少供应链攻击的可能性。请享受这次访谈。所以我们在这里讨论的是，我认为历史上关于网络安全最热门的事件之一，当然也是近年来最引人入胜的事件之一，即针对黎巴嫩真主党组织的“格里姆蜂鸣器”行动。大多数听众可能都听说过这次行动，但让我们了解一下几周前发生了什么。

整个行动，网络和政府称之为“格里姆蜂鸣器”行动，是一项历时多年的行动，很可能是以色列部队为了最终能够禁用和清除真主党成员而进行的。我们所知道的高层信息是，许多年前，一项行动似乎已经启动，用于制造和组装这些寻呼机。

我认为这可能是大多数听众感兴趣的部分。有趣的问题是，为什么选择寻呼机？我想花几分钟来讨论真主党。多年来，特别是自许多战争开始以来，真主党在当前一代人中，过去十年或二十多年里，随着冲突的持续，一直是众所周知的。

其他组织，就像大多数现代政府一样，非常清楚地知道，存在着网络攻击者，这就是当前战场的范围，并且存在于我们所有人都在使用和依赖的手机中。从 iPhone 到 Android，再到旧的 BlackBerry，这些都是目标。我也可以追踪你。

我可能会安装许多功能，甚至包括你拍摄的照片、社交媒体足迹等。你留下的痕迹。近年来，我一直在发布关于远离监控技术的资讯，他们已经转向我所熟悉的旧技术，即寻呼机。

我们称之为寻呼机，在那个时代，你收到一条短信，实际上只是一条短信，只是让你打电话给某人。我们做得更聪明，你可以发送额外的数字到末尾。这是一种非常基本的技术。

因此，像真主党这样的组织已经发布了指示，要求远离现代技术用于内部使用。现在人们开始了解以色列进行了一次非常成功的行动和工作，并对这些寻呼机的供应链进行了详细的分析。他们将转向这种更古老、更过时的技术。他们分析了从订购过程、制造过程到寻呼机最终落入个人手中的整个供应链。我们现在知道的是，他们插入了后来用于军事用途的爆炸装置。

是的。据我们所知，这次袭击可能造成数千名恐怖分子死亡或重伤。这对恐怖组织来说无疑是一次毁灭性的打击。我们可能还不知道对真主党军事能力的影响，但我认为我们可以开始评估这次行动对真主党作战人员的心理影响。你认为这次行动的心理影响是什么？

我有一个很好的问题。让我们稍微深入了解一下网络入侵和网络混乱，我已经从事这项工作近 15 到 20 年了。就像公司一样，他们认为自己很安全，他们认为自己已经修补好了。

我认为他们对自己的技术投入了资金，并且有一个团队正在监控环境中进出信息的流动。但有一天，有人获得了未经授权的访问权限。而“格里姆蜂鸣器”行动中发生的事情，以及被认为是低科技设备的设备最终被攻破，其心理影响是相当可观的。

甚至不仅仅是设备被攻破的事实，它还允许攻击发生在人们认为安全的地方，对吧？家庭、办公室、地下位置。正如许多公开来源的报道所显示的那样，这些爆炸事件发生的地点，对目标的心理影响非常大，这与我们看到的网络混乱情况非常相似，即公司成为网络犯罪的受害者，他们认为自己的业务、电子邮件帐户是安全的，但有人利用钓鱼等手段最终获得了访问权限并破坏了安全网。

根据你的经验，你与遭受攻击的组织合作过，组织的运作方式以及领导者对安全的看法发生了哪些变化？一旦他们经历了这样的入侵，并且相信自己是安全的，这种入侵会改变他们的思维方式吗？

根据我的指导和观察，网络犯罪受害者中，有九成以上的人再也不想经历这样的事情，无论糟糕的经历是什么。这代价太大了。无论是如此重大的业务中断事件，以至于改变了整个收入来源、重点，我们该如何做得更好？我学到的一件事是，解释事情是如何发生的，与解释如何提高防御水平以最大限度地减少再次发生类似事件的可能性一样重要。

当你将这两点结合起来，并尝试将这些信息传达给经历过类似事件的人时，你可以通过解释入侵是如何发生的、解释根本原因来帮助塑造叙事。然后，我想做的，就像我引导许多网络犯罪受害者一样，他们意识到问题出在哪里，当所谓的“爆炸”发生时，而不是继续与“格里姆蜂鸣器”行动进行类比。但在调查和事件响应中，我们确实会进行类比，有一个时刻我们称之为“爆炸时刻”，例如赎金被勒索、资金转账被拦截、数据被盗。

在这个时刻，我们不再为事件做准备，不再积极地加强防御，而是应对事件，即“爆炸时刻”，对吧？因此，就像“格里姆蜂鸣器”行动一样，客户希望处理“爆炸时刻”，我试图引导他们度过这个时刻。我的团队也这样做。

随着一切尘埃落定，我们会向他们展示事情是如何发生的。所以，对他们来说，第一天是爆炸、勒索事件，以及他们的业务停止运营的时刻。而对我们来说，这可能是在第 10 天、第 15 天或第 30 天。

因此，当威胁参与者及其时间线出现时，我试图展示整个时间线，这确实让人们大开眼界。它具有教育意义。然后，我们将这些信息转化为，我们如何才能尝试防止这种情况再次发生。

这听起来好像这些创伤事件也是安全专业人员的机会。组织的首席执行官可以利用这种创伤来真正评估组织的安全态势，并从中受益。

我认为是这样。多年来的观察结果也是如此。我认为，任何听众，如果他们经历过这样的事件，他们可能会说的一件事是，我们从事件和调查中学到了什么，这让我有所启发，我相信大多数听众也能够说，我们从事件中学到的东西，可以转化为更好的构建模块，更好的防御措施，以后再使用。虽然有时说起来容易做起来难。

我试图做的就是说，这并不是一个单一的解决方案，一个万能的解决方案，可以让你永远不会再次被攻击。攻击者只需要成功一次。任何现代企业，都有数千甚至数万个弱点，他们可能在终端检测和响应 (EDR) 上做得很好。

他们可能在防火墙、主要安全措施上做得很好。但攻击者只需要一个零日漏洞或一封钓鱼邮件就能进入，一旦进入，入侵路径就会开始。所以，我们试图做的不仅仅是安装更好的钓鱼检测系统，而是进行教育上的改变。

以及将防御措施作为路线图，因为今天存在的漏洞，明天和一年后都会有新的漏洞和新技术。因此，我们希望展示的是，在构建路线图的过程中，存在一个持续的过程和价值。然后，最重要的一点是正确地为其提供资金。

许多企业、许多客户都经历过网络攻击的受害。他们有时会非常单一地看待问题。

这个事件发生了。

我该如何解决这个问题？我该如何恢复正常？我试图做的，我的团队试图做的，就是展示这是一个安全之旅，用它作为基准。你明白的，这是一个前进的路线图。制定真正的事件响应计划，与董事会、高管团队和 IT 团队进行模拟演习。我们逐渐提高教育水平，并随着时间的推移将预算纳入这些措施，使他们变得更加安全。

并且，每场危机都是一个机会。因此，即使是如此创伤性的事件，也可以成为未来改进事物的良机。在现代历史上，我们是否遇到过类似于“格里姆蜂鸣器”的攻击，无论是其实施方式、影响还是类似之处？

我们有。所以，近年来发生了一些非常有趣的事情。例如，近年来一次供应链攻击是三CX 事件。

他们提到了三CX 攻击，所以这里有一个简短的事件概述，它实际上值得在未来的恶意生活播客中进行更深入的探讨。2023 年 3 月，一家网络安全公司调查了一起影响三CX 的事件。

讨论一下三CX。三CX 是一款企业通信软件，它被攻破了，因此软件的恶意版本可以直接从该公司自己的网站下载。许多调查人员都意识到，这次攻击涉及到复杂的攻击。这是网络安全历史上第一次，攻击者利用双重供应链攻击。

攻击者攻击了名为交易技术公司（Trading Technologies）的第三方软件供应商，该公司提供名为 XTrade 的应用程序。XTrade 后来安装在三CX 员工的电脑上，允许黑客访问三CX 网络，破坏三CX 安装的应用程序，并感染许多客户。这是一次非常引人入胜的攻击，与“格里姆蜂鸣器”类似，可能需要长期规划。现在让我们回到访谈。

这是一次双重供应链攻击。另一家供应商认为，并指向一个潜在的亚洲政府，或者一个名为 Lazard 的组织，他们可能有一个最终目标，即进入某个特定的组织。他们无法直接进入。

因此，他们确定了该组织与哪些组织有业务往来，即业务对业务关系。他们最终采取了一种环状的方法。他们说，这个目标公司与这家公司有业务往来。

在这个公司，他们也有很好的防御措施。也许我们可以再往上游走一层，我们想要进入公司 A。我们将通过进入公司 B 来实现。

我从公司 C 开始，这听起来相当复杂，但有趣的是，你可以在公开来源中阅读很多关于这件事的信息，在书中，我写过关于 Lazard 组织的描述。但这个组织随着时间的推移，成功地入侵了公司 C，他们破坏了一部分软件，冒充关系，并能够进入公司 B。

他们利用这部分软件作为可信的软件，最终与公司 A 的业务相关。这项行动可能需要数年时间才能完成，很可能“格里姆蜂鸣器”行动也花了很长时间。这标志着国家行为者组织的特征，因为这些组织非常关注创造长期利益。而这些长期利益有时并非立竿见影，而是需要多年的规划和耐心。

这与我们在客户交易技术方面看到的三个 CX 非常相似，就像我们看到的太阳风一样。多年来的另一个例子。而且，关于这些事件，有很好的公开资料和开源资料。我们从这些攻击中学到，当一个威胁行为者对某个国家感兴趣时，对吗？当一个威胁行为者以某个国家为重点和目标时，他们会花时间和精力来实现该目标。

因此，可以合理地预期像朝鲜的 Lazarus 集团这样的国家行为者，我们有很多先进持续威胁 (APT) 集团。甚至 NSA 在过去也执行过一些伟大的行动，至少根据斯诺登泄密事件来看。例如，国家行为者，我们可以假设他们会从长远角度考虑问题，那么非国家行为者呢？他们有能力、有能力执行这样的行动，并提前数年思考他们的目标吗？

这是一个很好的问题。因此，当你转向威胁行为者的另一面，我将其称为威胁格局，你将看到另一大类，我将其视为网络犯罪或有组织犯罪。

现在，这是否意味着网络犯罪通常不会被归类到此？但有组织犯罪是指以财务动机为导向的？针对你的问题，他们是否有能力进行复杂的长期行动？我想说，可能有一小部分有组织犯罪集团，多年来我观察到，他们已经将此作为一种服务模式。

但有组织犯罪与国家行为者不同之处在于，国家行为者感兴趣的是支付，这会资助他们的行动，而国家行为者则有不同的资金来源。这是一份工作，对吧？他们属于军队。

他们属于情报部门，其关注点和动机大相径庭。但对于有组织犯罪分子来说，这是他们的生计，这是他们的薪水。针对你的问题，在这个范围内是否存在能够进行长期影响、长期行动的组织？我认为答案是肯定的，多年来观察到的有组织犯罪集团几乎将此作为一种服务模式。

他们利用资金通过洗钱、窃取数据和谈判、付款周期来资助复杂的行动。在某种程度上，IT 几乎成为他们的商业模式。他们进行黑客攻击，或者他们雇佣他人进行黑客攻击。

他们窃取数据，加密数据，收到付款，并用这笔钱资助技术开发。我们看到某些行为者利用这些杠杆来购买漏洞并资助漏洞研究和开发。因此，突然间，防火墙变得非常脆弱。

这不像斯诺登的例子那样是国家行为者的研究，而是复杂的行动。现在，这是一个真正的有组织犯罪集团，因为他们有资金，他们花时间研究漏洞。然后，我们看到零日漏洞的增加。

你观察到过去十年来一个非常有趣的趋势。从 2014 年开始，我一直在追踪关键漏洞或 CVE。如果你查看这些漏洞的映射，并且有一个非常好的网站，CVE Details.com。

该网站跟踪了从 2014 年至今每年发生的事件。识别、记录和解决漏洞的数量逐年增加。我认为这并非因为我们报告这些漏洞的能力提高了，而是因为有组织犯罪为了继续其财务活动而资助漏洞研究和开发。确实存在一些规模庞大、相当复杂的组织，他们绝对有能力并展示了他们进行长期行动的能力。

我们可能花一个小时来讨论如何防止供应链攻击。但是，对于希望减轻来自第三方供应商攻击风险的组织来说，你的前两到三项建议是什么？

前两到三项，哦，我喜欢这个问题，因为我有一整套建议。但有一些更容易、更快的建议。它们可能并不容易实施，也不一定是最经济的。但是，如果你正在寻找更广泛的安全控制措施，以增强弹性，以检测我们今天讨论的内容，检测并设置障碍以识别入侵。

那么，我的前两到三项建议是终端检测和响应 (EDR) 技术，或者实际上，它正在成为标准的检测和响应技术。无论技术是什么，它都能帮助监控你的计算机、服务器以及你的技术生态系统，包括云、虚拟化和参数日志记录。它允许你收集遥测数据、日志和数据，规范化这些信息，然后进行分析和响应，对吧？因此，我们不必关注具体的传感器，也不必关注你从哪里购买 IT 产品。让我们关注产品、思想和检测响应能力，以应对业务生态系统。

这是我从安全控制角度提出的第一条建议。许多人将安全控制视为物理控制，例如门禁卡。它与建筑物互动，或者他们是否使用它们来通过门禁系统。我可以用多因素身份验证作为第二个控制措施。我将假设大多数听众都熟悉多因素身份验证。

多因素身份验证。

可能会在入侵路径的某个方面被攻破。这就是为什么我首先提出检测和响应能力，因为如果我们假设系统会被攻破，那么我们需要一个适当的处理机制来检测、控制、清除并完全响应该入侵路径。这是我的第一条建议。

我的第二条建议是计划。如果我们想提高员工的安全意识和能力，我们就必须计划，我们必须进行培训。我在 FBI 工作时学到的一件事是，你必须训练自己以应对可能发生的事件。在执法部门，我们定期进行射击资格考试，因为我们必须做好准备。

有一天，我们必须做出反应来保护生命和财产。当需要使用致命武力时，我们必须经过训练。这与军队的情况类似。

你不会让坦克乘员第一次接触坦克，然后让他们在冲突中进行训练。你需要专家指导。网络安全也是如此，这在商业中也是如此。如果我们假设有一天会发生事件，为什么不进行培训，而不仅仅是 IT 部门的三四个人，而是整个企业都进行培训呢？

这引出了我的第二条建议，即事件响应计划和桌面演习。许多组织提供这些服务。我指导和实施了多年的桌面演习。当你看到客户在意识到他们之前从未想过的事情或如何应对时，你会感到很欣慰。

因此，事件响应计划和桌面演习为组织提供了一个机会，在需要打破玻璃、真正发生事件之前，体验事件的可能性。因此，我们首先从事件响应开始。第二是事件响应计划和桌面演习。

我经常向更广泛的受众提出的最后一条建议是良好的访问控制。许多公司一开始都建立了坚实可靠的访问控制措施。这是新公司，他们一开始就建立了很好的概念，当他们规模较小，只有一两个人负责 IT 或管理或人力资源时，他们掌握着王国的钥匙。

随着业务增长和组织扩张，IT 部门不再只有十名员工，而是成千上万名员工，我反复发现，组织中访问控制管理非常糟糕。对于个人组、服务帐户或用户，他们拥有扩展的权限，但他们不一定需要这些权限，或者安装了每个人都可以访问的软件，而实际上只有关键团队应该访问这些软件，或者权限比他们应该拥有的权限更开放，例如文件服务器或云共享位置。我们需要转向更安全的原则，即更少的访问权限。更少的访问权限是可以的。这可能会导致更多请求，但没关系。

我的意思是，我们需要转向这种纪律，即当有人需要访问权限时，他们真的需要它。他们需要它来完成特定目标、工作部分，然后转到下一个项目。让我们限制访问权限，让我们控制访问方式，因为这就是威胁行为者在进入后会滥用的方式。他们会找到如何滥用和误用现有过度配置的访问权限来实现他们的最终目标。因此，检测响应能力、事件响应计划、桌面演习和访问控制，这些是帮助组织从一开始就采用良好实践来加强安全性的三个建议。

好吧，其中一个原因，我能够攻击这么多 Hezbollah 操作员，部分原因是他们每个人都使用相同的对讲机、相同的蜂鸣器。组织内部总存在一种紧张关系，即技术同质性和技术异质性。

例如，如果每个人都使用相同的操作系统，那么每个人都容易受到该操作系统中发现的零日漏洞的影响。但是，如果一名员工使用 Linux，另一名员工使用 Windows，另一名员工使用 macOS，那么单个零日漏洞就不会影响所有员工。但从 IT 角度来看，管理如此多的不同系统变得非常困难。

这是一个非常有趣的问题。所以，从第三方的角度来看，你需要这样回答。正如你所说，如果我的受害者网络中的所有技术都是相同的，那么单个漏洞可以造成最大的破坏。

如果组织中存在各种不同的技术，我可能会成功攻击网络的某些部分，但不会完全攻击，或者需要更多的时间和更复杂的工具和流程来实现入侵路径。我认为我希望看到更多的是技术和组织的混合匹配，这在财务方面很少见，因此在组织中，有时这更容易从管理和 IT 角度来看。正如你所说，当你有 1、2 或 3 种技术时，它也成为一个财务预算问题。

归根结底，预算用于投资安全措施。你需要在 IT 方面的投资与安全措施之间取得适当的平衡。因此，无论组织使用的是单一技术还是多种技术，最终都需要类似的基本安全技术，以便能够检测和响应，无论组织使用的是单一技术还是多种技术。

大卫，谢谢你。非常、非常感谢。这是一个非常有趣的对话。

非常乐意。期待将来在另一个话题上与你交谈。谢谢。