当美国官员开始公开讨论被称为“威胁行为者”的威胁行为者时 Salt Typhoon很明显,这不仅仅是零散的攻击。但对于合规负责人来说,更重要的问题是,如此大规模的攻击活动如何在理应合规的系统中持续如此之久?
在这个缝隙的中心是一个很多组织认为他们已经解决了……即rootkit问题。
为什么盐暴会构成合规威胁
目录
切换
为什么盐暴会构成合规威胁为什么Rootkit会引发合规性问题合规盲点:盐台风暴露无遗NIST如何应对Rootkit式威胁NIST SP 800-53NIST SP 800-171 和 800-172CMMC与持续访问的挑战FedRAMP与边界安全的幻觉合规领导者应该吸取哪些经验教训下载我们的公司宣传册。
Salt Typhoon (又名 Earth Estrie, 幽灵皇帝, 著名麻雀和 UNC2286“盐台风”(Salt Typhoon)是美国情报和网络安全机构对一起与中国有关的网络间谍活动的命名,该活动于2024年末至2025年初引起公众关注。与许多备受瞩目的网络安全事件不同,“盐台风”并未涉及勒索软件或明显的数据窃取。相反,它代表着一项旨在持续入侵美国及其盟国电信和网络基础设施的长期隐蔽行动。
Salt Typhoon攻击的目标是核心电信基础设施,而非单个终端或应用程序。攻击者通过入侵网络管理层和身份系统,得以观察并可能影响通信,而不会触发传统的警报机制。
这对合规专家来说是个难题。大多数合规框架都假设风险可以通过一系列措施来管理,包括记录在案的控制措施、访问限制、日志记录和定期评估。然而,Salt Typhoon 事件表明,攻击者可以满足所有这些条件,并且仍然能够不被发现地进行攻击。这不是安全问题,而是治理问题。
为什么Rootkit会引发合规性问题
对于许多合规和治理领域的领导者来说,“这个术语” rootkit的 感觉像是网络安全早期时代的遗物,与恶意软件和老旧操作系统联系在一起。Salt Typhoon 就是这些策略演变的一个例子。
Salt Typhoon 攻击活动正是这种演变的典型例证。与安装恶意软件或修改系统文件不同,该攻击活动依赖于可信的访问路径和管理工具。攻击者无需隐藏文件或进程,因为他们是在大多数组织机构固有信任的环境中进行操作。
从合规角度来看,这正是现代rootkit式活动如此危险的原因所在。传统的安全模型假设恶意行为会违反策略、触发警报或留下取证痕迹。Salt Typhoon事件表明,老练的攻击者无需做到上述任何一点,就能维持深度且长期的访问权限。攻击者与其说是绕过了控制措施,不如说是在这些控制措施的框架内轻松操作。
合规盲点:盐台风暴露无遗
大多数合规框架的设计都基于一个共同的假设,即安全漏洞是显而易见的。但这种假设正变得越来越错误。
盐台风揭示了受监管环境中存在的几个结构性盲点。
首先,许多合规计划 强调验证而非有效性策略已制定,日志已收集,访问审查也已进行。但这些控制措施通常被孤立地评估,而没有从它们是否能检测到攻击者的角度进行评估。
其次, 合规框架通常依赖于理论边界而非实际边界。即使攻击者能够跨越网络边界和授权边界进行攻击,这些边界仍然被用来定义责任。
第三, 合规性评估通常是静态的。“盐台风”事件揭示了这种模式的危险性。一个组织可能通过了审计,但第二天仍然可能被攻破,甚至在审计过程中就已经被攻破。
在考察主要合规框架如何处理类似 rootkit 的行为时,这些问题就变得尤为明显。
NIST如何应对Rootkit式威胁
NIST 出版物是许多美国合规计划的基础,包括 FedRAMP 和 CMMC。从理论上讲,NIST 对 Salt Typhoon 所代表的威胁类型提供了强有力的保障。然而,在实践中,这些控制措施往往被解读得过于狭隘。
NIST SP 800-53
NIST 800-53 包括与访问控制、系统完整性、监控和事件响应相关的广泛控制措施。相关控制类别包括:
AC(访问控制)管理特权访问和职责分离。
AU(审计和问责)规定了日志记录和监控的预期目标。
身份识别与认证(IA)旨在确保身份安全。
SC(系统和通信保护)涵盖网络安全。
SI(系统和信息完整性)负责恶意软件和异常检测。
问题在于,这些策略往往实施不当或执行层级错误。例如,您的组织可能只保护了终端用户的设备和应用程序,而忽略了这些控制策略之外的关键网络基础设施和治理策略。
NIST SP 800-171 和 800-172
NIST 800-171 及其增强版 NIST 800-172尤其具有相关性,因为它们明确针对高级持续性威胁。
这些框架强调:
持续监测而非定期审查。
异常行为检测。
抵御老练对手的攻击。
增强日志记录和审计功能。
威胁搜寻与主动防御。
然而,在许多合规项目中,这些控制措施被视为目标而非流程。它们虽有文件记录,但资源投入不足。“盐台风”行动揭示了当对手精准利用这一漏洞时会发生什么。
CMMC与持续访问的挑战
CMMC旨在提高处理受控非密信息的组织的安全基线。在更高的成熟度级别中,它明确地应对高级威胁和持续性攻击者。
Salt Typhoon 凸显了 CMMC 合规性面临的一个实际挑战:默认情况下,满足防御 APT 的控制要求并不会实现。
一个组织可能完全符合 CMMC(并且根据定义,也符合 NIST 800-171 和 800-172),但仍然无法检测到在受信任系统中悄悄运行的攻击者。
FedRAMP与边界安全的幻觉
FedRAMP近年来取得了显著进展,尤其是在强调零信任原则、持续监控和供应链风险管理方面。然而,Salt Typhoon事件凸显了云和基础设施提供商面临的持续挑战。
FedRAMP 20x 高度依赖于已定义的系统边界、持续的监控数据、日志聚合和分析以及定期评估。
但老练的攻击者越来越多地在这些边界之外活动,同时仍然能够影响边界内的系统。当攻击者攻破身份基础设施、网络路由或电信层时,他们可能永远不会直接与受 FedRAMP 授权的系统交互。这会造成一种虚假的安全感,使人们误以为控制措施有效,但实际上整个环境已被破坏。
合规领导者应该吸取哪些经验教训
2026 年,盐潮是合规领导者面临的新现实。威胁会通过耐心地利用受信任的系统而出现。
Salt Typhoon 事件凸显了 NIST、CMMC 和 FedRAMP 等框架为何要持续向持续监控、零信任原则和基于行为的监管方向发展。对于合规负责人而言,合规的未来在于摆脱清单式的检查,并了解这些控制措施在压力下的表现。
我们为市场上每个主要法规和合规框架提供风险管理和合规支持,包括:
联邦RAMP
GovRAMP
《通用数据保护条例》(GDPR)
NIST 800-53
DFARS NIST 800-171、800-172
中国移动通信集团
SOC 1、SOC 2
HIPAA
数据安全标准 4.0
国税局 1075, 4812
加拿大福利管理委员会
ISO 27000 系列
ISO 9000 系列
工业标准
100多个框架
还有更多。我们是全球唯一获得 FedRAMP 和 StateRAMP 授权的合规和风险管理解决方案。
Continuum GRC 是一种主动式网络安全®,也是唯一一个 FedRAMP 和 StateRAMP 授权 全球网络安全审计平台。致电 1-888-896-6207,讨论贵组织的网络安全需求,并了解我们如何帮助您保护系统并确保合规性。
你想要的准备
名称 *(名)(姓)电子邮件 *电子邮件确认电子邮件电话企业 *我们该如何帮助你? *您想要托管服务还是准备服务? *风险管理服务合规管理服务准备服务和技术写作有些什么没有列出?您对哪种类型的订阅感兴趣? *MSP(管理多个客户的提供商)企业(管理你的公司)DIY(有限访问预配置模块)有些什么没有列出?您想成为集成合作伙伴吗?是没有你有什么问题? *您偏好哪种托管方式? *AWS 托管(商业)FedRAMP 授权 AWS GovCloud 托管(联邦和州政府)AWS 欧洲托管(商业版)您对哪些审计、监管和风险订阅模块感兴趣? *GovRAMP联邦RAMPSOC 1SOC 2中国移动通信集团NIST 800-171NIST 800-172NIST 800-53抗凝血酶原PCI DSS QSA 和 SAQISO 27001
ISO 27002
ISO 27017
ISO 27018
ISO 27701
ISO 22301
ISO 9001
ISO 90003
ISO 42001
健康保险隐私及责任法 NIST 800-66工业标准国税局1075国税局4812二甲基甲酰胺美国国家标准技术研究所脑脊液ENSC5欧盟CS隐私、CCPA、CPRA、GDPR、PIPEDA、DPIAFTC 保障措施FDA 21 CFR 第 11 部分 GxP欧洲能源委员会 CIPCBFP。FFIEC、SEC、NFA 和 FINRACIS加拿大福利管理委员会MPA 内容安全最佳实践 (TPN)NIST RMF。800-30、800-37、第三方风险火星-ECTP专利有些什么没有列出?您对哪些治理与政策订阅模块感兴趣? *GovRAMP联邦RAMPSOC 1 和 SOC 2CMMC 或 NIST 800-171欧洲共同体、C5、ENSPCIISOHIPAA隐私、CCPA、CPRA、GDPR、PIPEDA、DPIA工业标准NIST 800-53欧洲能源委员会 CIPSEC、NFA 和 FINRA有些什么没有列出?
下载我们的公司宣传册。我同意接收额外的营销信息。提交