去年12月披露的SolarWinds供应链事件给美国所有科技公司和政府机构上了一课。!尽管美国国会还在争论始作俑者是不是俄罗斯情报机构,但这起黑客事件确实打了美国的脸。毕竟,就连共和党参议员本人也承认“这是一次相当成功的情报行动”。这次袭击造成的损失可能仅次于2016年俄罗斯两大间谍组织联合窃取DNC(民主党全国委员会)19000多封绝密邮件,而且就发生在美国总统大选前几个月……为深刻反思SolarWinds事件,美国国会在2月的最后一周举行了两次听证会,对其进行审议。会议期间,最先发现入侵证据的安全公司FireEye的首席执行官凯文曼迪亚甚至提出了一个深情的反问:“我们的美国举报人在哪里?”立法者和立法者都意识到,在这两次听证会之后,美国很可能会在2015年更新《网络安全信息共享法案》,以促进各部门和科技公司之间的信息流通,以快速应对入侵并鼓励勇敢的行动。“爆料人”,保护“爆料人”!SolarWinds,来源:USNews讨厌!黑客在一年前进行了一次攻击“预演”,并不知道白宫在2月份对这次攻击进行了标记。九个联邦政府机构和近100家公司在这次攻击中受到损害,其中包括NASA和联邦航空管理局。在两次国会听证会上(注:2月23日参议院情报委员会举行的听证会,以及2月26日众议院监督和改革委员会与国土安全委员会举行的联合听证会),国会主席表示SolarWindsIt是美国历史上最严重的网络攻击。(左起)众议员詹姆斯·科默、本尼·G·汤普森、约翰·卡特科和卡罗琳·马洛尼主持了26日的联合听证会。资料来源:BankInfoSecurity那么它是如何发生的呢?首先,事件的主体是大型IT服务商SolarWinds。美国各大科技公司都在使用其网络监控产品Orion。攻击者在Orion更新中植入了一个名为“Sunburst”的后门,并发起了供应链攻击。下载更新后,所有18,000名SolarWinds客户都被招募,其中一些公司进一步受到攻击者的损害。有趣的是,FireEyeCEO凯文曼迪亚在23日的听证会上透露,攻击者怀疑他们在2019年10月进行了技术测试的“预演”,然后在2020年3月到6月之间进行了实际攻击。曼迪亚说,“攻击者安装了一个无害的内置程序,以确保它可以进入生产环境。”他补充说,这是FireEye的100名工程师的10,000多个工时的发现。微软总裁布拉德·史密斯也表示公司的调查结果是“至少有1000名开发人员参与了这次攻击”。在后门之后,部署了一些二级恶意软件。至于这次攻击为什么一年都没有被发现?史密斯说,“这是一次非常复杂、非常耐心和持久的攻击。”公司拉扯:我警告过,你怎么无动于衷?事件发生后,各大科技公司并没有第一时间做出预警反应和信息交流,而是开始“花式拉踩”。微软总裁布拉德史密斯在26日的听证会上告??诉立法者,微软已经发表了32篇文章,记录了微软在竞选期间以及从SolarWinds攻击者那里观察到的一切,而谷歌只发表了一篇博文,亚马逊保持沉默,什么也没发表。(注:在23日的听证会上,参议员质疑此次攻击使用了亚马逊的部分网络服务;25日,亚马逊公开承认攻击者使用了其弹性云服务EC2)史密斯暗中表示,“我们的一些行业大公司明明涉足,却没有公开回应,甚至连通知客户的迹象都没有。》(左起)微软总裁布拉德·史密斯、SolarWindsCEOSudhakarRamakrishna和FireEyeCEOKevinMandia23日出席听证会,来源:BankInfoSecurityDomainTools高级安全研究员JoeSlovik表示,亚马逊AWS可以提供有关参与SolarWinds攻击的黑客的财务信息,泄露黑客在互联网上的网络流量数据,以及黑客在亚马逊AWS服务器上存储的数据。这些数据可以显示黑客还在从事哪些活动,可能还使用了哪些工具。但亚马逊高管拒绝参加听证会国会召开,踩踏其他公司的微软也并非完全“清白”,SolarWinds表示,攻击者最初是通过微软Office365服务中的一个漏洞进入其系统的,虽然微软强烈否认这一说法,但也不得不承认攻击者获得了其部分产品的源代码,因此微软也面临着严格审查y在SolarWinds事件之后。微软的另一个“老对手”谷歌被曝光。在听证会前游说立法者。据报道,谷歌22日向立法者提供了十几个问题清单,旨在审查Windows10、Azure和Office365等微软产品的安全性。国会反思:大家为什么不分享威胁智力?公司之间的花式拉扯让国会开始反思,你们为什么不共享威胁情报?如果有“举报人”在事件发生时第一时间响应入侵事件,企业能否及早发现事件,缩小影响范围,甚至提前预防。FireEyeCEOKevinMandia提出,“必须有一种机制,让那些感知到攻击的人能够快速共享情报和数据以保护国家和行业,这就是所谓的‘举报人’。举报人有义务与政府机构分享威胁情报,我们必须保护举报人免受阻碍和披露。这使我们能够迅速将情报掌握在自己手中并进行调查。》(左起)FireEyeCEOKevinMandia、SolarWindsCEOSudhakarRamakrishna和微软总裁BradSmith出席了23日的听证会,图源:路透社在发生重大数据泄露事件时,重点仍然是各级威胁情报共享,包括联邦政府和科技公司。例如,网络安全监管机构CISA(网络安全和基础设施安全局),科技公司是否有勇气披露安全事件的过程和机制美国国土安全委员会高级成员约翰·卡特科26日在听证会上表示,虽然根据2021年的《国防授权法案》,CISA被赋予了更大的权力进行威胁监管,但还需要更多的权力,比如对科技公司的整体知情权,才能有效防御和应对克莱。微软总裁布拉德史密斯表示,企业和联邦机构应该共享网络安全情报,但一些公司可能会犹豫是否这样做,因为他们担心这样做可能会触犯法律。他表示,美国的泄密披露法也应该得到加强。报告。“SolarWinds事件可能会推动国会更新2015年的《网络安全信息共享法》,以促进各部门和科技公司之间的信息流通,美国的吹哨人可能会越来越多。
