去年12月披露SolarWinds供应链事件给美国所有科技公司和 *** 机构上了一课,可以说是“伤害小,侮辱性强!”
尽管美国国会仍在争论始作俑者是否是俄罗斯情报机构,但黑客事件确实打击了美国。毕竟,就连共和党参议员也承认“这是一个相当成功的情报行动。”
这次袭击造成的伤害可能仅次于2016年俄罗斯两大间谍组织共同偷窃DNC1.9万多封绝密邮件发生在美国总统大选前几个月……
深刻反思SolarWinds2月最后一周,美国国会举行了两次听证会。在会议上,之一家发现入侵证据的安全公司引起了人们的注意(FireEye)公司CEO 凯文·曼迪亚,更是提出了灵魂反问:“我们美国人呢?”
显然,其他参加听证会的问题。CEO议员们都意识到,在这两次听证会之后,美国很可能会更新2015年的 *** 安全信息共享法案,促进各部门和科技企业之间的信息流通,以便对入侵事件做出快速反应,并鼓励勇敢“吹哨人”,保护“吹哨人”!
SolarWinds,来源:USNews
恨!黑客一年前进行了攻击“预演”都没警觉
2月份,白宫在攻击中盖章,包括美国宇航局和联邦航空管理局在内的9家联邦 *** 机构和近100家公司受到威胁。
国会主席次听证会上(注:参议院情报委员会2月23日举行的听证会,众议院监督改革委员会和国土安全委员会2月26日举行的联合听证会),SolarWinds这是美国历史上最严重的 *** 攻击。
(左起)众议员James Comer,Bennie G. Thompson,John Katko和Carolyn Maloney来源:BankInfoSecurity
它到底是怎么发生的?首先,事件主体SolarWinds是一家大型IT美国大科技公司使用其 *** 监控产品Orion。攻击者在Orion在更新中植入了一个名称“Sunburst”供应链攻击发起后门,SolarWinds下载更新后,1.8万名客户被招募,部分公司被攻击者进一步入侵。
有趣的是,火眼CEO 凯文·曼迪亚在23日的听证会上透露,攻击者疑似于2019年10月举行了一次听证会“预演”来进行技术测试,然后在2020年3月至6月之间开始实际攻击。
曼迪亚称,“攻击者安装了进入生产环境,攻击者安装了无害的内置程序。“他补充说,100名火眼工程师花了1万多个工时的调查发现。
微软总裁 布拉德·史密斯还陈述了该公司的调查结果“至少有1000名开发者参与了这次攻击“,他说,并非所有的开发者都参与了最初的攻击,许多人负责企业 *** Sunburst后门后部署一些二次恶意软件。
至于为什么这次攻击已经一年没有被发现了?史密斯说“这是一次非常复杂、耐心和不懈的攻击。”
公司拉踩:我警告,你为什么无动于衷?
在SolarWinds攻击发生时,各大科技公司并没有之一时间做出预警响应和信息交换,而是开始了“花式拉踩”。
微软总裁 布拉德·史密斯在26日的听证会上告诉议员,微软已经发表了32篇文章,记录了微软在竞选期间观察到的内容SolarWinds谷歌只发表了一篇博客文章,而亚马逊保持沉默,什么也没发表。(注:在23日的听证会上,参议员质疑该攻击使用了亚马逊的一些 *** 服务;亚马逊周一公开承认其弹性云服务EC2被攻击者利用)
史密斯暗戳说,“我们行业中一些大公司明明已经参与其中,却并没有公开回应,甚至连一点告知客户的迹象也没有。”
(左起)微软总裁布拉德·史密斯,SolarWinds首席执行官Sudhakar Ramakrishna和火眼CEO凯文·曼迪亚23日出席听证会,来源:BankInfoSecurity
DomainTools 高级安全研究员乔 · 斯洛维克说,亚马逊 AWS 可贡献 SolarWinds 攻击中黑客的财务信息,披露黑客在互联网上的 *** 流量数据,以及存储在亚马逊 AWS 服务器上的数据。这些数据可以显示黑客还在从事什么活动,可能还在使用什么工具。
但亚马逊高管拒绝参加国会听证会。
拉其他公司的微软并不完全“清白”。
SolarWinds据说攻击者最初是通过微软进行的0ffice 365服务的漏洞进入其系统。虽然微软强烈否认了这一说法,但它也不得不承认攻击者已经获得了其部分产品的源代码。因此,微软在SolarWinds事件发生后,也面临严格审查。
另一个微软“老对手”谷歌在听证会前被曝光游说议员。据报道,谷歌于22日向议员们提供了一份关于微软产品安全性的清单,例如Windows 10、 Azure 和 Office 365。
国会反思:为什么不分享威胁情报?
公司之间的花式拉踩让国会开始反思你为什么不分享威胁信息?如果事件发生时有一个“吹哨人”对入侵之一时间做出反应,各公司交换持有的情报,事件能否尽早查明原因,缩小影响范围,甚至提前预防?
火眼的CEO 凯文·曼迪亚提出,“为了保护国家和行业,必须有一种机制,让那些感受到攻击的人能够快速共享情报和数据。‘吹哨人’。吹哨人有义务与 *** 机构分享威胁情报。同时,我们必须保护吹哨人免受各种障碍和披露。只有这样,我们才能快速掌握自己的情报,进行调查。“
(左起)火眼CEO凯文·曼迪亚,SolarWinds首席执行官Sudhakar Ramakrishna布拉德,微软总裁·来源:Reuters
参加这两次听证会的科技公司高管和议员认为,在发生重大数据泄露时,需要做更多的工作来分享情报。
目前,包括联邦 *** 和科技企业在内的各级威胁情报共享仍然是焦点。例如, *** 安全监管机构CISA科技企业是否有勇气披露安全事件的流程和机制( *** 安全与基础设施安全局)。
约翰,美国国土安全委员会高级成员·尽管根据2021年国防授权法案,卡特科在26日的听证会上表示, CISA威胁监管已经被赋予了更大的权力,但也需要更多的权力,如科技企业的整体知情权,以有效防御和快速反应。
微软总裁 布拉德·史密斯说,企业和联邦机构应该共享 *** 安全信息,但一些公司可能会犹豫,因为他们担心可能违反法律。他说,美国的违约披露法也应该加强,“鼓励甚至强迫一些企业或吹哨人发出预警报告。”
这次SolarWinds事件可能会推动国会更新2015年《 *** 安全信息共享法》,促进各部门与科技企业之间的信息流通,美国可能会有越来越多的哨兵。