去年12月披露的SolarWinds供應鏈事件，給美國所有科技公司和政府機構狠狠上了一課，可以說是“傷害性不大，侮辱性極強!”

雖然美國國會對始作俑者到底是不是俄羅斯情報機構還有爭論，但這次黑客事件實實在在打了美國的臉。畢竟，連共和黨參議員自己都承認“這是一次相當成功的情報行動。”

這次攻擊事件帶來的傷害，可能僅次于2016年俄羅斯兩大間諜組織聯(lián)手偷了DNC(美國民主黨國家委員會)19000多封絕密郵件，而且就發(fā)生在當年美國總統(tǒng)大選前幾個月……

為了深刻反思SolarWinds事件，美國國會在2月的最后一周連開兩場聽證會來復盤。會中，最早發(fā)現(xiàn)入侵證據(jù)的安全公司火眼(FireEye)公司CEO 凱文·曼迪亞，更是提出了靈魂反問：“我們美國的吹哨人呢?”

這一問題顯然其他參與聽證會的CEO和議員都意識到了，這兩次聽證會后，美國很可能要更新2015年的《網(wǎng)絡安全信息共享法案》，促進各部門和科技企業(yè)之間的信息流通，以便對入侵事件做出快速反應，同時鼓勵勇做“吹哨人”，保護“吹哨人”!

[[385498]]

SolarWinds，來源：USNews

恨!黑客一年前做了攻擊“預演”都沒警覺

白宮在2月的時候給這次攻擊事件蓋了個戳，有9個聯(lián)邦政府機構和近100家公司在此次攻擊中受到威脅，其中包括美國宇航局和聯(lián)邦航空管理局。

在國會的兩次聽證會上(注：分別是2月23日參議院情報委員會舉行的聽證會，2月26日眾議院監(jiān)督和改革委員會和國土安全委員會舉行的聯(lián)合聽證會)國會主席則表態(tài)，SolarWinds是美國歷史上最嚴重的一次網(wǎng)絡攻擊事件。

[[385499]]

(左起)眾議員James Comer，Bennie G. Thompson,John Katko和Carolyn Maloney主持了26日的聯(lián)合聽證會，來源：BankInfoSecurity

那它到底是怎么發(fā)生的?首先事件主體SolarWinds是一家大型IT服務商，美國大科技公司都用它家的網(wǎng)絡監(jiān)控產(chǎn)品Orion。攻擊者在Orion的更新中植入了一個稱為“Sunburst”的后門，發(fā)起了供應鏈攻擊，于是SolarWinds的18000名客戶下載更新后都中招了，其中一些公司遭到了攻擊者的進一步入侵。

有意思的是，火眼的CEO 凱文·曼迪亞在23日的聽證會上透露，攻擊者疑似在2019年10月進行了一次“預演”來進行技術測試，然后在2020年3月至6月之間開始實際攻擊。

曼迪亞稱，“攻擊者安裝了一個無害的內(nèi)置程序，以確保它能夠進入生產(chǎn)環(huán)境。“他補充這是火眼的100名工程師花了10000多工時的調查發(fā)現(xiàn)。

微軟總裁 布拉德·史密斯也陳述了公司的調查結果“此次攻擊至少有1000名開發(fā)者參與“，他表示，并非所有的開發(fā)者都參與了最初的攻擊，許多人是負責企業(yè)中招Sunburst后門之后，部署一些二次惡意軟件。

至于為什么這次攻擊存在了一年之久都沒被發(fā)現(xiàn)?史密斯表示“這是一次非常復雜、非常有耐心、堅持不懈的攻擊。”

公司拉踩：我預警了，你為什么無動于衷?

在SolarWinds攻擊事件發(fā)生時，各大科技公司并沒有第一時間預警響應、互通信息，而是開始了“花式拉踩”。

微軟總裁 布拉德·史密斯在26日的聽證會上向議員表示，微軟已經(jīng)發(fā)表了32篇文章，記錄微軟在其競選期間觀察到的和從SolarWinds攻擊者那里看到的一切，而谷歌只發(fā)表了1篇博客文章，亞馬遜則保持沉默，什么也沒有發(fā)表。(注：23日的聽證會上，參議員質疑此次攻擊利用了亞馬遜的部分網(wǎng)絡服務;25日亞馬遜公開承認其彈性云服務EC2被攻擊者利用)

史密斯暗戳戳表示，“我們行業(yè)中一些大公司明明已經(jīng)參與其中，卻并沒有公開回應，甚至連一點告知客戶的跡象也沒有。”

[[385500]]

(左起)微軟總裁布拉德·史密斯，SolarWinds首席執(zhí)行官Sudhakar Ramakrishna和火眼CEO凱文·曼迪亞出席23日的聽證會，來源：BankInfoSecurity

DomainTools 高級安全研究員喬 · 斯洛維克稱，亞馬遜的 AWS 可以貢獻出 SolarWinds 攻擊中的黑客的財務信息，披露黑客在互聯(lián)網(wǎng)上的網(wǎng)絡流量數(shù)據(jù)，以及黑客們存儲在亞馬遜 AWS 服務器上的數(shù)據(jù)。這些數(shù)據(jù)都能顯示黑客還在從事什么活動，可能還在使用什么工具。

但亞馬遜高管們拒絕參加國會舉行的聽證會。

拉踩其他公司的微軟，也不是完全“清白”。

SolarWinds稱，攻擊者最初是通過微軟0ffice 365服務的漏洞進入其系統(tǒng)。微軟雖然強烈否認此說法，但也不得不承認攻擊者獲取了其部分產(chǎn)品的源代碼。因此，微軟在SolarWinds事件發(fā)生后也面臨了嚴格審查。

微軟的另一個“老對手”谷歌則被爆出，在聽證會前游說議員。據(jù)報道，谷歌22日向議員們提供了一份列有十幾個問題的清單，旨在審查微軟產(chǎn)品的安全性，如Windows 10、 Azure 和 Office 365。

國會反思：大家為什么不共享威脅情報呢?

公司間的花式拉踩讓國會開始反思，你們?yōu)槭裁床还蚕硗{情報呢?如果在事件發(fā)生時有個“吹哨人”對入侵第一時間做出反應，各公司互通持有的情報，那事件是不是能早點查明原因，縮小影響范圍，甚至提前防范。

火眼的CEO 凱文·曼迪亞提出，“必須有一種機制，讓那些感應到攻擊的人能夠迅速共享情報和數(shù)據(jù)，以保護國家和行業(yè)，這就是所謂的‘吹哨人’。吹哨人有義務將威脅情報分享給政府機構，同時我們必須保護吹哨人，使他無畏于各種阻礙和披露。這樣我們才能將情報快速掌握在自己手中，并開展調查。“

[[385501]]

(左起)火眼CEO凱文·曼迪亞，SolarWinds首席執(zhí)行官Sudhakar Ramakrishna和微軟總裁布拉德·史密斯出席23日的聽證會，來源：Reuters

參與這兩次聽證會的科技公司高管和議員們認為，在發(fā)生重大數(shù)據(jù)泄露事件時，需要做更多的工作來共享情報。

目前的焦點仍是各個層面的威脅情報共享，包括聯(lián)邦政府和科技企業(yè)。例如，網(wǎng)絡安全監(jiān)管機構CISA(網(wǎng)絡安全與基礎設施安全局)的職權和能力，科技企業(yè)是否勇于披露安全事件的流程和機制。

美國國土安全委員會高級成員約翰·卡特科在26日的聽證會上表示， 盡管根據(jù)2021年《國防授權法案》，CISA已被賦予更大的權力來進行威脅監(jiān)管，但還需要更多的職權如對科技企業(yè)的整體知情權，以有效地防御和快速反應。

微軟總裁 布拉德·史密斯表示，企業(yè)和聯(lián)邦機構應該共享網(wǎng)絡安全情報，但有的公司可能會因為擔心可能違反法律而猶豫不決。他說，美國的違約披露法也應該加強，“必須鼓勵，甚至強制某些企業(yè)或吹哨人發(fā)出預警報告。”

這次SolarWinds事件，可能反推國會更新2015年《網(wǎng)絡安全信息共享法》，促進各部門和科技企業(yè)之間的信息流通，美國的吹哨人可能會越來越多。