據(jù)外媒，微軟威脅情報(bào)中心MSTIC近期表示SolarWinds事件背后的攻擊者正在進(jìn)行一場(chǎng)針對(duì)150個(gè)國(guó)家政府機(jī)構(gòu)的網(wǎng)絡(luò)釣魚運(yùn)動(dòng)。據(jù)悉這次網(wǎng)絡(luò)釣魚活動(dòng)主要針對(duì)的是政府機(jī)構(gòu)、智庫(kù)、顧問和非政府組織。

對(duì)此，Akamai安全技術(shù)團(tuán)隊(duì)副總裁兼首席技術(shù)官Charlie Gero表示，“Nobelium(SolarWinds事件的黑客組織)正在做一些非常有趣的事情。他們將惡意軟件存儲(chǔ)在人們不會(huì)阻止的域中，例如Google Firebase和Dropbox。這些域通過(guò)受信任的SaaS提供商有效地清洗惡意軟件。這意味著DNS層的保護(hù)雖然至關(guān)重要，但顯然還不夠。企業(yè)機(jī)構(gòu)也需要內(nèi)容檢查(content inspection)，這就是SWG(安全Web網(wǎng)關(guān))發(fā)揮作用的地方。它將保護(hù)從專注于讓最終用戶遠(yuǎn)離互聯(lián)網(wǎng)上的危險(xiǎn)區(qū)域擴(kuò)展到接受無(wú)處不在的危險(xiǎn)，因此掃描病毒、執(zhí)行沙盒等是必須的。”

Akamai安全技術(shù)團(tuán)隊(duì)副總裁兼首席技術(shù)官Charlie Gero

Charlie Gero認(rèn)為，“在某種程度上，這在一個(gè)不同的用例中，再次確認(rèn)了零信任的重要性。過(guò)去，我們根據(jù)用戶的位置(在邊界內(nèi))信任用戶，但今天我們認(rèn)識(shí)到這種做法不夠安全，我們需要根據(jù)身份、風(fēng)險(xiǎn)等來(lái)驗(yàn)證每個(gè)訪問。我們?nèi)猿３８鶕?jù)數(shù)據(jù)的位置來(lái)信任數(shù)據(jù)(例如：它在Dropbox上，我的公司信任Dropbox，所以我們也信任)。但正如我們所見，犯罪分子越來(lái)越依賴這種按位置信任內(nèi)容的錯(cuò)誤來(lái)繞過(guò)企業(yè)保護(hù)。因此，重要的是，企業(yè)機(jī)構(gòu)不應(yīng)該根據(jù)其來(lái)源來(lái)信任用戶、內(nèi)容或任何東西，而應(yīng)該始終進(jìn)行掃描和驗(yàn)證。”

從新年伊始Microsoft確認(rèn)在其內(nèi)部環(huán)境中檢測(cè)到Solar Winds Orion平臺(tái)供應(yīng)鏈攻擊期間下載的惡意可執(zhí)行文件，該事件對(duì)美國(guó)政府機(jī)構(gòu)、私營(yíng)企業(yè)造成的危害可能比預(yù)期的更加嚴(yán)重。根據(jù)目前掌握的最新信息，大約有超過(guò)250家美國(guó)聯(lián)邦機(jī)構(gòu)和企業(yè)受到影響。

微軟表示，黑客入侵了SolarWinds的Orion監(jiān)控和管理軟件，從而讓他們能夠冒充該組織現(xiàn)有的任意用戶和帳號(hào)，美國(guó)網(wǎng)絡(luò)司令部和國(guó)家安全局在外國(guó)網(wǎng)絡(luò)內(nèi)部放置的用于檢測(cè)潛在攻擊的預(yù)警傳感器并沒有生效。此外，報(bào)道中還指出在今年總統(tǒng)大選期間，政府還利用了SolarWinds的資源和技術(shù)來(lái)進(jìn)行檢測(cè)，從而讓黑客躲過(guò)了美國(guó)國(guó)土安全部門的檢測(cè)。