安全內(nèi)參7月17日消息��,美國聯(lián)邦機(jī)構(gòu)和其他組織的非機(jī)密微軟云郵箱賬戶在上個月遭到網(wǎng)絡(luò)攻擊����。
一位CISA高級官員告訴記者,聯(lián)邦網(wǎng)絡(luò)防御人員之所以能及時檢測到上述網(wǎng)絡(luò)攻擊事件���,是因?yàn)槭准沂苡绊懙穆?lián)邦機(jī)構(gòu)(據(jù)報(bào)道是美國國務(wù)院)啟用了高級日志記錄功能����。
美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)預(yù)計(jì)很快將與微軟就此事發(fā)布一項(xiàng)公告���,在微軟高級付費(fèi)體系之外也提供關(guān)鍵網(wǎng)絡(luò)日志功能。
微軟365漏洞被利用�����,多家聯(lián)邦機(jī)構(gòu)郵箱遭攻擊
CISA和聯(lián)邦調(diào)查局在7月12日發(fā)布官方通告��,確認(rèn)高級持續(xù)性威脅行為者獲取并外泄了非機(jī)密Exchange Online Outlook數(shù)據(jù)����。通告稱,上個月��,一家聯(lián)邦民用機(jī)構(gòu)在其微軟365環(huán)境中發(fā)現(xiàn)了可疑活動��。
CNN等媒體報(bào)道稱��,首家受影響的機(jī)構(gòu)是國務(wù)院。美國商務(wù)部也遭到入侵����,攻擊者還針對眾議院的郵箱賬戶進(jìn)行了攻擊。
微軟也發(fā)布通告��,將此事件歸咎于一個名為“Storm-0558”的威脅組織�。微軟于6月16日啟動調(diào)查,發(fā)現(xiàn)該組織獲得了大約25家機(jī)構(gòu)(包括政府機(jī)構(gòu))的電子郵件訪問權(quán)限��。
調(diào)查顯示��,威脅組織 “使用偽造的身份驗(yàn)證令牌�����,和獲取的微軟賬戶(MSA)消費(fèi)者簽名密鑰訪問用戶電子郵件”�����,成功實(shí)施入侵����。微軟還指出,“已對所有受攻擊客戶采取緩解措施”���。
日志記錄發(fā)揮關(guān)鍵作用���,檢出基線異常行為
CISA和FBI在官方通告中指出����,之所以發(fā)現(xiàn)了這次攻擊�,是因?yàn)橄嚓P(guān)機(jī)構(gòu)(他們并未確認(rèn)是國務(wù)院)能夠利用“增強(qiáng)的日志記錄”,并將日志與Outlook正?�;鶞?zhǔn)活動進(jìn)行比較���。具體而言,他們利用的是記錄“已訪問郵件項(xiàng)目”(MailItemsAccessed)的日志文件���。
官方通告表示:“CISA和FBI尚未知曉其他可能會檢測到此活動的審計(jì)日志或事件���。我們強(qiáng)烈建議關(guān)鍵基礎(chǔ)設(shè)施組織實(shí)施日志記錄,以增強(qiáng)其網(wǎng)絡(luò)安全態(tài)勢���,保證能夠檢測到類似的惡意活動��?��!?
在當(dāng)天的記者簡報(bào)會上�����,一位CISA高級官員強(qiáng)調(diào)了訪問這些日志數(shù)據(jù)的重要性:“值得注意的是���,日志可用性對于識別特定入侵至關(guān)重要。CISA和FBI與微軟以及其他技術(shù)伙伴合作��,確保了所有行業(yè)所有客戶都能獲得所需的日志信息���?�!?
CISA和FBI官員指出����,與2020年的SolarWinds攻擊事件相比��,這次事件并不嚴(yán)重���。這主要?dú)w功于首家遭襲機(jī)構(gòu)能夠訪問日志數(shù)據(jù)并迅速識別出潛在入侵活動��。本次攻擊沒有危及機(jī)密系統(tǒng)或數(shù)據(jù)�。
CISA官員指出:“與之前的入侵活動相比,無論是聯(lián)邦政府快速檢測入侵的能力���,還是我們與各機(jī)構(gòu)和私營部門的合作應(yīng)對能力�����,都有了顯著的改善�����?��!?
為擺脫“惡名”,微軟將免費(fèi)提供高級日志記錄
該官員還確認(rèn)�,關(guān)鍵日志只能在微軟的“高級日志記錄層”(premium logging tier)下可訪問��,這意味著沒有為該服務(wù)付費(fèi)的組織無法自行識別惡意活動���。但是���,CISA預(yù)計(jì)將很快發(fā)布有關(guān)與微軟進(jìn)行的討論的公告,實(shí)現(xiàn)無需額外付費(fèi)即可獲取關(guān)鍵日志類型����。
CISA官員表示:“我們與微軟深入合作�,數(shù)月來一直在確定對網(wǎng)絡(luò)安全防御人員最有價值的日志類型����,希望這些日志能免費(fèi)提供。微軟在這些對話中特別積極��、十分配合���。我們預(yù)計(jì)很快會發(fā)布非常積極的公告����,將非高級許可中的其他日志類型提供給所有組織��?�!?
早在SolarWinds攻擊事件之后��,一些國會議員抨擊微軟對日志記錄收取額外費(fèi)用����,提出云服務(wù)提供商和其他技術(shù)公司是否應(yīng)免費(fèi)提供增強(qiáng)的日志記錄等服務(wù)等問題。后來,微軟為聯(lián)邦機(jī)構(gòu)免費(fèi)提供了日志記錄服務(wù)����,為期一年。
2021年5月簽署的網(wǎng)絡(luò)安全行政命令將改善對網(wǎng)絡(luò)事件日志的訪問視為加強(qiáng)政府網(wǎng)絡(luò)調(diào)查和糾正能力的關(guān)鍵所在����。白宮管理和預(yù)算辦公室要求機(jī)構(gòu)在活動存儲器中至少保留12個月的微軟審計(jì)日志,以便快速訪問����,并在冷存儲器中額外保留18個月。
今年早些時候�,CISA聯(lián)合多家機(jī)構(gòu)發(fā)布了“設(shè)計(jì)安全”和“默認(rèn)安全”原則。設(shè)計(jì)原則著重于確保安全的軟件開發(fā)實(shí)踐���,而默認(rèn)安全明確要求技術(shù)公司確保其產(chǎn)品默認(rèn)配置符合最佳安全實(shí)踐��,比如為特權(quán)用戶提供多因素身份驗(yàn)證�����、支持免費(fèi)安全日志記錄。
今天�����,CISA高級官員對記者說:“且不提特定受害者的安全屬性,我們需要注意����,大多數(shù)使用微軟365或其他常用技術(shù)平臺的組織并不付費(fèi)使用高級日志記錄或其他遙測服務(wù),我們認(rèn)為這種模式無法實(shí)現(xiàn)期望的安全結(jié)果����。”
