安全內(nèi)參7月17日消息����,美國(guó)聯(lián)邦機(jī)構(gòu)和其他組織的非機(jī)密微軟云郵箱賬戶在上個(gè)月遭到網(wǎng)絡(luò)攻擊��。
一位CISA高級(jí)官員告訴記者�,聯(lián)邦網(wǎng)絡(luò)防御人員之所以能及時(shí)檢測(cè)到上述網(wǎng)絡(luò)攻擊事件����,是因?yàn)槭准沂苡绊懙穆?lián)邦機(jī)構(gòu)(據(jù)報(bào)道是美國(guó)國(guó)務(wù)院)啟用了高級(jí)日志記錄功能����。
美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)預(yù)計(jì)很快將與微軟就此事發(fā)布一項(xiàng)公告�,在微軟高級(jí)付費(fèi)體系之外也提供關(guān)鍵網(wǎng)絡(luò)日志功能。
微軟365漏洞被利用�����,多家聯(lián)邦機(jī)構(gòu)郵箱遭攻擊
CISA和聯(lián)邦調(diào)查局在7月12日發(fā)布官方通告��,確認(rèn)高級(jí)持續(xù)性威脅行為者獲取并外泄了非機(jī)密Exchange Online Outlook數(shù)據(jù)���。通告稱��,上個(gè)月�,一家聯(lián)邦民用機(jī)構(gòu)在其微軟365環(huán)境中發(fā)現(xiàn)了可疑活動(dòng)�。
CNN等媒體報(bào)道稱,首家受影響的機(jī)構(gòu)是國(guó)務(wù)院�。美國(guó)商務(wù)部也遭到入侵,攻擊者還針對(duì)眾議院的郵箱賬戶進(jìn)行了攻擊��。
微軟也發(fā)布通告�����,將此事件歸咎于一個(gè)名為“Storm-0558”的威脅組織。微軟于6月16日啟動(dòng)調(diào)查�����,發(fā)現(xiàn)該組織獲得了大約25家機(jī)構(gòu)(包括政府機(jī)構(gòu))的電子郵件訪問權(quán)限��。
調(diào)查顯示����,威脅組織 “使用偽造的身份驗(yàn)證令牌,和獲取的微軟賬戶(MSA)消費(fèi)者簽名密鑰訪問用戶電子郵件”�,成功實(shí)施入侵�。微軟還指出,“已對(duì)所有受攻擊客戶采取緩解措施”���。
日志記錄發(fā)揮關(guān)鍵作用�,檢出基線異常行為
CISA和FBI在官方通告中指出����,之所以發(fā)現(xiàn)了這次攻擊,是因?yàn)橄嚓P(guān)機(jī)構(gòu)(他們并未確認(rèn)是國(guó)務(wù)院)能夠利用“增強(qiáng)的日志記錄”�����,并將日志與Outlook正常基準(zhǔn)活動(dòng)進(jìn)行比較�����。具體而言���,他們利用的是記錄“已訪問郵件項(xiàng)目”(MailItemsAccessed)的日志文件����。
官方通告表示:“CISA和FBI尚未知曉其他可能會(huì)檢測(cè)到此活動(dòng)的審計(jì)日志或事件���。我們強(qiáng)烈建議關(guān)鍵基礎(chǔ)設(shè)施組織實(shí)施日志記錄���,以增強(qiáng)其網(wǎng)絡(luò)安全態(tài)勢(shì),保證能夠檢測(cè)到類似的惡意活動(dòng)�����?�!?
在當(dāng)天的記者簡(jiǎn)報(bào)會(huì)上��,一位CISA高級(jí)官員強(qiáng)調(diào)了訪問這些日志數(shù)據(jù)的重要性:“值得注意的是,日志可用性對(duì)于識(shí)別特定入侵至關(guān)重要��。CISA和FBI與微軟以及其他技術(shù)伙伴合作��,確保了所有行業(yè)所有客戶都能獲得所需的日志信息����。”
CISA和FBI官員指出�,與2020年的SolarWinds攻擊事件相比,這次事件并不嚴(yán)重�。這主要?dú)w功于首家遭襲機(jī)構(gòu)能夠訪問日志數(shù)據(jù)并迅速識(shí)別出潛在入侵活動(dòng)。本次攻擊沒有危及機(jī)密系統(tǒng)或數(shù)據(jù)��。
CISA官員指出:“與之前的入侵活動(dòng)相比���,無(wú)論是聯(lián)邦政府快速檢測(cè)入侵的能力,還是我們與各機(jī)構(gòu)和私營(yíng)部門的合作應(yīng)對(duì)能力���,都有了顯著的改善����?����!?
為擺脫“惡名”,微軟將免費(fèi)提供高級(jí)日志記錄
該官員還確認(rèn)����,關(guān)鍵日志只能在微軟的“高級(jí)日志記錄層”(premium logging tier)下可訪問,這意味著沒有為該服務(wù)付費(fèi)的組織無(wú)法自行識(shí)別惡意活動(dòng)����。但是,CISA預(yù)計(jì)將很快發(fā)布有關(guān)與微軟進(jìn)行的討論的公告����,實(shí)現(xiàn)無(wú)需額外付費(fèi)即可獲取關(guān)鍵日志類型。
CISA官員表示:“我們與微軟深入合作���,數(shù)月來(lái)一直在確定對(duì)網(wǎng)絡(luò)安全防御人員最有價(jià)值的日志類型��,希望這些日志能免費(fèi)提供����。微軟在這些對(duì)話中特別積極�����、十分配合。我們預(yù)計(jì)很快會(huì)發(fā)布非常積極的公告�,將非高級(jí)許可中的其他日志類型提供給所有組織?�!?
早在SolarWinds攻擊事件之后����,一些國(guó)會(huì)議員抨擊微軟對(duì)日志記錄收取額外費(fèi)用,提出云服務(wù)提供商和其他技術(shù)公司是否應(yīng)免費(fèi)提供增強(qiáng)的日志記錄等服務(wù)等問題����。后來(lái),微軟為聯(lián)邦機(jī)構(gòu)免費(fèi)提供了日志記錄服務(wù)����,為期一年。
2021年5月簽署的網(wǎng)絡(luò)安全行政命令將改善對(duì)網(wǎng)絡(luò)事件日志的訪問視為加強(qiáng)政府網(wǎng)絡(luò)調(diào)查和糾正能力的關(guān)鍵所在�����。白宮管理和預(yù)算辦公室要求機(jī)構(gòu)在活動(dòng)存儲(chǔ)器中至少保留12個(gè)月的微軟審計(jì)日志�,以便快速訪問�����,并在冷存儲(chǔ)器中額外保留18個(gè)月。
今年早些時(shí)候�����,CISA聯(lián)合多家機(jī)構(gòu)發(fā)布了“設(shè)計(jì)安全”和“默認(rèn)安全”原則��。設(shè)計(jì)原則著重于確保安全的軟件開發(fā)實(shí)踐����,而默認(rèn)安全明確要求技術(shù)公司確保其產(chǎn)品默認(rèn)配置符合最佳安全實(shí)踐,比如為特權(quán)用戶提供多因素身份驗(yàn)證��、支持免費(fèi)安全日志記錄��。
今天��,CISA高級(jí)官員對(duì)記者說:“且不提特定受害者的安全屬性�,我們需要注意,大多數(shù)使用微軟365或其他常用技術(shù)平臺(tái)的組織并不付費(fèi)使用高級(jí)日志記錄或其他遙測(cè)服務(wù)�,我們認(rèn)為這種模式無(wú)法實(shí)現(xiàn)期望的安全結(jié)果?����!?
