安全動(dòng)態(tài)

美國(guó)網(wǎng)絡(luò)安全現(xiàn)代化工程重大成果:首次“實(shí)時(shí)”抓住APT攻擊

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2023-07-17    瀏覽次數(shù):
 

安全內(nèi)參7月17日消息,美國(guó)聯(lián)邦機(jī)構(gòu)和其他組織的非機(jī)密微軟云郵箱賬戶在上個(gè)月遭到網(wǎng)絡(luò)攻擊。

一位CISA高級(jí)官員告訴記者,聯(lián)邦網(wǎng)絡(luò)防御人員之所以能及時(shí)檢測(cè)到上述網(wǎng)絡(luò)攻擊事件,是因?yàn)槭准沂苡绊懙穆?lián)邦機(jī)構(gòu)(據(jù)報(bào)道是美國(guó)國(guó)務(wù)院)啟用了高級(jí)日志記錄功能。

美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)預(yù)計(jì)很快將與微軟就此事發(fā)布一項(xiàng)公告,在微軟高級(jí)付費(fèi)體系之外也提供關(guān)鍵網(wǎng)絡(luò)日志功能。

微軟365漏洞被利用,多家聯(lián)邦機(jī)構(gòu)郵箱遭攻擊

CISA和聯(lián)邦調(diào)查局在7月12日發(fā)布官方通告,確認(rèn)高級(jí)持續(xù)性威脅行為者獲取并外泄了非機(jī)密Exchange Online Outlook數(shù)據(jù)。通告稱,上個(gè)月,一家聯(lián)邦民用機(jī)構(gòu)在其微軟365環(huán)境中發(fā)現(xiàn)了可疑活動(dòng)。

CNN等媒體報(bào)道稱,首家受影響的機(jī)構(gòu)是國(guó)務(wù)院。美國(guó)商務(wù)部也遭到入侵,攻擊者還針對(duì)眾議院的郵箱賬戶進(jìn)行了攻擊。

微軟也發(fā)布通告,將此事件歸咎于一個(gè)名為“Storm-0558”的威脅組織。微軟于6月16日啟動(dòng)調(diào)查,發(fā)現(xiàn)該組織獲得了大約25家機(jī)構(gòu)(包括政府機(jī)構(gòu))的電子郵件訪問權(quán)限。

調(diào)查顯示,威脅組織 “使用偽造的身份驗(yàn)證令牌,和獲取的微軟賬戶(MSA)消費(fèi)者簽名密鑰訪問用戶電子郵件”,成功實(shí)施入侵。微軟還指出,“已對(duì)所有受攻擊客戶采取緩解措施”。

日志記錄發(fā)揮關(guān)鍵作用,檢出基線異常行為

CISA和FBI在官方通告中指出,之所以發(fā)現(xiàn)了這次攻擊,是因?yàn)橄嚓P(guān)機(jī)構(gòu)(他們并未確認(rèn)是國(guó)務(wù)院)能夠利用“增強(qiáng)的日志記錄”,并將日志與Outlook正?;鶞?zhǔn)活動(dòng)進(jìn)行比較。具體而言,他們利用的是記錄“已訪問郵件項(xiàng)目”(MailItemsAccessed)的日志文件。

官方通告表示:“CISA和FBI尚未知曉其他可能會(huì)檢測(cè)到此活動(dòng)的審計(jì)日志或事件。我們強(qiáng)烈建議關(guān)鍵基礎(chǔ)設(shè)施組織實(shí)施日志記錄,以增強(qiáng)其網(wǎng)絡(luò)安全態(tài)勢(shì),保證能夠檢測(cè)到類似的惡意活動(dòng)?!?

在當(dāng)天的記者簡(jiǎn)報(bào)會(huì)上,一位CISA高級(jí)官員強(qiáng)調(diào)了訪問這些日志數(shù)據(jù)的重要性:“值得注意的是,日志可用性對(duì)于識(shí)別特定入侵至關(guān)重要。CISA和FBI與微軟以及其他技術(shù)伙伴合作,確保了所有行業(yè)所有客戶都能獲得所需的日志信息?!?

CISA和FBI官員指出,與2020年的SolarWinds攻擊事件相比,這次事件并不嚴(yán)重。這主要?dú)w功于首家遭襲機(jī)構(gòu)能夠訪問日志數(shù)據(jù)并迅速識(shí)別出潛在入侵活動(dòng)。本次攻擊沒有危及機(jī)密系統(tǒng)或數(shù)據(jù)。

CISA官員指出:“與之前的入侵活動(dòng)相比,無論是聯(lián)邦政府快速檢測(cè)入侵的能力,還是我們與各機(jī)構(gòu)和私營(yíng)部門的合作應(yīng)對(duì)能力,都有了顯著的改善?!?

為擺脫“惡名”,微軟將免費(fèi)提供高級(jí)日志記錄

該官員還確認(rèn),關(guān)鍵日志只能在微軟的“高級(jí)日志記錄層”(premium logging tier)下可訪問,這意味著沒有為該服務(wù)付費(fèi)的組織無法自行識(shí)別惡意活動(dòng)。但是,CISA預(yù)計(jì)將很快發(fā)布有關(guān)與微軟進(jìn)行的討論的公告,實(shí)現(xiàn)無需額外付費(fèi)即可獲取關(guān)鍵日志類型。

CISA官員表示:“我們與微軟深入合作,數(shù)月來一直在確定對(duì)網(wǎng)絡(luò)安全防御人員最有價(jià)值的日志類型,希望這些日志能免費(fèi)提供。微軟在這些對(duì)話中特別積極、十分配合。我們預(yù)計(jì)很快會(huì)發(fā)布非常積極的公告,將非高級(jí)許可中的其他日志類型提供給所有組織?!?

早在SolarWinds攻擊事件之后,一些國(guó)會(huì)議員抨擊微軟對(duì)日志記錄收取額外費(fèi)用,提出云服務(wù)提供商和其他技術(shù)公司是否應(yīng)免費(fèi)提供增強(qiáng)的日志記錄等服務(wù)等問題。后來,微軟為聯(lián)邦機(jī)構(gòu)免費(fèi)提供了日志記錄服務(wù),為期一年。

2021年5月簽署的網(wǎng)絡(luò)安全行政命令將改善對(duì)網(wǎng)絡(luò)事件日志的訪問視為加強(qiáng)政府網(wǎng)絡(luò)調(diào)查和糾正能力的關(guān)鍵所在。白宮管理和預(yù)算辦公室要求機(jī)構(gòu)在活動(dòng)存儲(chǔ)器中至少保留12個(gè)月的微軟審計(jì)日志,以便快速訪問,并在冷存儲(chǔ)器中額外保留18個(gè)月。

今年早些時(shí)候,CISA聯(lián)合多家機(jī)構(gòu)發(fā)布了“設(shè)計(jì)安全”和“默認(rèn)安全”原則。設(shè)計(jì)原則著重于確保安全的軟件開發(fā)實(shí)踐,而默認(rèn)安全明確要求技術(shù)公司確保其產(chǎn)品默認(rèn)配置符合最佳安全實(shí)踐,比如為特權(quán)用戶提供多因素身份驗(yàn)證、支持免費(fèi)安全日志記錄。

今天,CISA高級(jí)官員對(duì)記者說:“且不提特定受害者的安全屬性,我們需要注意,大多數(shù)使用微軟365或其他常用技術(shù)平臺(tái)的組織并不付費(fèi)使用高級(jí)日志記錄或其他遙測(cè)服務(wù),我們認(rèn)為這種模式無法實(shí)現(xiàn)期望的安全結(jié)果。”


 
 

上一篇:習(xí)近平對(duì)網(wǎng)絡(luò)安全和信息化工作作出重要指示

下一篇:2023年7月17日聚銘安全速遞