据外媒,微软威胁情报中心MSTIC近期表示SolarWinds事件背后的攻击者正在进行一场针对150个国家政府机构的网络钓鱼运动。据悉这次网络钓鱼活动主要针对的是政府机构、智库、顾问和非政府组织。
对此,Akamai安全技术团队副总裁兼首席技术官Charlie Gero表示,“Nobelium(SolarWinds事件的黑客组织)正在做一些非常有趣的事情。他们将恶意软件存储在人们不会阻止的域中,例如Google Firebase和Dropbox。这些域通过受信任的SaaS提供商有效地清洗恶意软件。这意味着DNS层的保护虽然至关重要,但显然还不够。企业机构也需要内容检查(content inspection),这就是SWG(安全Web网关)发挥作用的地方。它将保护从专注于让最终用户远离互联网上的危险区域扩展到接受无处不在的危险,因此扫描病毒、执行沙盒等是必须的。”
Akamai安全技术团队副总裁兼首席技术官Charlie Gero
Charlie Gero认为,“在某种程度上,这在一个不同的用例中,再次确认了零信任的重要性。过去,我们根据用户的位置(在边界内)信任用户,但今天我们认识到这种做法不够安全,我们需要根据身份、风险等来验证每个访问。我们仍常常根据数据的位置来信任数据(例如:它在Dropbox上,我的公司信任Dropbox,所以我们也信任)。但正如我们所见,犯罪分子越来越依赖这种按位置信任内容的错误来绕过企业保护。因此,重要的是,企业机构不应该根据其来源来信任用户、内容或任何东西,而应该始终进行扫描和验证。”
从新年伊始Microsoft确认在其内部环境中检测到Solar Winds Orion平台供应链攻击期间下载的恶意可执行文件,该事件对美国政府机构、私营企业造成的危害可能比预期的更加严重。根据目前掌握的最新信息,大约有超过250家美国联邦机构和企业受到影响。
微软表示,黑客入侵了SolarWinds的Orion监控和管理软件,从而让他们能够冒充该组织现有的任意用户和帐号,美国网络司令部和国家安全局在外国网络内部放置的用于检测潜在攻击的预警传感器并没有生效。此外,报道中还指出在今年总统大选期间,政府还利用了SolarWinds的资源和技术来进行检测,从而让黑客躲过了美国国土安全部门的检测。
