太陽(yáng)風(fēng)輕易不爆發(fā),一爆發(fā)便是“地動(dòng)山搖”。2020 年底,美國(guó)企業(yè)和政府網(wǎng)絡(luò)突遭“太陽(yáng)風(fēng)暴”攻擊。黑客利用太陽(yáng)風(fēng)公司(SolarWinds)的網(wǎng)管軟件漏洞,攻陷了多個(gè)美國(guó)聯(lián)邦機(jī)構(gòu)及財(cái)富 500 強(qiáng)企業(yè)網(wǎng)絡(luò)。2020 年 12 月 13 日,美國(guó)政府確認(rèn)國(guó)務(wù)院、五角大樓、國(guó)土安全部、商務(wù)部、財(cái)政部、國(guó)家核安全委員會(huì)等多個(gè)政府部門遭入侵。
SolarWinds 事件是一起影響范圍廣、潛伏時(shí)間長(zhǎng)、隱蔽性強(qiáng)、高度復(fù)雜的攻擊,波及全球多個(gè)國(guó)家和地區(qū)的 18000 多個(gè)用戶,被認(rèn)為是“史上最嚴(yán)重”的供應(yīng)鏈攻擊。其背后的攻擊組織訓(xùn)練有素、作戰(zhàn)指揮協(xié)同達(dá)到了很高的水準(zhǔn)。
一、事件概要
2020 年 11 月底,在火眼公司(FireEye)的內(nèi)部安全日志審計(jì)中,審查員發(fā)現(xiàn)一條安全警告:一位員工注冊(cè)了一個(gè)新的手機(jī)號(hào)碼接收雙因素認(rèn)證驗(yàn)證碼。雖然更換手機(jī)并非罕見現(xiàn)象,審查員還是決定跟進(jìn)調(diào)查此事。經(jīng)過(guò)詢問(wèn),當(dāng)事員工反饋這段時(shí)間他并沒(méi)有在系統(tǒng)中注冊(cè)新的手機(jī)號(hào)碼。這是一個(gè)非常明顯的網(wǎng)絡(luò)遭到侵入的信號(hào)。FireEye 迅速組織 100 多人的團(tuán)隊(duì)開始徹查,研究團(tuán)隊(duì)發(fā)現(xiàn),這不是一起簡(jiǎn)單的攻擊行為,攻擊者的手段非常高明,運(yùn)用了許多之前沒(méi)有出現(xiàn)過(guò)的攻擊套路。
2020 年 12 月 8 日,F(xiàn)ireEye 在其官方博客發(fā)布了一篇文章,文中提到,“一個(gè)具備頂級(jí)網(wǎng)絡(luò)攻擊能力的國(guó)家”正在針對(duì) FireEye 進(jìn)行網(wǎng)絡(luò)攻擊,并且已經(jīng)成功竊取了一批安全研究工具軟件。隨后,F(xiàn)ireEye 的研究人員開始分析內(nèi)部的 SolarWinds 軟件服務(wù)器,但并沒(méi)有發(fā)現(xiàn)服務(wù)器上有任何惡意軟件的安裝痕跡。研究團(tuán)隊(duì)于是決定對(duì)服務(wù)器上的SolarWinds 軟件進(jìn)行逆向分析,在其中的一個(gè)模塊中發(fā)現(xiàn)了具有 SolarWinds 公司數(shù)字簽名的惡意代碼。
2020 年 12 月 12 日,F(xiàn)ireEye 將相關(guān)情況通報(bào)給SolarWinds 公司。同一天,SolarWinds 向美國(guó)證監(jiān)會(huì)和公眾披露了攻擊事件,威脅由此浮出水面,新的受害者陸續(xù)被發(fā)現(xiàn),其中最引人關(guān)注的是美國(guó)商務(wù)部、國(guó)土安全部、國(guó)務(wù)院、財(cái)政部、核安全委員會(huì)等聯(lián)邦機(jī)構(gòu)。太陽(yáng)風(fēng)公司承認(rèn),約 1.8 萬(wàn)名該公司客戶遭到網(wǎng)絡(luò)攻擊。
根據(jù) SolarWinds 公司公布的調(diào)查情況,攻擊者最早可能是在 2019 年 9 月訪問(wèn)了 SolarWinds 的內(nèi)部系統(tǒng),9 月 12 日黑客開始在 SolarWinds 的編譯服務(wù)器上修改產(chǎn)品發(fā)布流程,植入惡意代碼,并進(jìn)行詳細(xì)的測(cè)試,測(cè)試過(guò)程持續(xù)了接近兩個(gè)月,直到 2019年 11 月 4 日測(cè)試結(jié)束。2020 年 2 月 20 日,黑客又制作了新版惡意代碼并進(jìn)行植入。2020 年 6 月,黑客清除了對(duì)編譯環(huán)境所做的修改。在此期間,SolarWinds 的編譯服務(wù)器一直按照產(chǎn)品發(fā)布計(jì)劃自動(dòng)進(jìn)行產(chǎn)品打包和發(fā)布操作。
SolarWinds 攻擊事件被曝光后,美國(guó)政府相關(guān)機(jī)構(gòu)和網(wǎng)絡(luò)安全私營(yíng)部門迅速響應(yīng)。2020 年 12 月 18日,F(xiàn)ireEye、微軟、GoDaddy 聯(lián)合接管了“日爆”(Sunburst )后門通信使用的域名,并指向了受控域名,阻斷了遭攻擊網(wǎng)絡(luò)中的惡意 Sunburst 后門與 病毒控制服務(wù)器之間的通信。2021 年 1 月 5 日,據(jù)美國(guó)《國(guó)會(huì)山報(bào)》報(bào)道,美國(guó)聯(lián)邦調(diào)查局(FBI)、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)、國(guó)家情報(bào)總監(jiān)辦公室(ODNI)和國(guó)家安全局(NSA)發(fā)表聯(lián)合聲明,正式指控俄羅斯政府策劃了 SolarWinds 供應(yīng)鏈攻擊。2021 年 4 月 15 日,美國(guó)財(cái)政部方面宣布對(duì)俄制裁內(nèi)容,指出俄羅斯對(duì)外情報(bào)局(SVR)負(fù)責(zé)實(shí)施了SolarWinds 攻擊事件。SVR 利用 SolarWinds Orion 平臺(tái)和其他信息技術(shù)基礎(chǔ)架構(gòu),入侵了成千上萬(wàn)的美國(guó)政府和私營(yíng)部門網(wǎng)絡(luò),并竊取了紅隊(duì)工具(指的是火眼工具)。英國(guó)外交和聯(lián)邦事務(wù)部同一天發(fā)布聲明,指責(zé) SVR 為 SolarWinds 供應(yīng)鏈攻擊事件的幕后兇手。
二、攻擊流程
360 威脅情報(bào)中心在《軟件供應(yīng)鏈來(lái)源攻擊分析報(bào)告》中將軟件供應(yīng)鏈分為以下三個(gè)環(huán)節(jié):
開發(fā)環(huán)節(jié)。涉及軟硬件開發(fā)環(huán)境、開發(fā)工具、第三方庫(kù)、軟件開發(fā)實(shí)施等,軟件開發(fā)實(shí)施的具體過(guò)程還包括需求分析、設(shè)計(jì)、實(shí)現(xiàn)和測(cè)試等,軟件產(chǎn)品在這一環(huán)節(jié)形成最終用戶可用的形態(tài)。
監(jiān)管使用環(huán)節(jié)。包括軟件安全性測(cè)評(píng)、軟件離線和在線升級(jí)以及企業(yè)內(nèi)部系統(tǒng)遠(yuǎn)程或?qū)嵉剡\(yùn)維等過(guò)程。
交付環(huán)節(jié)。用戶通過(guò)在線商店、免費(fèi)網(wǎng)絡(luò)下載、官網(wǎng)下載、購(gòu)買軟件安裝光盤等存儲(chǔ)介質(zhì)、資源共享等方式獲取所需軟件產(chǎn)品;軟件開發(fā)企業(yè)根據(jù)用戶定制化開發(fā)需求為用戶部署安裝軟件系統(tǒng)。
攻擊者針對(duì)上述一個(gè)或多個(gè)環(huán)節(jié)進(jìn)行攻擊,有可能影響最終的軟件產(chǎn)品和整個(gè)使用場(chǎng)景的安全。軟件產(chǎn)品如果在源代碼級(jí)別被攻擊者植入惡意代碼將非常難以被發(fā)現(xiàn),并且這些惡意代碼在披上正規(guī)軟件廠商的合法外衣后更能輕易躲過(guò)安全軟件產(chǎn)品的檢測(cè),或許會(huì)長(zhǎng)時(shí)間潛伏于用戶機(jī)器中不被察覺(jué)。
綜合 SolarWinds、微軟、火眼、賽門鐵克等美國(guó)安全廠商、中國(guó)網(wǎng)絡(luò)安全廠商奇安信、瑞士安全廠商 Prodaft 等發(fā)布的事件研究報(bào)告,結(jié)合對(duì)樣本的分析,可以確認(rèn),這是一起典型的軟件供應(yīng)鏈攻擊,主要攻擊流程可以概括為以下三步:第一,APT 組織攻陷了 SolarWinds 的軟件倉(cāng)庫(kù)(SVN)服務(wù)器;第二,在 SolarWinds 的網(wǎng)管軟件 Orion 中植入了惡意軟件。FireEye 將該惡意軟件命名為 Sunburst,微軟則命名為“太陽(yáng)門”(Solorigate);第三,用戶下載安裝中毒的 Orion 軟件更新包后被植入木馬。
(一)獲取 SolarWinds 公司網(wǎng)絡(luò)初始訪問(wèn)權(quán)限
對(duì)于攻擊者如何獲取了 SolarWinds 網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限,尚未有明確結(jié)論,僅有一些猜測(cè),例如,SolarWinds 稱,攻擊者最初是通過(guò)微軟 0ffice365 服務(wù)的漏洞進(jìn)入其系統(tǒng),但微軟強(qiáng)烈否認(rèn)此說(shuō)法。據(jù)紐約時(shí)報(bào) 2021 年 1 月 6 日?qǐng)?bào)道,總部位于捷克共和國(guó)的 JetBrains 軟件公司可能是 SolarWinds黑客攻擊的切入點(diǎn),俄羅斯黑客可能利用了該公司開發(fā)的一款工具進(jìn)入了美國(guó)聯(lián)邦政府和私營(yíng)部門的系統(tǒng)。隨著調(diào)查的深入,研究人員發(fā)現(xiàn) SolarWinds自身的安全防御也非常薄弱。安全研究人員庫(kù)馬爾(Vinoth Kumar)2020 年曾發(fā)現(xiàn)了一個(gè)用于訪問(wèn)SolarWinds 更新服務(wù)器的硬編碼密碼使用了弱口令“SolarWinds123”。
(二)在 SolarWinds 公司的網(wǎng)管軟件 Orion中植入了惡意軟件
在實(shí)現(xiàn)了對(duì) SolarWinds 網(wǎng)絡(luò)的初始訪問(wèn)后,攻擊者在 SolarWinds 的整個(gè)網(wǎng)絡(luò)中開展了數(shù)月的情報(bào)偵察活動(dòng)。根據(jù)火眼的分析報(bào)告,惡意代碼包含在SolarWinds.Orion.Core.BusinessLayer.dll 中。Dll 文 件具有合法的簽名,表明攻擊者從源碼階段進(jìn)行了控制。考慮軟件工程的工作流程,攻擊者最有可能發(fā)起感染的位置是代碼倉(cāng)庫(kù),這樣能夠最大限度避開提交前的審查,以及提交期間的自動(dòng)化代碼掃描,防止在開發(fā)階段被發(fā)現(xiàn)。可以確認(rèn),攻擊者在軟件倉(cāng)庫(kù)中的 Orion 軟件中植入了 Sunburst 后門。
從 2020 年 3 月至 2020 年 5 月,攻擊者對(duì)多個(gè)木馬更新進(jìn)行了數(shù)字簽名,并發(fā)布到 SolarWinds 更新網(wǎng)站上,木馬更新文件是標(biāo)準(zhǔn)的 Windows Installer 補(bǔ)丁文件,其中包括與更新相關(guān)的壓縮資源,還包括被木馬化的動(dòng)態(tài)鏈接庫(kù)(DLL)組件。一旦 onion 產(chǎn)品用戶安裝了更新,惡意 Dll 文件將由合法的 SloarWinds執(zhí)行程序加載,并通過(guò)特殊的域名生成算法(DGA)生成域名與惡意 C2 通信,其通信流量會(huì)模擬成正常的 SolarWinds API 通信,以達(dá)成偽裝效果。
(三)用戶下載安裝預(yù)植后門的 Orion 軟件更新包后被植入木馬
根據(jù)微軟公司總裁布拉德·史密斯(BradSmith)2 月 23 日在國(guó)會(huì)聽證會(huì)上的證詞,用戶下載安裝被植入后門的更新后,黑客根據(jù) Sunburst 程序回傳的數(shù)據(jù)確認(rèn)目標(biāo)的重要程度,精選關(guān)注的重要目標(biāo)部署第二階段惡意軟件,進(jìn)而實(shí)施憑證竊取或橫向拓展操作。在橫向拓展階段,攻擊者可以選擇在不被微軟發(fā)現(xiàn)的情況下將惡意軟件駐留在本地;或者將惡意軟件轉(zhuǎn)移到云上,進(jìn)而使用憑證進(jìn)行本地訪問(wèn),或是生成令牌以獲取對(duì)電子郵件之類的云服務(wù)的訪問(wèn),最終竊取并回傳受害者電腦中的數(shù)據(jù)。
三、攻擊特點(diǎn)
SolarWinds 供應(yīng)鏈攻擊事件是一起經(jīng)長(zhǎng)期準(zhǔn)備、隱蔽性很強(qiáng)、技戰(zhàn)術(shù)高超的網(wǎng)絡(luò)攻擊行動(dòng),其背后的 APT 組織經(jīng)驗(yàn)豐富,具有高度的耐心與紀(jì)律意識(shí),攻擊協(xié)同達(dá)到了很高的水準(zhǔn)。
(一)尋找漏洞精準(zhǔn)制敵
多年來(lái),美國(guó)政府和軍方斥巨資網(wǎng)絡(luò)監(jiān)控體系,建成了“愛因斯坦計(jì)劃”(Einstein)和“守護(hù)者”(Tutelage)等兩大網(wǎng)絡(luò)空間監(jiān)控系統(tǒng)。“愛因斯坦計(jì)劃”由國(guó)土安全部國(guó)家網(wǎng)絡(luò)通信整合中心運(yùn)營(yíng),能夠?qū)β?lián)邦政府網(wǎng)絡(luò)和部門關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)進(jìn)行細(xì)粒度全流量監(jiān)控。攻擊者精心挑選了未納入“愛因斯坦計(jì)劃”監(jiān)控范圍但卻有大量重要客戶的SolarWinds 公司,有效規(guī)避了美國(guó)網(wǎng)絡(luò)態(tài)勢(shì)監(jiān)控系統(tǒng)的審查。
(二)長(zhǎng)期準(zhǔn)備密切協(xié)同
SolarWinds 供應(yīng)鏈攻擊事件任務(wù)復(fù)雜度高,對(duì)作戰(zhàn)指揮協(xié)同提出了很高要求。FireEye 分析認(rèn)為,攻擊團(tuán)隊(duì)的規(guī)模在 1000 人以上。組織如此龐大規(guī)模的攻擊行動(dòng),涉及制定方案、模擬演練、準(zhǔn)備攻擊基礎(chǔ)設(shè)施、前期偵察、定制化開發(fā)武器和指揮控制平臺(tái)、獲取目標(biāo)網(wǎng)絡(luò)初始權(quán)限、后期滲透拓展等環(huán)節(jié),作戰(zhàn)周期至少持續(xù)一年。在分工方面,由專業(yè)團(tuán)隊(duì)進(jìn)行謀劃,由供應(yīng)鏈攻擊團(tuán)隊(duì)打點(diǎn),由作戰(zhàn)支撐團(tuán)隊(duì)提供定制化武器和域名等作戰(zhàn)資源,由分析團(tuán)隊(duì)進(jìn)行目標(biāo)確認(rèn),由滲透團(tuán)隊(duì)實(shí)行深入控制。參戰(zhàn)人員嚴(yán)格執(zhí)行“規(guī)定動(dòng)作”,從捕獲的“魚群”中只選擇心儀的“大魚”,按照分工進(jìn)行滲透拓展,沒(méi)有出現(xiàn)打亂仗的情況。
(三)隱蔽滲透長(zhǎng)線作戰(zhàn)
從 2019 年 9 月黑客侵入 SolarWinds 網(wǎng) 絡(luò), 到2020 年 12 月 FireEye 發(fā)出通知,在長(zhǎng)達(dá)一年零三個(gè)月的時(shí)間里,沒(méi)有任何一家機(jī)構(gòu)發(fā)現(xiàn)被黑客攻擊。主要是因?yàn)楣粽卟捎昧硕囗?xiàng)技戰(zhàn)術(shù)手段:發(fā)起正式攻擊前在實(shí)網(wǎng)環(huán)境下進(jìn)行“無(wú)損”測(cè)試、精準(zhǔn)選定 SolarWinds 代碼倉(cāng)庫(kù)“無(wú)感”植入惡意代碼、惡意后門“小心”判斷執(zhí)行條件。
2019 年 9 月黑客在 SolarWinds 軟件升級(jí)包植入后門后,并未急于發(fā)動(dòng)攻擊。為確保萬(wàn)無(wú)一失,攻擊者在實(shí)際網(wǎng)絡(luò)環(huán)境下對(duì)攻擊流程進(jìn)行了一次“無(wú)損”測(cè)試。威脅情報(bào)公司“逆向?qū)嶒?yàn)室”(ReversingLabs)調(diào)查顯示,黑客修改的第一個(gè)Orion 軟件版本(2019.4.5200.8890)實(shí)際上是 2019年 10 月更新的。該版本僅被輕微修改,且其中不包含惡意后門代碼,這是攻擊者第一次開始進(jìn)行修改軟件的測(cè)試。
此外,攻擊者從源碼階段就進(jìn)行了控制。攻擊者選擇感染代碼倉(cāng)庫(kù),從而避開提交之前的檢查,以及期間的自動(dòng)化代碼掃描,避免了在開發(fā)階段被發(fā)現(xiàn)的可能性。攻擊者選擇了一個(gè)非常深層次的調(diào)用棧,用來(lái)降低代碼重構(gòu)期間被發(fā)現(xiàn)的可能。
在執(zhí)行后門功能前,代碼將進(jìn)行長(zhǎng)達(dá) 9 層的判斷,用于檢測(cè)當(dāng)前運(yùn)行環(huán)境。幾乎所有的判斷都是通過(guò)自定義 hash 算法進(jìn)行的,這保證了無(wú)論是在源碼,還是在編譯后的程序集中,均不會(huì)存在敏感字符串,從而降低被查殺的可能。攻擊者寧可放棄大量的上線機(jī)會(huì)也不愿在某個(gè)不安全環(huán)境上線。
四、事件影響
(一) SolarWinds 攻擊“后遺癥”短期難消除
雖然美國(guó)政府聲稱,在 SolarWinds 軟件供應(yīng)鏈?zhǔn)录性夤ハ莸亩鄶?shù)機(jī)構(gòu)已經(jīng)按照白宮指令完成修復(fù)以及后續(xù)獨(dú)立審計(jì),以確保攻擊者脫離系統(tǒng),但在如此大規(guī)模的網(wǎng)絡(luò)攻擊中找出所有受害者并完全阻止黑客對(duì)被入侵網(wǎng)絡(luò)的訪問(wèn)幾乎不太可能。要徹底擺脫攻擊的影響,需重建整個(gè) IT 系統(tǒng),但這幾乎是不可能的。攻擊者依舊可能利用此前植入的后門進(jìn)行秘密攻擊,持續(xù)獲取信息,甚至潛伏直至未來(lái)某個(gè)關(guān)鍵節(jié)點(diǎn)再次集中爆發(fā),造成更大破壞。在本次攻擊中,提供郵件安全服務(wù)的上市公司 Mimecast的部分源代碼被盜走,黑客將來(lái)有可能在源代碼基礎(chǔ)上挖掘產(chǎn)品遠(yuǎn)程執(zhí)行漏洞,對(duì) Mimecast 的用戶開展供應(yīng)鏈攻擊。今年 5 月,微軟披露稱,SolarWinds黑客又開始了行動(dòng),攻擊目標(biāo)涉及 24 個(gè)國(guó)家的政府機(jī)構(gòu)、顧問(wèn)、智庫(kù)和非政府組織。
(二) 美俄網(wǎng)絡(luò)空間“冤冤相報(bào)無(wú)休止”
拜登與普京今年 6 月 16 日在日內(nèi)瓦舉行首腦峰會(huì),雙方同意將協(xié)商劃定“網(wǎng)絡(luò)紅線”,將責(zé)成各自政府的網(wǎng)絡(luò)安全專家就什么是禁區(qū)達(dá)成具體共識(shí)。拜登稱,美國(guó)向普京提供了 16 個(gè)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域清單,這些領(lǐng)域不應(yīng)成為惡意網(wǎng)絡(luò)活動(dòng)的攻擊目標(biāo)。雖然美國(guó)作為緩兵之計(jì),向俄羅斯拋出了橄欖枝,但由于美國(guó)在網(wǎng)絡(luò)空間領(lǐng)域擁有傲視群雄的強(qiáng)大攻防能力,美國(guó)很難放棄對(duì)俄羅斯實(shí)施網(wǎng)絡(luò)攻擊的執(zhí)念。2018 年 7 月 13 日,美國(guó)司法部公布了一份針對(duì)俄羅斯聯(lián)邦軍隊(duì)總參謀部情報(bào)總局(GRU)下屬 12名情報(bào)人員的起訴書,指控其干擾美國(guó)大選。在美國(guó) 2018 年中期選舉當(dāng)天,為防止俄羅斯組織“互聯(lián)網(wǎng)研究機(jī)構(gòu)”(IRA)干擾選舉,美國(guó)網(wǎng)絡(luò)司令部“俄羅斯”小組成功切斷了其與互聯(lián)網(wǎng)的連接長(zhǎng)達(dá)一天之久。對(duì)俄羅斯來(lái)說(shuō),由于美國(guó)社會(huì)對(duì)網(wǎng)絡(luò)的高度依賴、網(wǎng)絡(luò)互聯(lián)互通的天然屬性、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的私有屬性,據(jù)稱有俄羅斯國(guó)家背景的 APT 組織亦不會(huì)“偃旗息鼓”,將不斷尋找美國(guó)網(wǎng)絡(luò)漏洞、發(fā)動(dòng)網(wǎng)絡(luò)攻擊,令對(duì)手重金打造的“網(wǎng)絡(luò)馬其頓防線”分崩離析。很難預(yù)測(cè)俄羅斯對(duì)美國(guó)的下一次網(wǎng)絡(luò)攻擊將在何時(shí)以何種方式到來(lái),但可以肯定的是一定會(huì)到來(lái)。
(三) 供應(yīng)鏈攻擊魔盒已開啟
供應(yīng)鏈攻擊可能影響數(shù)十萬(wàn)乃至上億的軟件產(chǎn)品用戶,并可能進(jìn)一步帶來(lái)竊取用戶隱私、植入木馬、盜取數(shù)字資產(chǎn)等危害。SolarWinds 攻擊成功突破了美國(guó)國(guó)務(wù)院、能源部、國(guó)防部等核心部門,網(wǎng)絡(luò)安全界翹楚 FireEye以及科技界巨頭微軟和思科公司等,再次彰顯了軟件供應(yīng)鏈攻擊的威力。
近年來(lái),基于軟件供應(yīng)鏈的攻擊案例呈現(xiàn)出不斷增加趨勢(shì)。埃森哲公司 2016 年調(diào)查顯示,超過(guò)60% 的網(wǎng)絡(luò)攻擊源于供應(yīng)鏈攻擊。2020 年 6 月,網(wǎng)絡(luò)安全服務(wù)商 BlueVoyant 曾發(fā)起一項(xiàng)調(diào)查,結(jié)果顯示 80% 的受訪企業(yè)都曾因供應(yīng)商遭受攻擊而發(fā)生數(shù)據(jù)泄露。SolarWinds 事件不會(huì)是最后一個(gè)供應(yīng)鏈攻擊事件,供應(yīng)鏈攻擊的魔盒已經(jīng)打開。除了SolarWinds,美國(guó)還有眾多擁有大量政府客戶的知名度不高的軟件企業(yè),這些企業(yè)都有可能成為供應(yīng)鏈攻擊的目標(biāo)。
(四) 零信任網(wǎng)絡(luò)架構(gòu)或加速落地
零信任是一種以資源保護(hù)為核心的網(wǎng)絡(luò)安全范式,它將網(wǎng)絡(luò)防御從靜態(tài)的、基于網(wǎng)絡(luò)邊界的防護(hù)轉(zhuǎn)移到關(guān)注用戶、資產(chǎn)和資源的動(dòng)態(tài)防護(hù),其核心理念是“從不信任,始終驗(yàn)證”。零信任模型對(duì)網(wǎng)絡(luò)攻擊活動(dòng)中遠(yuǎn)程訪問(wèn)、冒用身份、橫向移動(dòng)等關(guān)鍵步驟具有較強(qiáng)的監(jiān)控防御作用,美國(guó) NSA 于 2021年 2 月發(fā)布了《擁抱零信任安全模型》,強(qiáng)烈推薦政府官方機(jī)構(gòu)采用零信任架構(gòu)。
SolarWinds 事件為美國(guó)推動(dòng)零信任框架落地提供了動(dòng)力。2021 年 5 月 12 日,美國(guó)總統(tǒng)拜登發(fā)布行政命令以加強(qiáng)國(guó)家網(wǎng)絡(luò)安全,明確指示聯(lián)邦政府各機(jī)構(gòu)實(shí)施零信任方法。5 月 13 日,美國(guó)防信息系統(tǒng)局(DISA)在其官網(wǎng)公開發(fā)布了其與國(guó)防部首席信息官辦公室、美國(guó)網(wǎng)絡(luò)司令部、美國(guó)國(guó)家安全局合作開發(fā)的《國(guó)防部零信任參考架構(gòu)》,為美國(guó)防部大規(guī)模采用零信任設(shè)定了戰(zhàn)略目的、原則、相關(guān)標(biāo)準(zhǔn)和其他技術(shù)細(xì)節(jié)。零信任架構(gòu)的部署落地,預(yù)示著美國(guó)重要部門的網(wǎng)絡(luò)防御體系將更加完備。
