SolarWinds 黑客攻击本可被预防?
2021-06-23
来源:网络安全应急技术国家工程实验室
一位美国高级政府官员本月早些时候承认,如果那一时期采取基本的安全措施,SolarWinds 黑客事件作为美国历史上最大的网络安全事件之一,可能会被阻止或最小化。
具体内容
6 月 3 日参议员罗恩·怀登在给媒体的信中表示,网络安全和基础设施安全局 (CISA) 代理主任布兰登威尔士 Wyden目前已回复了关于放置在受害者代理系统中的防火墙是否有助于阻止SolarWinds 攻击中使用的恶意软件病毒的问题。
“CISA 同意,阻止所有与互联网的传出连接的防火墙即可消除恶意软件攻击,”威尔士写道。
然而,他强调说,尽管该机构“确实观察到具有这种配置的受害者网络,成功阻止了连接尝试并且没有后续利用,但这种预防措施的有效性并不适用于所有类型的入侵,并且可能不符合一些机构的操作要求。”
威尔士表示,CISA 没有关于有多少联邦机构对其网络进行分段和隔离的数字,这是该机构长期以来一直建议作为防止黑客通过敏感网络移动的一种关键安全指南。
他还强调,CISA 正在做出“紧急改进”,以提高其对联邦网络面临的网络威胁的理解,包括使用《美国救援计划法案》中包含的 6.5 亿美元中的一部分来移动机构网络内部的安全保护,而不仅仅是保护周边。
“我们必须确保发展现代网络安全治理结构和能力,”威尔士写道。“我们需要网络安全工具和服务,为我们提供更好的机会检测最复杂的攻击。我们需要重新考虑我们在 101 个联邦文职行政部门机构中管理网络安全的方法。”
SolarWinds 黑客在去年的大部分时间都在进行中,在 12 月被发现后,做出了回应。美国情报机构今年早些时候评估的黑客攻击很可能得到俄罗斯政府的支持,导致 9 个联邦机构和大约 100 个私营部门组织遭到入侵。
拜登总统在瑞士举行的面对面峰会期间,出台了清扫一套制裁。
CISA 的这封信是在 Wyden 写信给 CISA 的几个月后发出的,他表示他所说的“美国政府无法检测和阻止俄罗斯的重大黑客活动”表示担忧。
参议院情报委员会 2 月份就该事件举行听证会期间,就互联网连接和防火墙缺乏问题向 SolarWinds 首席执行官Sudhakar Ramakrishna 提出了质疑。
“确实,Orion 平台软件不需要连接到互联网来执行其常规职责,这些职责可以是我们客户内部的网络监控、系统监控、应用程序监控,”Ramakrishna 在回答 Wyden 的问题时作证。
但是顶级网络安全组织 FireEye 和 CrowdStrike 的领导人反对防火墙可以完全阻止这种攻击或其他攻击的想法。
“我们每年处理 600 多个红队,防火墙从未阻止过其中一个,”FireEye 首席执行官凯文·曼迪亚 (Kevin Mandia) 在 2 月份的同一次听证会上作证。“防火墙就像在纽约市的公寓楼外有一个门卫,他们可以识别你是否住在那里,但有些攻击者完全伪装成住在大楼里的人,然后从门卫旁边走过。”
“理论上,这是一个合理的事情,但它是学术性的,在实践中,它在操作上很麻烦,”曼迪亚说。
CrowdStrike 总裁兼首席执行官 George Kurtz 表示同意,他作证说“防火墙有帮助,但还不够”,并指出“对于坏人来说,它们是信息高速公路上的减速带。”
怀登在听证会上坚定地指出,可以采取更多措施来加强国家的网络安全。