美國網絡安全現代化工程重大成果:首次“實時”抓住APT攻擊
責編:gltian |2023-07-18 14:10:15美國聯邦機構和其他組織的非機密微軟云郵箱賬戶在上個月遭到網絡攻擊。
一位CISA高級官員告訴記者,聯邦網絡防御人員之所以能及時檢測到上述網絡攻擊事件,是因為首家受影響的聯邦機構(據報道是美國國務院)啟用了高級日志記錄功能。
美國網絡安全與基礎設施安全局(CISA)預計很快將與微軟就此事發布一項公告,在微軟高級付費體系之外也提供關鍵網絡日志功能。
微軟365漏洞被利用,多家聯邦機構郵箱遭攻擊
CISA和聯邦調查局在7月12日發布官方通告,確認高級持續性威脅行為者獲取并外泄了非機密Exchange Online Outlook數據。通告稱,上個月,一家聯邦民用機構在其微軟365環境中發現了可疑活動。
CNN等媒體報道稱,首家受影響的機構是國務院。美國商務部也遭到入侵,攻擊者還針對眾議院的郵箱賬戶進行了攻擊。
微軟也發布通告,將此事件歸咎于一個名為“Storm-0558”的威脅組織。微軟于6月16日啟動調查,發現該組織獲得了大約25家機構(包括政府機構)的電子郵件訪問權限。
調查顯示,威脅組織 “使用偽造的身份驗證令牌,和獲取的微軟賬戶(MSA)消費者簽名密鑰訪問用戶電子郵件”,成功實施入侵。微軟還指出,“已對所有受攻擊客戶采取緩解措施”。
日志記錄發揮關鍵作用,檢出基線異常行為
CISA和FBI在官方通告中指出,之所以發現了這次攻擊,是因為相關機構(他們并未確認是國務院)能夠利用“增強的日志記錄”,并將日志與Outlook正常基準活動進行比較。具體而言,他們利用的是記錄“已訪問郵件項目”(MailItemsAccessed)的日志文件。
官方通告表示:“CISA和FBI尚未知曉其他可能會檢測到此活動的審計日志或事件。我們強烈建議關鍵基礎設施組織實施日志記錄,以增強其網絡安全態勢,保證能夠檢測到類似的惡意活動。”
在當天的記者簡報會上,一位CISA高級官員強調了訪問這些日志數據的重要性:“值得注意的是,日志可用性對于識別特定入侵至關重要。CISA和FBI與微軟以及其他技術伙伴合作,確保了所有行業所有客戶都能獲得所需的日志信息。”
CISA和FBI官員指出,與2020年的SolarWinds攻擊事件相比,這次事件并不嚴重。這主要歸功于首家遭襲機構能夠訪問日志數據并迅速識別出潛在入侵活動。本次攻擊沒有危及機密系統或數據。
CISA官員指出:“與之前的入侵活動相比,無論是聯邦政府快速檢測入侵的能力,還是我們與各機構和私營部門的合作應對能力,都有了顯著的改善。”
為擺脫“惡名”,微軟將免費提供高級日志記錄
該官員還確認,關鍵日志只能在微軟的“高級日志記錄層”(premium logging tier)下可訪問,這意味著沒有為該服務付費的組織無法自行識別惡意活動。但是,CISA預計將很快發布有關與微軟進行的討論的公告,實現無需額外付費即可獲取關鍵日志類型。
CISA官員表示:“我們與微軟深入合作,數月來一直在確定對網絡安全防御人員最有價值的日志類型,希望這些日志能免費提供。微軟在這些對話中特別積極、十分配合。我們預計很快會發布非常積極的公告,將非高級許可中的其他日志類型提供給所有組織。”
早在SolarWinds攻擊事件之后,一些國會議員抨擊微軟對日志記錄收取額外費用,提出云服務提供商和其他技術公司是否應免費提供增強的日志記錄等服務等問題。后來,微軟為聯邦機構免費提供了日志記錄服務,為期一年。
2021年5月簽署的網絡安全行政命令將改善對網絡事件日志的訪問視為加強政府網絡調查和糾正能力的關鍵所在。白宮管理和預算辦公室要求機構在活動存儲器中至少保留12個月的微軟審計日志,以便快速訪問,并在冷存儲器中額外保留18個月。
今年早些時候,CISA聯合多家機構發布了“設計安全”和“默認安全”原則。設計原則著重于確保安全的軟件開發實踐,而默認安全明確要求技術公司確保其產品默認配置符合最佳安全實踐,比如為特權用戶提供多因素身份驗證、支持免費安全日志記錄。
今天,CISA高級官員對記者說:“且不提特定受害者的安全屬性,我們需要注意,大多數使用微軟365或其他常用技術平臺的組織并不付費使用高級日志記錄或其他遙測服務,我們認為這種模式無法實現期望的安全結果。”
參考資料:https://federalnewsnetwork.com/cybersecurity/2023/07/cisa-anticipates-highly-positive-announcement-on-logging-availability-after-latest-outlook-breaches/
來源:安全內參