SolarWinds黑客能够访问Microsoft源代码

2021-01-01 08:04:28

正如我们在最近的博客中所说,我们相信Solorigate事件是一个以重要方式合作,共享信息,加强防御和应对攻击的机会。像其他SolarWinds客户一样,我们一直在积极寻找Solorigate参与者的指标,并希望分享正在进行的内部调查的最新信息。

我们对自己的环境的调查发现没有证据可以访问生产服务或客户数据。正在进行的调查还没有发现我们的系统曾被用来攻击其他系统的迹象。

如我们先前的报道,我们在我们的环境中检测到了恶意的SolarWinds应用程序,我们对其进行了隔离和删除。经过进一步调查,我们现在可以报告,我们尚未找到与在我们的公司域中滥用伪造SAML令牌相关的常见TTP(工具,技术和过程)的证据。

但是,我们的调查显示,除了环境中存在恶意的SolarWinds代码外,尝试的活动也没有。这项活动并未使我们的服务或任何客户数据的安全受到威胁,但是我们希望保持透明并分享我们在学习中所学到的东西,因为我们与认为是非常老练的民族国家行为者作斗争。

我们使用少量内部帐户检测到异常活动,经过审查,我们发现一个帐户已被用来查看许多源代码存储库中的源代码。该帐户无权修改任何代码或工程系统,我们的调查进一步证实未进行任何更改。对这些帐户进行了调查和修复。

在Microsoft,我们采用内部源代码方法–使用开放源代码软件开发最佳实践和类似开放源代码的文化–使源代码在Microsoft内部可见。这意味着我们不依赖源代码的秘密来保证产品的安全性,并且我们的威胁模型假定攻击者具有源代码的知识。因此,查看源代码与提高风险无关。

与许多公司一样,我们使用“假定违规”理念来计划安全性,并在纵深防御中提供保护和控制措施,以在攻击者获得访问权限后尽快阻止它们。我们已经发现尝试进行的活动受到我们的保护的阻碍,因此,我们希望重申此处概述的行业最佳做法的价值,并实施特权访问工作站(PAW)作为保护特权帐户策略的一部分。当我们发现新信息以帮助告知社区并为之启用时,我们将提供其他更新。随着我们从内部调查和帮助客户中学到更多,我们将继续改进安全产品,并与社区分享这些经验。有关最新信息和指南,请访问我们的资源中心,网址为https://aka.ms/solorigate。