CISA说,攻击者可能仍会在没有SolarWinds的情况下闯入美国网络
美国网络安全与基础设施安全局说,黑客正在利用SolarWinds Orion漏洞以外的方法来破坏联邦网络。
"具体来说,我们正在调查事件,该事件表明存在与该对手的行为一致的滥用安全断言标记语言(SAML)令牌的事件,但尚未确定受影响的SolarWinds实例,"根据1月6日发布的最新指南。" CISA将继续努力以确认初始访问媒介,并确定对战术,技术和程序(TTP)的任何更改。
这些危险信号的示例是具有24小时有效期或不包含多因素身份验证详细信息的SAML令牌(按预期)。
随着有关SolarWinds Orion违规行为的更多信息浮出水面,分析师和立法者一再评论要从政府网络中删除黑客将是多么困难,因为他们的访问可能不再取决于IT管理部门SolarWinds Orion的缺陷。软件。
CISA的新指南似乎证实了表示怀疑的事实,即微软正在帮助联邦政府调查黑客行为,并报告说黑客篡改了Azure / Microsoft 365中的信任协议。
" Microsoft报告说,参与者已向现有的本地基础结构中添加了新的联合身份验证信任。根据代理商的指导。在使用此技术的地方,身份验证有可能发生在组织的已知基础结构之外,并且可能对合法的系统所有者不可见。
如果管理级别的凭证遭到破坏,则组织应“完全重建身份和信任服务”, CISA说。 Microsoft发布了一个查询以帮助识别这种类型的活动。
CISA的指南还指示联邦机构如果接受SolarWinds Orion的风险,则要进行法医分析并强化其系统。联邦机构必须在本月晚些时候向CISA提交两份状态报告。
R街研究所的网络安全专家Tatyana Bolton说,新的媒介和漏洞的消息“令人惊讶”。而且,由于"美国联邦网络安全要求目前的弱点,可能会发现更多信息。
"我们已经知道有一些最佳实践可以帮助防止此类违规行为,但是我们缺乏实施这些违规行为的政治意愿,"她说,她指出了一些做法,例如开发联邦云安全认证和提高事件响应和恢复的准备程度。
 所有这些都是网际空间日光浴室委员会在其最近的报告中提出的建议,需要在昨天实施,"她补充说。
1月6日的《纽约时报》报道说,情报界和私人网络安全调查员认为,JetBrains是一家起源于捷克共和国的软件开发公司,可能已被用作黑客违反联邦政府的一种途径。的网络。该公司告诉《泰晤士报》,它不知道有任何妥协或正在进行的调查。
