领导华盛顿复苏的机构负责人说,从SolarWinds黑客事件中全面恢复将使美国政府从一年到长达18个月的时间。
于2020年11月首次发现了针对美国政府机构和主要公司的黑客攻击活动。至少有9个联邦机构成为攻击目标,其中包括国土安全部和国务院。美国官员认为是俄罗斯人的攻击者利用了美国软件公司SolarWinds生产的产品,以入侵政府和企业目标。
美国网络安全和基础设施局CISA的代理主任布兰登·威尔斯(Brandon Wales)表示,到2022年,官员们才能完全保护受到破坏的政府网络。即使完全了解损坏的程度也要花费数月的时间。
威尔士说:“我不会这么简单。” “对此事件的响应分为两个阶段。有短期补救措施,我们希望从网络中删除对手,关闭其控制的帐户,并关闭用于访问网络的对手的入口点。但是考虑到他们在这些网络中所花费的时间(数月),战略恢复将需要时间。”
当黑客如此彻底,如此长时间地成功之后,答案有时可能是从头开始的彻底重建。黑客强调破坏对目标网络的信任,窃取身份并获得模拟或创建看似合法用户以自由访问受害者的Microsoft 365和Azure帐户的能力。通过控制信任和身份,黑客变得更难追踪。
威尔士说:“大多数经过这种级别重建的机构将花费大约12到18个月的时间,以确保他们采取适当的保护措施。”
美国情报机构表示,俄罗斯黑客于2019年首次入侵。随后的调查显示,黑客于2020年3月开始使用该公司的产品分发恶意软件,并且他们首次成功违反美国联邦政府的举动发生在夏季初。这是一段很长的时间,不为人所知-比许多组织保留您需要进行昂贵的法医日志以进行必要级别的调查以嗅探出黑客的时间还要长。
SolarWinds Orion是针对性的网络管理产品,已在成千上万的公司和政府机构中使用。超过17,000个组织下载了受感染的后门。黑客非常隐蔽,而且针对性很强,这就是为什么花这么长时间抓住他们的原因,以及为什么要花这么长时间才能了解他们的全部影响。
微软总裁布拉德·史密斯(Brad Smith)在上周的一次国会听证会上总结了揭露损害程度的困难。
“谁知道这里发生的全部情况?”他说。 “目前,攻击者是唯一知道他们所做的全部事情的人。”
安全公司FireEye的首席执行官凯文·曼迪亚(Kevin Mandia)提出了有关该攻击的第一批警报,他告诉国会,黑客将隐身性放在首位。
他说:“破坏本来要比他们做的容易。” “他们专注于纪律严明的数据盗窃。只需删除钝器创伤中的所有内容,然后看看会发生什么,就更容易了。实际上,他们所做的工作比破坏性的工作还要多。”
当FireEye发现它已被黑客入侵并通知该机构时,CISA首次听说了一个问题。该公司定期与美国政府密切合作,尽管没有法律义务向任何人透露有关该黑客的信息,但该公司很快与敏感的公司网络共享了有关该漏洞的消息。
正是微软告诉美国政府联邦网络已经遭到破坏。他在一次采访中说,该公司于12月11日与威尔士分享了这些信息。微软观察到黑客入侵了许多政府机构使用的Microsoft 365云。一天后,FireEye向CISA通报了SolarWinds中的后门,SolarWinds是一个鲜为人知但极为广泛且功能强大的工具。
这表明黑客入侵的规模可能很大。 CISA的调查人员最终在整个假期中一直工作,以帮助代理商在其网络中寻找黑客。
这些努力变得更加复杂,因为威尔士才刚刚接任该机构:几天前,唐纳德·特朗普(Donald Trump)解雇了前任董事克里斯·克雷布斯(Chris Krebs),原因是他一再揭穿白宫关于被盗选举的虚假信息。
虽然有关解雇克雷布斯的头条新闻着眼于对选举安全的直接影响,但威尔士手上还有很多事情要做。
现在,CISA的新负责人面临着他所说的该机构所遇到的“最复杂,最具挑战性”的黑客事件。
通过增加其资金,权限和支持,黑客几乎可以肯定会加速CISA已经明显的崛起。
CISA最近获得了在整个联邦政府范围内持续搜寻网络威胁的法律授权,但威尔士表示,该机构缺乏执行该任务所需的资源和人员。他认为,CISA还需要能够在整个联邦政府的计算机上部署和管理端点检测系统,以便检测恶意行为。最后,针对黑客在Microsoft 365云中自由移动这一事实,威尔士表示,CISA需要推动对云环境的更多可见性,以便将来检测网络间谍活动。
去年,CISA的支持者一直在推动它成为美国领先的网络安全机构。一场史无前例的网络安全灾难可能被证明是它所需要的催化剂。
“这拥有一线希望,”马克蒙哥马利表示,作为网络空间日光浴委员会的执行主任,在电话呼叫中。 “这是对美国政府进行的最重要的恶意网络行为之一。 这个故事将在几个月内继续变得更糟,因为更了解发生的事情。 这将有助于重点关注此问题的传入管理。 他们有很多优先事项,所以网络很容易迷失在杂乱中。 现在不会发生这种情况。“