美国网络安全现代化工程重大成果：首次“实时”抓住APT攻击

安全内参7月17日消息，美国联邦机构和其他组织的非机密微软云邮箱账户在上个月遭到网络攻击。

一位CISA高级官员告诉记者，联邦网络防御人员之所以能及时检测到上述网络攻击事件，是因为首家受影响的联邦机构（据报道是美国国务院）启用了高级日志记录功能。

美国网络安全与基础设施安全局（CISA）预计很快将与微软就此事发布一项公告，在微软高级付费体系之外也提供关键网络日志功能。

微软365漏洞被利用，

多家联邦机构邮箱遭攻击

CISA和联邦调查局在7月12日发布官方通告，确认高级持续性威胁行为者获取并外泄了非机密Exchange Online Outlook数据。通告称，上个月，一家联邦民用机构在其微软365环境中发现了可疑活动。

CNN等媒体报道称，首家受影响的机构是国务院。美国商务部也遭到入侵，攻击者还针对众议院的邮箱账户进行了攻击。

微软也发布通告，将此事件归咎于一个名为“Storm-0558”的威胁组织。微软于6月16日启动调查，发现该组织获得了大约25家机构（包括政府机构）的电子邮件访问权限。

调查显示，威胁组织 “使用伪造的身份验证令牌，和获取的微软账户（MSA）消费者签名密钥访问用户电子邮件”，成功实施入侵。微软还指出，“已对所有受攻击客户采取缓解措施”。

日志记录发挥关键作用，

检出基线异常行为

CISA和FBI在官方通告中指出，之所以发现了这次攻击，是因为相关机构（他们并未确认是国务院）能够利用“增强的日志记录”，并将日志与Outlook正常基准活动进行比较。具体而言，他们利用的是记录“已访问邮件项目”（MailItemsAccessed）的日志文件。

官方通告表示：“CISA和FBI尚未知晓其他可能会检测到此活动的审计日志或事件。我们强烈建议关键基础设施组织实施日志记录，以增强其网络安全态势，保证能够检测到类似的恶意活动。”

在当天的记者简报会上，一位CISA高级官员强调了访问这些日志数据的重要性：“值得注意的是，日志可用性对于识别特定入侵至关重要。CISA和FBI与微软以及其他技术伙伴合作，确保了所有行业所有客户都能获得所需的日志信息。” 

CISA和FBI官员指出，与2020年的SolarWinds攻击事件相比，这次事件并不严重。这主要归功于首家遭袭机构能够访问日志数据并迅速识别出潜在入侵活动。本次攻击没有危及机密系统或数据。

CISA官员指出：“与之前的入侵活动相比，无论是联邦政府快速检测入侵的能力，还是我们与各机构和私营部门的合作应对能力，都有了显著的改善。”

为摆脱“恶名”，

微软将免费提供高级日志记录

该官员还确认，关键日志只能在微软的“高级日志记录层”（premium logging tier）下可访问，这意味着没有为该服务付费的组织无法自行识别恶意活动。但是，CISA预计将很快发布有关与微软进行的讨论的公告，实现无需额外付费即可获取关键日志类型。

CISA官员表示：“我们与微软深入合作，数月来一直在确定对网络安全防御人员最有价值的日志类型，希望这些日志能免费提供。微软在这些对话中特别积极、十分配合。我们预计很快会发布非常积极的公告，将非高级许可中的其他日志类型提供给所有组织。”

早在SolarWinds攻击事件之后，一些国会议员抨击微软对日志记录收取额外费用，提出云服务提供商和其他技术公司是否应免费提供增强的日志记录等服务等问题。后来，微软为联邦机构免费提供了日志记录服务，为期一年。

2021年5月签署的网络安全行政命令将改善对网络事件日志的访问视为加强政府网络调查和纠正能力的关键所在。白宫管理和预算办公室要求机构在活动存储器中至少保留12个月的微软审计日志，以便快速访问，并在冷存储器中额外保留18个月。

今年早些时候，CISA联合多家机构发布了“设计安全”和“默认安全”原则。设计原则着重于确保安全的软件开发实践，而默认安全明确要求技术公司确保其产品默认配置符合最佳安全实践，比如为特权用户提供多因素身份验证、支持免费安全日志记录。

今天，CISA高级官员对记者说：“且不提特定受害者的安全属性，我们需要注意，大多数使用微软365或其他常用技术平台的组织并不付费使用高级日志记录或其他遥测服务，我们认为这种模式无法实现期望的安全结果。”