导读：

近日，SolarWinds事件调查响应迎来最新进展。当地时间25日，微软公司发布了事件调查专用的代码审查工具CodeQL，这一举措不仅是微软向社会表明其通过公开透明和共享情报来引领整个网络安全行业的安全实践和态势改善的积极姿态，也表明私营公司的网络调查取证能力将继续成为国家响应和恢复努力的关键力量支撑。

26日，美国众议院监督和改革委员会和众议院国土安全委员会举行联合听证会，听取了受黑客袭击影响的三家科技和安全公司——火眼、微软和SolarWinds公司的高管的证词。本次听证会旨在修订联邦网络安全法律，以解决攻击事件引起的关注。这包括在联邦政府和私人企业之间共享威胁情报，并增强美国网络安全和基础设施安全局等机构在整个联邦网络中进行更广泛的威胁搜寻的能力。

事件回溯

2020年底，网络管理软件供应商 SolarWinds Orion 软件更新包中被黑客植入后门，并将其命名为SUNBURST。因SolarWinds的客户主要分布在美国本土，这导致美国多家企业及政府单位网络受到感染，其中不乏世界500强企业，美国财政部、司法部以及商务部，约1.8 万名 SolarWinds软件用户受到影响。本次供应链攻击事件波及范围极大，且其影响随着时间推移不断发酵升级，造成的损失目前无法估计。

全球最大的网络安全公司之一FireEye也遭到攻击，可能泄露了一系列用于评估的网络安全测试工具。FireEye发布公告，证实入侵事件是因为SolarWinds公司软件更新包中存在后门。与该后门相关的事件被FireEye称为UNC2452，目前并未指出其与已知APT组织的关联。

据外媒 GadgetsNow 消息，微软总裁史密斯接受 CBSS 采访表示，“我以一个软件工程师的身份表示，客观来说这起事件是世界上出现过的影响最广、最复杂的黑客攻击。”

聚焦听证

在美国众议院监督和改革委员会和众议院国土安全委员会举行联合听证会上，国土安全委员会主席本尼·汤普森（Bennie G. Thompson）指出，美国的法律需要修订，以解决攻击事件引起的关注。这包括在联邦政府和私人企业之间共享威胁情报，并增强美国网络安全和基础设施安全局等机构在整个联邦网络中进行更广泛的威胁搜寻的能力。

美国国土安全委员会(Homeland Security Committee)高级成员，议员约翰·卡特科(John Katko)在也指出，尽管根据2021年《国防授权法案》，CISA已被赋予更大的权力来进行威胁防范，但还需要更多的资源和权力以有效防御和敏捷回应黑客攻击。

几位作证的高管则表示，在披露攻击行为以及与CISA等联邦机构共享情报和数据的能力方面，应加强联邦法律。微软总裁布拉德·史密斯(Brad Smith)指出，虽然微软在2020年12月SolarWinds攻击事件被披露后做出反应，但其他公司可能会因为担心可能面临法律行动而犹豫不决。史密斯强调，私人公司和联邦机构应该能够共享网络安全情报，但美国的违约披露法也应该加强，以鼓励目标组织站出来。

本次听证会的另一个焦点是这起事件到底是如何发生的。

FireEye CEO凯文·曼迪亚（Kevin Mandia）指出，通过对攻击行为的调查，披露出在2020年植入木马的软件更新如何进入SolarWinds Orion网络监控平台的客户。攻击者在2019年10月进行了一次攻击“演习”，在2020年3月至6月之间开始实际攻击。使攻击如此复杂的是，黑客能够将他们的恶意软件植入到软件更新构建过程的最后，以改变生产环境，这使得黑客更难被检测到。

数千家实体下载了受感染的更新，黑客随后集中在选定的目标上进行进一步入侵。黑客还滥用其他公司的服务，而不仅仅是SolarWinds的服务。曼迪亚说:“当我们进行调查并开始拉线时，最早的入侵证据不断回到SolarWinds服务器。”“我和你们分享这个故事的原因是，在寻找植入物上没有魔杖。人们信任你正在购买和依赖的第三方软件。”

联邦机构和受影响的公司仍在调查最初入侵太阳风公司及其软件生产环境的原因。在接受众议员吉姆·朗格万(Jim Langevin)的提问时，SolarWinds首席执行官Sudhakar Ramakrishna指出，攻击者可能使用了三种方法中的一种来获得初始进入。这些方法包括可能的密码喷淋攻击，以猜测用户名和口令或窃取员工凭证。罗摩克里希纳也没有排除SolarWinds内部使用的第三方软件可能被黑客入侵的可能性。

微软总裁布拉德·史密斯(Brad Smith)在谈到微软是如何得出1000名开发者参与了这次活动的结论时提到，并非所有的开发人员都参与了最初的攻击，许多人被指派在最初的后门“Sunburst”被SolarWinds的客户发送并部署后，创建一些二次恶意软件。

各方反应

在听证会上，证人和委员会的许多成员形成一致看法，即在发生重大数据泄露时，需要做更多的工作来共享情报。

这可能包括更新2015年的网络安全信息共享法案，使共享情报变得更容易，并为曼迪亚所称的“第一反应者”提供保护，他们对入侵做出反应并收集初始情报。

曼迪亚说:“必须有一种方法，让那些对泄露事件做出反应的人能够迅速分享数据，以保护国家和行业，这就需要定义什么是第一反应者。”“如果你试图找出未经授权或非法访问网络发生了什么,你是一个第一响应者,第一反应应该有义务将威胁情报分享给政府机构,而不用担心债务和披露,所以我们得到情报后,就可以知道如何处理它。”

听证会结束后，VMware公司网络安全战略主管、美国特勤局网络调查顾问委员会成员汤姆·凯勒曼认为，立法者需要采取更多措施，确保私人和公共实体共享情报。

美国政府也对本次事件高度重视，猜测拜登政府将对具有深厚背景的大规模网络攻击采取强硬态度。

美国副国家安全顾问安妮·纽伯格(Anne Neuberger)本月早些时候说，调查人员认为，有9个联邦机构以及100个私营机构在此次袭击中受到威胁。

事件反思

解决方案早已在酝酿中，但这些解决方案不足以阻止一个疑似俄罗斯黑客组织进入9个联邦政府机构和约100家私营公司的系统。

供应链攻击已经不是稀有事件了，2014，年思科及Juniper公司网络设备安全漏洞事件；2015年，苹果产品的XcodeGhost事件，可导致信息泄露、弹窗攻击和被远程控制；2017年，NetSarang公司的软件产品存在恶意代码，可导致用户远程登录的信息泄露。本次SolarWinds事件作为最严重的供应链攻击事件之一，涉及面广，影响大，更应该引起人们对于供应链安全的重视。

当前，大部分信息化系统都依赖于不同的供应商。因此，尽管SolaWinds主要影响的是美国，其他暂未受影响的企业也该借此反思自己的安全系统性能以及所使用的第三方服务在出现安全问题时，其预警系统足够及时码？自己的组织恢复力足够强吗？是否有备用的安全方案？

微软在分析文档中指出，未来应对此类攻击需要各方通力合作，不仅要互相分享、分析威胁情报，还要加强国际和各国关于网络空间的法律法规，更要对确认来源的攻击事件背后的民族国家黑客给予强力震慑。为守护网络安，世界多个机构和组织已经开始在尝试合作共赢，只是，道阻且长，仍需上下求索。而安全从业者与黑客，也将在这个没有硝烟的战场上“殊死搏斗”。