太陽(yáng)風(fēng)輕易不爆發(fā)，一爆發(fā)便是“地動(dòng)山搖”。2020 年底，美國(guó)企業(yè)和政府網(wǎng)絡(luò)突遭“太陽(yáng)風(fēng)暴”攻擊。黑客利用太陽(yáng)風(fēng)公司（SolarWinds）的網(wǎng)管軟件漏洞，攻陷了多個(gè)美國(guó)聯(lián)邦機(jī)構(gòu)及財(cái)富 500 強(qiáng)企業(yè)網(wǎng)絡(luò)。2020 年 12 月 13 日，美國(guó)政府確認(rèn)國(guó)務(wù)院、五角大樓、國(guó)土安全部、商務(wù)部、財(cái)政部、國(guó)家核安全委員會(huì)等多個(gè)政府部門遭入侵。

　　SolarWinds 事件是一起影響范圍廣、潛伏時(shí)間長(zhǎng)、隱蔽性強(qiáng)、高度復(fù)雜的攻擊，波及全球多個(gè)國(guó)家和地區(qū)的 18000 多個(gè)用戶，被認(rèn)為是“史上最嚴(yán)重”的供應(yīng)鏈攻擊。其背后的攻擊組織訓(xùn)練有素、作戰(zhàn)指揮協(xié)同達(dá)到了很高的水準(zhǔn)。

　　一、事件概要

　　2020 年 11 月底，在火眼公司（FireEye）的內(nèi)部安全日志審計(jì)中，審查員發(fā)現(xiàn)一條安全警告：一位員工注冊(cè)了一個(gè)新的手機(jī)號(hào)碼接收雙因素認(rèn)證驗(yàn)證碼。雖然更換手機(jī)并非罕見(jiàn)現(xiàn)象，審查員還是決定跟進(jìn)調(diào)查此事。經(jīng)過(guò)詢問(wèn)，當(dāng)事員工反饋這段時(shí)間他并沒(méi)有在系統(tǒng)中注冊(cè)新的手機(jī)號(hào)碼。這是一個(gè)非常明顯的網(wǎng)絡(luò)遭到侵入的信號(hào)。FireEye 迅速組織 100 多人的團(tuán)隊(duì)開始徹查，研究團(tuán)隊(duì)發(fā)現(xiàn)，這不是一起簡(jiǎn)單的攻擊行為，攻擊者的手段非常高明，運(yùn)用了許多之前沒(méi)有出現(xiàn)過(guò)的攻擊套路。

　　2020 年 12 月 8 日，F(xiàn)ireEye 在其官方博客發(fā)布了一篇文章，文中提到，“一個(gè)具備頂級(jí)網(wǎng)絡(luò)攻擊能力的國(guó)家”正在針對(duì) FireEye 進(jìn)行網(wǎng)絡(luò)攻擊，并且已經(jīng)成功竊取了一批安全研究工具軟件。隨后，F(xiàn)ireEye 的研究人員開始分析內(nèi)部的 SolarWinds 軟件服務(wù)器，但并沒(méi)有發(fā)現(xiàn)服務(wù)器上有任何惡意軟件的安裝痕跡。研究團(tuán)隊(duì)于是決定對(duì)服務(wù)器上的SolarWinds 軟件進(jìn)行逆向分析，在其中的一個(gè)模塊中發(fā)現(xiàn)了具有 SolarWinds 公司數(shù)字簽名的惡意代碼。

　　2020 年 12 月 12 日，F(xiàn)ireEye 將相關(guān)情況通報(bào)給SolarWinds 公司。同一天，SolarWinds 向美國(guó)證監(jiān)會(huì)和公眾披露了攻擊事件，威脅由此浮出水面，新的受害者陸續(xù)被發(fā)現(xiàn)，其中最引人關(guān)注的是美國(guó)商務(wù)部、國(guó)土安全部、國(guó)務(wù)院、財(cái)政部、核安全委員會(huì)等聯(lián)邦機(jī)構(gòu)。太陽(yáng)風(fēng)公司承認(rèn)，約 1.8 萬(wàn)名該公司客戶遭到網(wǎng)絡(luò)攻擊。

　　根據(jù) SolarWinds 公司公布的調(diào)查情況，攻擊者最早可能是在 2019 年 9 月訪問(wèn)了 SolarWinds 的內(nèi)部系統(tǒng)，9 月 12 日黑客開始在 SolarWinds 的編譯服務(wù)器上修改產(chǎn)品發(fā)布流程，植入惡意代碼，并進(jìn)行詳細(xì)的測(cè)試，測(cè)試過(guò)程持續(xù)了接近兩個(gè)月，直到 2019年 11 月 4 日測(cè)試結(jié)束。2020 年 2 月 20 日，黑客又制作了新版惡意代碼并進(jìn)行植入。2020 年 6 月，黑客清除了對(duì)編譯環(huán)境所做的修改。在此期間，SolarWinds 的編譯服務(wù)器一直按照產(chǎn)品發(fā)布計(jì)劃自動(dòng)進(jìn)行產(chǎn)品打包和發(fā)布操作。

　　SolarWinds 攻擊事件被曝光后，美國(guó)政府相關(guān)機(jī)構(gòu)和網(wǎng)絡(luò)安全私營(yíng)部門迅速響應(yīng)。2020 年 12 月 18日，F(xiàn)ireEye、微軟、GoDaddy 聯(lián)合接管了“日爆”（Sunburst ）后門通信使用的域名，并指向了受控域名，阻斷了遭攻擊網(wǎng)絡(luò)中的惡意 Sunburst 后門與 病毒控制服務(wù)器之間的通信。2021 年 1 月 5 日，據(jù)美國(guó)《國(guó)會(huì)山報(bào)》報(bào)道，美國(guó)聯(lián)邦調(diào)查局（FBI）、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）、國(guó)家情報(bào)總監(jiān)辦公室（ODNI）和國(guó)家安全局（NSA）發(fā)表聯(lián)合聲明，正式指控俄羅斯政府策劃了 SolarWinds 供應(yīng)鏈攻擊。2021 年 4 月 15 日，美國(guó)財(cái)政部方面宣布對(duì)俄制裁內(nèi)容，指出俄羅斯對(duì)外情報(bào)局（SVR）負(fù)責(zé)實(shí)施了SolarWinds 攻擊事件。SVR 利用 SolarWinds Orion 平臺(tái)和其他信息技術(shù)基礎(chǔ)架構(gòu)，入侵了成千上萬(wàn)的美國(guó)政府和私營(yíng)部門網(wǎng)絡(luò)，并竊取了紅隊(duì)工具（指的是火眼工具）。英國(guó)外交和聯(lián)邦事務(wù)部同一天發(fā)布聲明，指責(zé) SVR 為 SolarWinds 供應(yīng)鏈攻擊事件的幕后兇手。

　　二、攻擊流程

　　360 威脅情報(bào)中心在《軟件供應(yīng)鏈來(lái)源攻擊分析報(bào)告》中將軟件供應(yīng)鏈分為以下三個(gè)環(huán)節(jié)：

　　開發(fā)環(huán)節(jié)。涉及軟硬件開發(fā)環(huán)境、開發(fā)工具、第三方庫(kù)、軟件開發(fā)實(shí)施等，軟件開發(fā)實(shí)施的具體過(guò)程還包括需求分析、設(shè)計(jì)、實(shí)現(xiàn)和測(cè)試等，軟件產(chǎn)品在這一環(huán)節(jié)形成最終用戶可用的形態(tài)。

　　監(jiān)管使用環(huán)節(jié)。包括軟件安全性測(cè)評(píng)、軟件離線和在線升級(jí)以及企業(yè)內(nèi)部系統(tǒng)遠(yuǎn)程或?qū)嵉剡\(yùn)維等過(guò)程。

　　交付環(huán)節(jié)。用戶通過(guò)在線商店、免費(fèi)網(wǎng)絡(luò)下載、官網(wǎng)下載、購(gòu)買軟件安裝光盤等存儲(chǔ)介質(zhì)、資源共享等方式獲取所需軟件產(chǎn)品；軟件開發(fā)企業(yè)根據(jù)用戶定制化開發(fā)需求為用戶部署安裝軟件系統(tǒng)。

　　攻擊者針對(duì)上述一個(gè)或多個(gè)環(huán)節(jié)進(jìn)行攻擊，有可能影響最終的軟件產(chǎn)品和整個(gè)使用場(chǎng)景的安全。軟件產(chǎn)品如果在源代碼級(jí)別被攻擊者植入惡意代碼將非常難以被發(fā)現(xiàn)，并且這些惡意代碼在披上正規(guī)軟件廠商的合法外衣后更能輕易躲過(guò)安全軟件產(chǎn)品的檢測(cè)，或許會(huì)長(zhǎng)時(shí)間潛伏于用戶機(jī)器中不被察覺(jué)。

　　綜合 SolarWinds、微軟、火眼、賽門鐵克等美國(guó)安全廠商、中國(guó)網(wǎng)絡(luò)安全廠商奇安信、瑞士安全廠商 Prodaft 等發(fā)布的事件研究報(bào)告，結(jié)合對(duì)樣本的分析，可以確認(rèn)，這是一起典型的軟件供應(yīng)鏈攻擊，主要攻擊流程可以概括為以下三步：第一，APT 組織攻陷了 SolarWinds 的軟件倉(cāng)庫(kù)（SVN）服務(wù)器；第二，在 SolarWinds 的網(wǎng)管軟件 Orion 中植入了惡意軟件。FireEye 將該惡意軟件命名為 Sunburst，微軟則命名為“太陽(yáng)門”（Solorigate）；第三，用戶下載安裝中毒的 Orion 軟件更新包后被植入木馬。

　?。ㄒ唬┇@取 SolarWinds 公司網(wǎng)絡(luò)初始訪問(wèn)權(quán)限

　　對(duì)于攻擊者如何獲取了 SolarWinds 網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限，尚未有明確結(jié)論，僅有一些猜測(cè)，例如，SolarWinds 稱，攻擊者最初是通過(guò)微軟 0ffice365 服務(wù)的漏洞進(jìn)入其系統(tǒng)，但微軟強(qiáng)烈否認(rèn)此說(shuō)法。據(jù)紐約時(shí)報(bào) 2021 年 1 月 6 日?qǐng)?bào)道，總部位于捷克共和國(guó)的 JetBrains 軟件公司可能是 SolarWinds黑客攻擊的切入點(diǎn)，俄羅斯黑客可能利用了該公司開發(fā)的一款工具進(jìn)入了美國(guó)聯(lián)邦政府和私營(yíng)部門的系統(tǒng)。隨著調(diào)查的深入，研究人員發(fā)現(xiàn) SolarWinds自身的安全防御也非常薄弱。安全研究人員庫(kù)馬爾（Vinoth Kumar）2020 年曾發(fā)現(xiàn)了一個(gè)用于訪問(wèn)SolarWinds 更新服務(wù)器的硬編碼密碼使用了弱口令“SolarWinds123”。

　?。ǘ┰?SolarWinds 公司的網(wǎng)管軟件 Orion中植入了惡意軟件

　　在實(shí)現(xiàn)了對(duì) SolarWinds 網(wǎng)絡(luò)的初始訪問(wèn)后，攻擊者在 SolarWinds 的整個(gè)網(wǎng)絡(luò)中開展了數(shù)月的情報(bào)偵察活動(dòng)。根據(jù)火眼的分析報(bào)告，惡意代碼包含在SolarWinds.Orion.Core.BusinessLayer.dll 中。Dll 文 件具有合法的簽名，表明攻擊者從源碼階段進(jìn)行了控制?？紤]軟件工程的工作流程，攻擊者最有可能發(fā)起感染的位置是代碼倉(cāng)庫(kù)，這樣能夠最大限度避開提交前的審查，以及提交期間的自動(dòng)化代碼掃描，防止在開發(fā)階段被發(fā)現(xiàn)?？梢源_認(rèn)，攻擊者在軟件倉(cāng)庫(kù)中的 Orion 軟件中植入了 Sunburst 后門。

　　從 2020 年 3 月至 2020 年 5 月，攻擊者對(duì)多個(gè)木馬更新進(jìn)行了數(shù)字簽名，并發(fā)布到 SolarWinds 更新網(wǎng)站上，木馬更新文件是標(biāo)準(zhǔn)的 Windows Installer 補(bǔ)丁文件，其中包括與更新相關(guān)的壓縮資源，還包括被木馬化的動(dòng)態(tài)鏈接庫(kù)（DLL）組件。一旦 onion 產(chǎn)品用戶安裝了更新，惡意 Dll 文件將由合法的 SloarWinds執(zhí)行程序加載，并通過(guò)特殊的域名生成算法（DGA）生成域名與惡意 C2 通信，其通信流量會(huì)模擬成正常的 SolarWinds API 通信，以達(dá)成偽裝效果。

　?。ㄈ┯脩粝螺d安裝預(yù)植后門的 Orion 軟件更新包后被植入木馬

　　根據(jù)微軟公司總裁布拉德·史密斯（BradSmith）2 月 23 日在國(guó)會(huì)聽(tīng)證會(huì)上的證詞，用戶下載安裝被植入后門的更新后，黑客根據(jù) Sunburst 程序回傳的數(shù)據(jù)確認(rèn)目標(biāo)的重要程度，精選關(guān)注的重要目標(biāo)部署第二階段惡意軟件，進(jìn)而實(shí)施憑證竊取或橫向拓展操作。在橫向拓展階段，攻擊者可以選擇在不被微軟發(fā)現(xiàn)的情況下將惡意軟件駐留在本地；或者將惡意軟件轉(zhuǎn)移到云上，進(jìn)而使用憑證進(jìn)行本地訪問(wèn)，或是生成令牌以獲取對(duì)電子郵件之類的云服務(wù)的訪問(wèn)，最終竊取并回傳受害者電腦中的數(shù)據(jù)。

　　三、攻擊特點(diǎn)

　　SolarWinds 供應(yīng)鏈攻擊事件是一起經(jīng)長(zhǎng)期準(zhǔn)備、隱蔽性很強(qiáng)、技戰(zhàn)術(shù)高超的網(wǎng)絡(luò)攻擊行動(dòng)，其背后的 APT 組織經(jīng)驗(yàn)豐富，具有高度的耐心與紀(jì)律意識(shí)，攻擊協(xié)同達(dá)到了很高的水準(zhǔn)。

　　（一）尋找漏洞精準(zhǔn)制敵

　　多年來(lái)，美國(guó)政府和軍方斥巨資網(wǎng)絡(luò)監(jiān)控體系，建成了“愛(ài)因斯坦計(jì)劃”（Einstein）和“守護(hù)者”（Tutelage）等兩大網(wǎng)絡(luò)空間監(jiān)控系統(tǒng)?！皭?ài)因斯坦計(jì)劃”由國(guó)土安全部國(guó)家網(wǎng)絡(luò)通信整合中心運(yùn)營(yíng)，能夠?qū)β?lián)邦政府網(wǎng)絡(luò)和部門關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)進(jìn)行細(xì)粒度全流量監(jiān)控。攻擊者精心挑選了未納入“愛(ài)因斯坦計(jì)劃”監(jiān)控范圍但卻有大量重要客戶的SolarWinds 公司，有效規(guī)避了美國(guó)網(wǎng)絡(luò)態(tài)勢(shì)監(jiān)控系統(tǒng)的審查。

　?。ǘ╅L(zhǎng)期準(zhǔn)備密切協(xié)同

　　SolarWinds 供應(yīng)鏈攻擊事件任務(wù)復(fù)雜度高，對(duì)作戰(zhàn)指揮協(xié)同提出了很高要求。FireEye 分析認(rèn)為，攻擊團(tuán)隊(duì)的規(guī)模在 1000 人以上。組織如此龐大規(guī)模的攻擊行動(dòng)，涉及制定方案、模擬演練、準(zhǔn)備攻擊基礎(chǔ)設(shè)施、前期偵察、定制化開發(fā)武器和指揮控制平臺(tái)、獲取目標(biāo)網(wǎng)絡(luò)初始權(quán)限、后期滲透拓展等環(huán)節(jié)，作戰(zhàn)周期至少持續(xù)一年。在分工方面，由專業(yè)團(tuán)隊(duì)進(jìn)行謀劃，由供應(yīng)鏈攻擊團(tuán)隊(duì)打點(diǎn)，由作戰(zhàn)支撐團(tuán)隊(duì)提供定制化武器和域名等作戰(zhàn)資源，由分析團(tuán)隊(duì)進(jìn)行目標(biāo)確認(rèn)，由滲透團(tuán)隊(duì)實(shí)行深入控制。參戰(zhàn)人員嚴(yán)格執(zhí)行“規(guī)定動(dòng)作”，從捕獲的“魚群”中只選擇心儀的“大魚”，按照分工進(jìn)行滲透拓展，沒(méi)有出現(xiàn)打亂仗的情況。

　?。ㄈ╇[蔽滲透長(zhǎng)線作戰(zhàn)

　　從 2019 年 9 月黑客侵入 SolarWinds 網(wǎng) 絡(luò)， 到2020 年 12 月 FireEye 發(fā)出通知，在長(zhǎng)達(dá)一年零三個(gè)月的時(shí)間里，沒(méi)有任何一家機(jī)構(gòu)發(fā)現(xiàn)被黑客攻擊。主要是因?yàn)楣粽卟捎昧硕囗?xiàng)技戰(zhàn)術(shù)手段：發(fā)起正式攻擊前在實(shí)網(wǎng)環(huán)境下進(jìn)行“無(wú)損”測(cè)試、精準(zhǔn)選定 SolarWinds 代碼倉(cāng)庫(kù)“無(wú)感”植入惡意代碼、惡意后門“小心”判斷執(zhí)行條件。

　　2019 年 9 月黑客在 SolarWinds 軟件升級(jí)包植入后門后，并未急于發(fā)動(dòng)攻擊。為確保萬(wàn)無(wú)一失，攻擊者在實(shí)際網(wǎng)絡(luò)環(huán)境下對(duì)攻擊流程進(jìn)行了一次“無(wú)損”測(cè)試。威脅情報(bào)公司“逆向?qū)嶒?yàn)室”（ReversingLabs）調(diào)查顯示，黑客修改的第一個(gè)Orion 軟件版本（2019.4.5200.8890）實(shí)際上是 2019年 10 月更新的。該版本僅被輕微修改，且其中不包含惡意后門代碼，這是攻擊者第一次開始進(jìn)行修改軟件的測(cè)試。

　　此外，攻擊者從源碼階段就進(jìn)行了控制。攻擊者選擇感染代碼倉(cāng)庫(kù)，從而避開提交之前的檢查，以及期間的自動(dòng)化代碼掃描，避免了在開發(fā)階段被發(fā)現(xiàn)的可能性。攻擊者選擇了一個(gè)非常深層次的調(diào)用棧，用來(lái)降低代碼重構(gòu)期間被發(fā)現(xiàn)的可能。

　　在執(zhí)行后門功能前，代碼將進(jìn)行長(zhǎng)達(dá) 9 層的判斷，用于檢測(cè)當(dāng)前運(yùn)行環(huán)境。幾乎所有的判斷都是通過(guò)自定義 hash 算法進(jìn)行的，這保證了無(wú)論是在源碼，還是在編譯后的程序集中，均不會(huì)存在敏感字符串，從而降低被查殺的可能。攻擊者寧可放棄大量的上線機(jī)會(huì)也不愿在某個(gè)不安全環(huán)境上線。

　　四、事件影響

　?。ㄒ唬?SolarWinds 攻擊“后遺癥”短期難消除

　　雖然美國(guó)政府聲稱，在 SolarWinds 軟件供應(yīng)鏈?zhǔn)录性夤ハ莸亩鄶?shù)機(jī)構(gòu)已經(jīng)按照白宮指令完成修復(fù)以及后續(xù)獨(dú)立審計(jì)，以確保攻擊者脫離系統(tǒng)，但在如此大規(guī)模的網(wǎng)絡(luò)攻擊中找出所有受害者并完全阻止黑客對(duì)被入侵網(wǎng)絡(luò)的訪問(wèn)幾乎不太可能。要徹底擺脫攻擊的影響，需重建整個(gè) IT 系統(tǒng)，但這幾乎是不可能的。攻擊者依舊可能利用此前植入的后門進(jìn)行秘密攻擊，持續(xù)獲取信息，甚至潛伏直至未來(lái)某個(gè)關(guān)鍵節(jié)點(diǎn)再次集中爆發(fā)，造成更大破壞。在本次攻擊中，提供郵件安全服務(wù)的上市公司 Mimecast的部分源代碼被盜走，黑客將來(lái)有可能在源代碼基礎(chǔ)上挖掘產(chǎn)品遠(yuǎn)程執(zhí)行漏洞，對(duì) Mimecast 的用戶開展供應(yīng)鏈攻擊。今年 5 月，微軟披露稱，SolarWinds黑客又開始了行動(dòng)，攻擊目標(biāo)涉及 24 個(gè)國(guó)家的政府機(jī)構(gòu)、顧問(wèn)、智庫(kù)和非政府組織。

　?。ǘ?美俄網(wǎng)絡(luò)空間“冤冤相報(bào)無(wú)休止”

　　拜登與普京今年 6 月 16 日在日內(nèi)瓦舉行首腦峰會(huì)，雙方同意將協(xié)商劃定“網(wǎng)絡(luò)紅線”，將責(zé)成各自政府的網(wǎng)絡(luò)安全專家就什么是禁區(qū)達(dá)成具體共識(shí)。拜登稱，美國(guó)向普京提供了 16 個(gè)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域清單，這些領(lǐng)域不應(yīng)成為惡意網(wǎng)絡(luò)活動(dòng)的攻擊目標(biāo)。雖然美國(guó)作為緩兵之計(jì)，向俄羅斯拋出了橄欖枝，但由于美國(guó)在網(wǎng)絡(luò)空間領(lǐng)域擁有傲視群雄的強(qiáng)大攻防能力，美國(guó)很難放棄對(duì)俄羅斯實(shí)施網(wǎng)絡(luò)攻擊的執(zhí)念。2018 年 7 月 13 日，美國(guó)司法部公布了一份針對(duì)俄羅斯聯(lián)邦軍隊(duì)總參謀部情報(bào)總局（GRU）下屬 12名情報(bào)人員的起訴書，指控其干擾美國(guó)大選。在美國(guó) 2018 年中期選舉當(dāng)天，為防止俄羅斯組織“互聯(lián)網(wǎng)研究機(jī)構(gòu)”（IRA）干擾選舉，美國(guó)網(wǎng)絡(luò)司令部“俄羅斯”小組成功切斷了其與互聯(lián)網(wǎng)的連接長(zhǎng)達(dá)一天之久。對(duì)俄羅斯來(lái)說(shuō)，由于美國(guó)社會(huì)對(duì)網(wǎng)絡(luò)的高度依賴、網(wǎng)絡(luò)互聯(lián)互通的天然屬性、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的私有屬性，據(jù)稱有俄羅斯國(guó)家背景的 APT 組織亦不會(huì)“偃旗息鼓”，將不斷尋找美國(guó)網(wǎng)絡(luò)漏洞、發(fā)動(dòng)網(wǎng)絡(luò)攻擊，令對(duì)手重金打造的“網(wǎng)絡(luò)馬其頓防線”分崩離析。很難預(yù)測(cè)俄羅斯對(duì)美國(guó)的下一次網(wǎng)絡(luò)攻擊將在何時(shí)以何種方式到來(lái)，但可以肯定的是一定會(huì)到來(lái)。

　?。ㄈ?供應(yīng)鏈攻擊魔盒已開啟

　　供應(yīng)鏈攻擊可能影響數(shù)十萬(wàn)乃至上億的軟件產(chǎn)品用戶，并可能進(jìn)一步帶來(lái)竊取用戶隱私、植入木馬、盜取數(shù)字資產(chǎn)等危害。SolarWinds 攻擊成功突破了美國(guó)國(guó)務(wù)院、能源部、國(guó)防部等核心部門，網(wǎng)絡(luò)安全界翹楚 FireEye以及科技界巨頭微軟和思科公司等，再次彰顯了軟件供應(yīng)鏈攻擊的威力。

　　近年來(lái)，基于軟件供應(yīng)鏈的攻擊案例呈現(xiàn)出不斷增加趨勢(shì)。埃森哲公司 2016 年調(diào)查顯示，超過(guò)60% 的網(wǎng)絡(luò)攻擊源于供應(yīng)鏈攻擊。2020 年 6 月，網(wǎng)絡(luò)安全服務(wù)商 BlueVoyant 曾發(fā)起一項(xiàng)調(diào)查，結(jié)果顯示 80% 的受訪企業(yè)都曾因供應(yīng)商遭受攻擊而發(fā)生數(shù)據(jù)泄露。SolarWinds 事件不會(huì)是最后一個(gè)供應(yīng)鏈攻擊事件，供應(yīng)鏈攻擊的魔盒已經(jīng)打開。除了SolarWinds，美國(guó)還有眾多擁有大量政府客戶的知名度不高的軟件企業(yè)，這些企業(yè)都有可能成為供應(yīng)鏈攻擊的目標(biāo)。

　　（四） 零信任網(wǎng)絡(luò)架構(gòu)或加速落地

　　零信任是一種以資源保護(hù)為核心的網(wǎng)絡(luò)安全范式，它將網(wǎng)絡(luò)防御從靜態(tài)的、基于網(wǎng)絡(luò)邊界的防護(hù)轉(zhuǎn)移到關(guān)注用戶、資產(chǎn)和資源的動(dòng)態(tài)防護(hù)，其核心理念是“從不信任，始終驗(yàn)證”。零信任模型對(duì)網(wǎng)絡(luò)攻擊活動(dòng)中遠(yuǎn)程訪問(wèn)、冒用身份、橫向移動(dòng)等關(guān)鍵步驟具有較強(qiáng)的監(jiān)控防御作用，美國(guó) NSA 于 2021年 2 月發(fā)布了《擁抱零信任安全模型》，強(qiáng)烈推薦政府官方機(jī)構(gòu)采用零信任架構(gòu)。

　　SolarWinds 事件為美國(guó)推動(dòng)零信任框架落地提供了動(dòng)力。2021 年 5 月 12 日，美國(guó)總統(tǒng)拜登發(fā)布行政命令以加強(qiáng)國(guó)家網(wǎng)絡(luò)安全，明確指示聯(lián)邦政府各機(jī)構(gòu)實(shí)施零信任方法。5 月 13 日，美國(guó)防信息系統(tǒng)局（DISA）在其官網(wǎng)公開發(fā)布了其與國(guó)防部首席信息官辦公室、美國(guó)網(wǎng)絡(luò)司令部、美國(guó)國(guó)家安全局合作開發(fā)的《國(guó)防部零信任參考架構(gòu)》，為美國(guó)防部大規(guī)模采用零信任設(shè)定了戰(zhàn)略目的、原則、相關(guān)標(biāo)準(zhǔn)和其他技術(shù)細(xì)節(jié)。零信任架構(gòu)的部署落地，預(yù)示著美國(guó)重要部門的網(wǎng)絡(luò)防御體系將更加完備。