微软本周公告,将在Microsoft Defender for Office 365产品中加入国家威胁的通知,如果其安全团队侦测到有国家支持的黑客活动,将对Office 365客户发出警告,让他们提早准备。
微软指出,国家威胁是指源自于特定国家,且明显意在进行有利该国利益的网络威胁活动,这类攻击也是微软关注到手法最高端、且行踪最隐秘的威胁活动。微软威胁情报中心长期关注这类威胁,创建了完整的活动面貌,他们也和微软各安全团队密切合作,以实例侦测及缓解决方案法来保护客户。
微软计划为全球Microsoft Defender for Office 365安全门户网站加入通知,以便在客户租户(tenant)中侦测到疑似国家黑客活动时发出通知。根据微软早先的蓝图这项功能目前还在开发中,但预计本月就会全球上线。
但微软早就对企业用户发出类似通知。该公司2019年指出,1万家企业用户接到他们成为攻击目标或已被攻陷的通知
微软选在此时为Office 365加入国家黑客通知,令人联想是否和SolarWinds事件有关。SolarWinds事件于去年12月初爆发时,SolarWinds向美国证管会呈交的文件指出,国家支持的黑客黑入该公司Office 365邮件系统后,得以访问Office 365生产力软件内的其他文件。
另一家邮件安全商Mimecast也指出,该公司系统提供给客户登录Office 365 Exchange Web Services的凭证遭黑客窃取,使客户Office 365可被登录且劫持邮件。路透社报道,黑入Mimecast和SolarWinds的黑客可能是同一帮人。
但是微软Office 365主管上周对华尔街日报驳斥该论点,表示微软调查后没有发现实质证明Office 365被黑入。微软相信是某名Office 365用户账号被黑成为破口,才导致SolarWinds内部网络被植入恶意软件如Sunburst。
安全公司仅能证实SolarWinds事件是国家黑客所为,至于是哪一国则迄今没有定论,美国网络安全及基础架构安全局(CISA)及联邦调查局(FBI)认为可能是俄罗斯,不过上周路透社引述其他调查消息来源报道,SolarWinds的漏洞也被中国黑客滥用。