以更好地理解SolarWinds网络攻击 黑客如何被黑客入侵

微软，FireEye和财政部在SolarWinds攻击中遭到黑客攻击。

这个说法是正确的，但并不能准确地说明整个故事。

的确如此，因为根据大多数人的理解，这些组织已被黑客入侵。但这并不能准确地说明整个故事，因为这些组织中的每个组织都具有不同的影响，其严重性程度不同于“黑客”。

为何如此重要的一个很好的例子是我们如何谈论癌症。几年前，“患有癌症”也是二元问题。您要么“得了癌症”而要死，要么没有。而且，人们常常以委婉的语调“ C字”来谈论癌症。

现在每个人的关键点是要了解“被黑客入侵”不是简单的二进制状态：它有不同的程度。

由于医学的进步，情况已不再如此：人们可以而且确实能够在癌症中生存。因此，现在我们以一种在癌症类型和阶段方面反映现实的方式更公开地谈论癌症。这可以帮助我们了解这是一种可以治疗和生存的癌症，还是一种无法治愈和晚期的癌症。

现在，关于被黑客入侵也是如此。有些骇客是灾难性的，但有些是可以生存的。我们在有关“ SolarWinds hacks”的不同报告中看到了这种现实。一些组织受到严重影响，而其他组织则没有那么严重。但是，当我们说它们都被“黑客入侵”时，这些关键的细微差别就消失了。

没有专业人士使用的“黑鳞”，更不用说外行可以使用了。这就是为什么我们继续听到“被黑客入侵”的原因之一。

如果我们要更好地理解SolarWinds案例中的细微差别，则需要定义一个scale。由于骇客入侵最重要的是扩散和严重性，因此癌症分期系统提供了一个很好的适应模型，因为它可以分五个阶段跟踪癌症的扩散和严重性。我们可以通过黑客来做同样的事情。

阶段0：攻击者已找到或进入系统或网络的入口点，但未使用或未采取任何行动。

第一阶段：攻击者可以控制系统，但没有超出系统范围，无法进入更广泛的网络。

第二阶段：攻击者已迁移到更广泛的网络，并且处于“只读”模式，这意味着他们可以读取和窃取数据，但不能更改数据。

第三阶段：攻击者已迁移到更广泛的网络，并具有对网络的“写入”访问权限，这意味着他们可以更改数据以及读取和窃取数据。

阶段IV：攻击者对更广泛的网络具有管理控制权，这意味着他们可以创建帐户和新的进入网络的手段，还可以更改，读取和窃取数据。

这些级别中的关键因素是攻击者的访问和控制：每个级别越少越好，越差越好。

例如，SolarWinds表示有18,000个客户受到了影响。但这并不意味着有18,000个客户的网络经历了第四阶段，并完全受到攻击者的控制。

微软对SolarWinds黑客释放了“死亡之星”，以应对违规行为

SolarWinds提供的信息仅告诉我们那些客户经历了第0阶段：攻击者可能已经有办法进一步进入网络。要知道攻击者是否确实走得更远并且客户受到的影响更严重，则需要进行更多调查。

微软在12月17日表示，“可以确认我们在环境中检测到了恶意的Solar Winds二进制文件，我们对其进行了隔离和删除……我们没有找到访问生产服务或客户数据的证据。我们正在进行的调查没有发现任何迹象表明我们的系统曾被用来攻击他人。” 从信息的表面看，这似乎表明Microsoft经历了阶段0或阶段I。

FireEye于12月8日披露了自己的妥协，这实际上是SolarWinds攻击的一部分。似乎表明攻击者能够窃取信息，但没有表明攻击者能够更改数据或获得对网络的管理控制，这很可能使公司经历了第二阶段。

财政部遭到袭击的细节尚不清楚，部分原因是我们只有二手和二手信息。《纽约时报》报告中的信息清楚地表明，攻击者至少在网络上具有“读取”访问权限，这与第二阶段一致。但是，有关攻击者如何获得对云属性的访问权限的一些详细信息暗示了攻击者已在网络上达到第四阶段的可能性。

任何规模的目标都是使事情简单而不简单。但是没有规模是完美的。总有一些方法可以使比例尺掩盖关键细节。像这样的量表最重要的是使我们能够轻松，简洁地了解情况的相对比较严重性。我们所知道的事实表明，财政部的情况比微软或FireEye的情况更糟-在这一方面，这种规模是准确而有用的。

现在每个人的关键点是要了解“被黑客入侵”不是简单的二进制状态：它有不同的程度。通过了解这一点，我们可以更好地评估情况的严重性以及我们需要采取的应对措施。