微软内部Solorigate调查更新

正如我们近期博客所述，我们认为Solorigate事件是一个重要契机，促使我们以多种方式协作、共享信息、加强防御并响应攻击。与其他SolarWinds客户一样，我们一直在积极寻找Solorigate攻击者的指标，并希望分享我们持续内部调查的最新进展。

我们对自身环境的调查未发现访问生产服务或客户数据的证据。这项仍在进行的调查也未发现我们的系统被用于攻击他人的迹象。

如先前报告，我们在环境中检测到恶意的SolarWinds应用程序，已将其隔离并移除。进一步调查后，我们现在可以报告，未发现针对我们企业域滥用伪造SAML令牌的常见TTP（工具、技术和程序）证据。

然而，我们的调查揭示了超出恶意SolarWinds代码存在的尝试活动。这些活动未危及我们的服务安全或任何客户数据，但我们希望透明地分享我们在对抗我们认为非常复杂的国家级攻击者时所学的经验。

我们检测到少量内部账户的异常活动，经审查发现一个账户被用于查看多个源代码仓库中的源代码。该账户无权修改任何代码或工程系统，我们的调查进一步确认未进行任何更改。这些账户已进行调查和修复。

在微软，我们采用内部源方法——使用开源软件开发最佳实践和类似开源的文化——使源代码在微软内部可查看。这意味着我们不依赖源代码的保密性来保障产品安全，且我们的威胁模型假设攻击者了解源代码。因此，查看源代码不会增加风险。

与许多公司一样，我们以“假设已入侵”的理念规划安全，并分层部署深度防御保护和控制，以便在攻击者获得访问时尽早阻止。我们发现了一些被我们的防护措施挫败的尝试活动证据，因此我们想重申行业最佳实践的价值，例如实施特权访问工作站（PAW）作为保护特权账户策略的一部分。如果我们发现新信息，将提供更多更新以帮助告知和赋能社区。随着我们从内部调查和帮助客户中了解更多，我们将继续改进安全产品并与社区分享这些经验。有关最新信息和指南，请访问我们的资源中心：https://aka.ms/solorigate。