A folyamatosan dagadó, SolarWinds nevével elhíresült adatlopási botrány kapcsán sokadszorra szólalt meg a Microsoft, amely a mind kifinomultabb technikákat alkalmazó hackertámadások ellen minden vállalkozásnak a "zéró bizalom" elvét ajánlja. Eszerint a szervezeteknek abból kell kiindulniuk, hogy rendszerük minden erőfeszítés ellenére sem tökéletesen sebezhetetlen, és biztonsági szempontból szigorúan ellenőrizniük kell minden felhasználói fiókot, végponti eszközt, hálózatot és más erőforrást.
A Microsoft véleményét Alex Weinert, a cég identitásbiztonsági vezetője foglalta össze egy blogposztban. Weinert szerint a három fő akcióvektort a megtámadott felhasználói és beszállítói fiókok, valamint a felhasznált szoftver jelentették. A hackerek - minden bizonnyal a UNC2452/Dark Halo csoport tagjai - a SolarWinds Orion szoftverébe rejtették a Sunburst nevű kártevőt, és a fertőzött frissítést többezer cég és állami szerv töltötte le.
A biztonsági termékeket fejlesztő Malwarebytes a hét közepén nyilvánosságra hozta, hogy őket is ugyanez a hacker-csoport támadta meg, de már nem az ominózus Orion-frissítéssel. A kiberbűnözők az adatlopáshoz olyan alkalmazásokat használtak, amelyek privilegizált hozzáféréssel rendelkeztek a Office 365 és Azure infrastruktúrához, és a támadók így a Malwarebytes belső levelezésének egy részéhez tudtak hozzájutni.
Weiner blogposztjában arról ír, hogy a támadók az "explicit ellenőrzés" hiányosságait használták ki, és amellett érvel, hogy az olyan felhő alapú identitásrendszerek, mint az Azure Active Directory (Azure AD), biztonságosabbak a helyszíni megoldásoknál, mert utóbbiakból hiányzik az a típusú felhő alapú védelem, amit például az Azure AD biztosít a gyenge jelszavak kiszűrésével, a jelszószórás érzékelésével (ez a támadási technika gyenge jelszavak próbál végig egy kiterjedt adatbázison), illetve a mesterséges intellgencia használatával.
Azokban az esetekben, amikor a támadók sikert arattak, Weiner szerint a fiókokat nem védték olyan kiegészítő technológiák, mint a többfaktoros azonosítás (MFA), az IP-tartomány korlátozás, az eszközmegfelelés biztosítása és a szigorú hozzáférés-vizsgálat. A Microsoft vizsgálata szerint a feltört fiókok 99,9 százalékánál nem használták az MFA-t.
Weiner szerint a zérő bizalom stratégiájának alapja a határozott ellenőrzés, amely kiterjed minden hozzáférési kérésre, még akkor is, ha az egy beszállítótól érkezik. A Microsoft veterán biztonsági szakembere elismeri, hogy a SolarWinds hekkelést nagy szakértelemmel hajtották végre, de az alkalmazott technikák hatékonyságát jelentősen csökkenteni lehetett volna a korszerű biztonsági megoldásokkal.
