微软抨击亚马逊在太阳风供应链攻击中缺乏透明度 黑客使用AWS服务器
过去几个月美国科技公司都在忙于调查太阳风供应链攻击,在这次攻击中诸如微软、思科、威睿等公司均被渗透。
还有大量使用太阳风软件的美国政府机构也遭到渗透,黑客提前攻击太阳风软件公司并将恶意负载加载到软件中。
太阳风软件并未发现异常因此直接将携带恶意负载的版本推送给政企客户,随后大量美国政企机构遭到黑客攻击。
微软在上周已经发布该公司关于此次攻击的最终调查报告,报告称黑客获得的权限能浏览微软部分产品的源代码。
值得注意的是美国众议院日前召开听证会就此次黑客攻击收集信息等,微软法务总裁布拉德史密斯代表微软参会。
在听证会上布拉德史密斯抨击亚马逊在此次攻击中缺乏必要的透明度,亚马逊目前并未对此次攻击进行详细调查。
亚马逊作为美国乃至全球云计算市场最大的供应商,该公司甚至都没有通知其大量的政企机构说明这次严重攻击。
例如微软就此次攻击已经发布三十二篇博客,每篇博客都是关于攻击的调查进展以及相关产品的安全防御措施等。
报告显示微软云计算服务的部分产品或组件的源代码也被黑客浏览,但微软评估后认为这些问题不影响产品安全。
而亚马逊到现在都没有发布关于此次攻击的任何官方调查文章,甚至都没有主动通知其客户告知发生了此次攻击。
另外让美国议员关注的是黑客使用的是亚马逊的服务器,直到本周四亚马逊才承认攻击者使用该公司的云服务器。
但显然当前业界就此次攻击的调查已经接近尾声,这时候亚马逊承认黑客使用其云服务器已经不会再有实际意义。
如果亚马逊早点承认的话,业界可以通过黑客的付款记录、服务器流量、服务器数据和托管工具分析黑客的行为。
这对于安全业界的调查来说会有非常不错的帮助,可惜的是亚马逊缺乏必要的透明度导致研究人员白费很多功夫。
微软法务总裁布拉德史密斯表示很担心某些公司将微软当做竞争对手,为竞争不择手段而不愿意公布相关的调查。
然而沉默并不能解决问题,相反我们必须鼓励某些公司发布这些报告、共享这些信息才会有助于提高整体安全性。