微软阻止中国网络攻击者针对云邮件的攻击

关键要点

微软近期成功遏制了由中国网络威胁集团 Storm0558 发起的针对约25个组织的攻击。该团体主要关注对西欧政府机构的网络间谍活动。组织需充分利用微软提供的审核日志功能以增强安全性。实施多项防范措施以抵御类似攻击，保持安全意识和信息共享。

微软于星期二宣布，他们成功阻止了一个中国网络威胁行为者针对云端客户电子邮件的攻击，这次攻击影响了约25个组织。微软将此次攻击归因于一个名为 Storm0558 的威胁团体，这是一个专注于通过伪造认证令牌渗透邮件系统以获取敏感信息的网络间谍组织。

根据微软的公告，Storm0558 主要针对西欧的政府机构，专注于间谍活动、数据盗窃和凭证获取。然而，主流媒体 报导称，商务部和国务院也遭到了攻击，包括商务部长吉娜雷蒙多。

大多数安全专业人士知道，微软在其服务套件中提供多个审核日志功能。这些功能有助于组织监控用户活动、检测异常或潜在的有害行为，并满足合规性要求。例如，在 Microsoft 365 中，管理员需要访问统一审核日志，其中包含来自 Exchange Online、SharePoint Online、OneDrive for Business、Azure AD、Microsoft Teams 等服务的事件。它能够记录多种事件，如文件和页面活动，登录事件及管理员活动。

访问和理解这些日志需要一定的技术知识。微软提供了广泛的文档来指导用户处理这些内容，用户界面也已设计得尽可能直观。值得注意的是，审核日志并未默认启用，管理员需要手动打开。此外，审核日志在安全与合规中心的搜索结果中显示前可能会有长达24小时或更长的延迟。而且，这些日志的保留时间有限，除非采取额外措施以延长保存期限。

攻击的影响可能是严重的，因为这可以让攻击者假冒合法用户，访问敏感数据，并在组织的网络中横向移动而不被发现。为了应对这种国家赞助的网络攻击，我的团队将采取以下步骤：

依靠威胁情报了解情况：了解威胁行为者的作战方式至关重要。在这种情况下，Storm0558 的行为操作模式需要仔细研究。安全团队应利用微软发布的报告等情报，创建该威胁行为者的具体画像。

进行漏洞和风险评估：考虑 Storm0558 针对的组织主要是在西欧和美国，评估我们组织的风险。这需要了解 Storm0558 所使用的攻击向量和方法在我们的环境中成功的相关性和可能性。

clash verge 下载

实施预防措施：根据 Storm0558 使用的已知技术，例如伪造认证令牌，我们应重新评估并加强我们的认证机制。这包括加强多因素认证MFA协议，审查关键管理系统，并确保安全补丁保持最新。

提供意识培训：确保安全团队及相关员工了解此威胁，并能够识别潜在的警示信号。提供新的威胁培训，强调警惕性、报告可疑活动和遵守已建立安全协议的重要性。

鼓励利益相关者沟通：保持高级管理层、董事会成员和其他相关利益相关者的信息通畅，告知他们该威胁及正在采取的缓解措施。清晰及时的沟通有助于管理期望，减少潜在的恐慌或误导信息。

与外部机构合作：正如微软与 CISA 合作一样，建立和维持与相关政府机构、行业协会和网络安全公司的关系至关重要。分享有关威胁和防御的信息可以使所有参与方受益。

持续监控：实施并加强对与此攻击相关的已知指标的自动检测。定期监控系统，以发现并响应任何入侵迹象。