原标题：美国家安全局就“太阳风”黑客事件敦促国防部门采用零信任网络安全模型

　　鉴于最近美国多家政府机构和私营公司持续遭到“太阳风”黑客攻击，美国国家安全局发布指南，敦促国家安全系统、国防部网络和国防工业基础系统采用零信任安全模型。

　　2020年初，位于得克萨斯州的IT公司SolarWinds首先遭到黑客攻击，“太阳风”黑客攻击也由此得名；12月，网络安全公司FireEye首次公开披露了此次黑客攻击，并在后来也遭到攻击。此外，到目前为止，包括美国国家航空航天局和联邦航空管理局在内的9个联邦组织机构以及至少100家公司表示已遭到“太阳风”攻击。为此，2021年2月23日，美国参议院情报委员会针对“太阳风”黑客事件召开听证会。

　　美国政府官员、行业高管和安全专家将“太阳风”黑客行动描述为有史以来针对美国公共和私营部门开展的规模最大的已知网络活动之一。FireEye首席执行官凯文·曼迪亚和微软总裁布拉德·史密斯在证词中表示，此黑客攻击由俄罗斯情报部门发动，主要动机是开展网络间谍活动。微软内部安全专家组成的团队正在调查该公司遭受的攻击行为，据估计此次大规模黑客攻击需要至少1000名工程师予以应对，因此将需要政府投入大量人力和财力。

　　美国政府尚未将此次攻击正式归因于俄罗斯。美国联邦调查局、政府机构和私营公司仍在继续调查此次黑客行动，并评估其后果。

　　当今企业IT环境的地理分布更分散，特别是随着IT资源从组织机构迁移到云端，传统的网络外围安全措施正变得越来越不充分且效率低下，而零信任模型是应对潜在网络安全威胁更合适的新型网络安全措施。

　　根据美国国家安全局发布的指南，零信任是“一种安全模型，一套系统设计原则，以及协调一致的网络安全与系统管理策略”。它是一种“以数据中心为中心”的安全方法，其所假设的最坏情况是组织机构已遭到攻击或将要遭到攻击。零信任模型基于“假定的攻击”，将“最低特权”安全原则应用于网络中的每个用户和节点，并通过基于风险的访问控制、安全监控和安全自动化来实施。

　　与旧的安全模型相比，美国国家安全局的指南提供了3个零信任模型案例。其中之一是，恶意行为者将恶意代码嵌入流行的企业网络设备或应用程序（设备或应用程序已根据最佳实践在组织机构的网络上进行维护和定期更新），隐藏的代码使攻击者可以从后门进入安装了受感染软件的组织机构系统中。该场景暗示了威胁行为体是如何将恶意代码隐秘地嵌入合法的软件更新版本中，攻击了SolarWinds公司用于监视和管理IT基础架构的Orion平台，该平台目前拥有近33000个客户。