《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > SolarWinds首席信息安全官對2020年突發(fā)安全事件的反思

SolarWinds首席信息安全官對2020年突發(fā)安全事件的反思

2022-11-11
來源:安全牛
關(guān)鍵詞: SolarWinds 安全事件

  據(jù)路透社和《華盛頓郵報》報道,SolarWinds旗下的Orion網(wǎng)絡(luò)監(jiān)控軟件更新服務(wù)器遭黑客入侵并植入惡意代碼,導(dǎo)致美國財政部,、商務(wù)部等多個政府機構(gòu)用戶受到長期入侵和監(jiān)視,,甚至可能與之后曝出的FireEye網(wǎng)絡(luò)武器庫被盜事件有關(guān)。這是一次典型的基于供應(yīng)鏈漏洞的網(wǎng)絡(luò)攻擊。

  在ISACA北美大會上,ISACA董事會董事Rob Clyde與SolarWinds首席信息安全官Tim Brown探討了這次事件中的SolarWinds的應(yīng)對以及從中吸取的教訓(xùn)。

  Rob Clyde:Tim,,你能分享一下你是如何得知這件事以及如何通知公眾、股東和董事會的嗎,?

  Tim Brown:Mandiant首席執(zhí)行官給SolarWinds首席執(zhí)行官打電話告知此事,,之后我又給Mandiant首席技術(shù)官打電話了解具體情況。代碼最初由FireEye Mandiant在調(diào)查中發(fā)現(xiàn),。該代碼試圖做一些Orion絕不應(yīng)該做的事情,。FireEye Mandiant發(fā)現(xiàn)問題后立即開始深入調(diào)查。他們對代碼進行反編譯,,發(fā)現(xiàn)問題代碼看起來不像我們的代碼,,立即提醒我們發(fā)現(xiàn)供應(yīng)鏈攻擊。

  調(diào)查證明,,受代碼影響的三個產(chǎn)品版本,,當(dāng)時有18,000客戶下載了這些版本。后來發(fā)現(xiàn)實際受到影響的客戶數(shù)量可能為100家,,但我們最初的響應(yīng)針對的是全部18,000家客戶,,需要盡快獲得客戶信息。

  初步研究很快完成,。一旦我們證實問題真實存在,,我們很快就與領(lǐng)導(dǎo)層、董事會,、法律部門和其他我們需要與之溝通的任何有關(guān)方通話。受疫情影響,,我們當(dāng)時遠程辦公,,但也會前往辦公室,設(shè)立戰(zhàn)情室,,開展必要研究,、溝通和客戶外展服務(wù)。我們發(fā)現(xiàn)我們有客戶銷售人員而非安全人員聯(lián)系信息,,這個問題隨后得到了解決,。

  溝通對我們而言至關(guān)重要。從優(yōu)先級上講,,我們應(yīng)該如何確定客戶的優(yōu)先級,?當(dāng)時我們度過了非常糟糕的一周,,但我們世界各地的客戶也同樣如此,他們一直在試圖弄清楚正在運行的軟件版本是否受到病毒感染,。

  Rob Clyde:了解事件的全貌可能需要一段時間,,往往比美國證券交易委員會新規(guī)定的四天要久。你是如何處理這個問題的呢,?

  Tim Brown:這涉及披露你知道的和不知道的問題,。你既不希望過度披露,也不希望披露不足,。周日凌晨2點,,我們公布了我們知道的和不知道的。當(dāng)時,,我們不知道攻擊者是誰或應(yīng)將其歸咎于誰,。

  不要過度擴展你所知道的,只分享你已掌握的信息,。我們決定就我們所知道的,,受影響的客戶,受影響的版本和共享代碼等信息盡可能做到透明,。

  Rob Clyde:當(dāng)時都有誰參與應(yīng)對這次事件呢,?

  Tim Brown:在這次事件之前,我們使用的是常規(guī)事件響應(yīng)披露模式,。但是這次事件影響之大,,影響之深,前所未有,。我們的法律合作伙伴擁有一支非常優(yōu)秀的網(wǎng)絡(luò)團隊,,而這個網(wǎng)絡(luò)團隊就像四分衛(wèi)一樣,沒有其他工作,,全部精力只專注于此次事件,,所以讓法律團隊擔(dān)任這個角色很有裨益。CrowdStrike和畢馬威進行調(diào)查和取證,。公司內(nèi)部,,我們的法律、工程,、安全,、IT營銷和客戶關(guān)系部門全部出動。我們經(jīng)常工作到凌晨3點——這是在這種特殊情況下我們必須要做的,。

  Rob Clyde:是否有些組織利用這次的機會掩飾自己的過錯而讓SolarWinds背鍋,?

  Tim Brown:我確實感到大開眼界,背后的動機很多,,強烈而真實,。但是并沒有困擾到我,,只要他們的研究是有成效的。

  Rob Clyde:誰是攻擊者,,其動機是什么呢,?

  Tim Brown:問題歸因并不是我們當(dāng)時要做的,因為我們正忙于幫助客戶,。美國政府將其歸因于某國家的對外情報局,。攻擊特點是必須能夠連接到互聯(lián)網(wǎng)和指揮與控制服務(wù)器。大多數(shù)客戶都不是這樣配置,,所以我們認為攻擊者是針對某客戶群體,,比如政府機構(gòu)。他們編寫的代碼可能只是為了造成傷害或跟蹤物聯(lián)網(wǎng)系統(tǒng),。需要特別指出的是,,必須連接到互聯(lián)網(wǎng)才能獲得指令,這在Orion系統(tǒng)非常罕見,,所以我們相信攻擊者知道他們的目標(biāo),,而我們只是通往這些目標(biāo)的路線。攻擊我們是其達到目的的一種手段,,這是一種高水平的蓄意攻擊,。

  我們沒有關(guān)于“零號患者”的確切細節(jié)。對方進入并潛伏在系統(tǒng)已經(jīng)一年多,。我們知道,,他們針對特定人群采用了特定的魚叉式網(wǎng)絡(luò)釣魚來收集數(shù)據(jù)。他們在我們的環(huán)境里制造的噪音非常小,。他們?nèi)肭?,訪問我們的電子郵件,10月做了一次沒有代碼的測試運行,,隨后3月再次入侵并植入一些代碼,,6月又一次入侵并刪除了這些代碼。為了不被發(fā)現(xiàn),,他們以任務(wù)為中心,。

  Rob Clyde:受到攻擊之前,你們的安全文化是怎樣的,?現(xiàn)在又是怎樣的呢?

  Tim Brown:事件發(fā)生時,,我們在想,,“我們遺漏了什么嗎?”我們有非常好的計劃,。我們的投入略高于行業(yè)標(biāo)準(zhǔn),。但現(xiàn)在,,我們的標(biāo)準(zhǔn)顯著高于行業(yè)標(biāo)準(zhǔn)。

  領(lǐng)導(dǎo)層也給予了極大的支持,。有人問我:“Tim,,如何才能成為榜樣?”榜樣需要花錢投資開發(fā)流程,、安全團隊和所有的方方面面,。我們擁有所需的資源,實施基于設(shè)計的安全策略,,覆蓋人員,、流程和技術(shù),并使之成為公司的文化精髓,。

  Rob Clyde:通常事件發(fā)生后的第一反應(yīng)是解雇首席信息安全官,,因為必須有人擔(dān)責(zé)。您現(xiàn)在在這里,,還在SolarWinds,,所以顯然這種事情并沒有發(fā)生。為什么呢,?

  Tim Brown:原因有很多,。在我的職業(yè)生涯中,我從事過很多不同的工作,,而且我非常喜歡與人交談——從財富500強公司到像這樣的會議,。對于如此大規(guī)模的事件,你不需要一個有背景的首席信息安全官,,而是一個能應(yīng)對棘手問題,、接受被罵、直言不諱并掌握主動權(quán)的人,。如果我無法勝任,,我也會解雇我自己。如果你是一個有背景的首席信息安全官,,而無法提供幫助,。即便能夠提供幫助,也無法解決問題,。在這種情況下,,你需要一個能夠面向外界的首席信息安全官。

  此外,,我也深入地參與其中,。我與媒體、新聞界、政府,、行業(yè)論壇,、客戶和國家溝通。如果你能提供幫助,,如果你在尋找解決方案方面發(fā)揮核心作用,,就不會被解雇。當(dāng)被問及為什么沒有解雇我時,,我的老板在一次會議上表示:“如果我要聘用一位首席信息安全官,,我會聘用Tim,那我為什么要解雇他呢,?”

  Rob Clyde:我猜測,,你不是在事件發(fā)生后才突然決定學(xué)習(xí)如何成為一位面向外界的首席信息安全官。對于如何提前做好準(zhǔn)備,,你有什么建議嗎,?

  Tim Brown:走出去溝通交流。首席信息安全官現(xiàn)在專注于產(chǎn)品,、會議和團隊——他們應(yīng)該走出去溝通交流,。接受培訓(xùn),進行情景演練,。我受過最好的培訓(xùn)是在我職業(yè)生涯早期的演講者培訓(xùn),。培訓(xùn)完成后,繼續(xù)實踐,,在行業(yè)論壇和董事會發(fā)言,。

  請記住,你的客戶正在和你一起經(jīng)歷這些,。你不是孤軍奮戰(zhàn),。我不得不毀掉許多人的圣誕和新年假期。

  Rob Clyde:你說 “我不得不毀掉”那些假期,。你真的很有擔(dān)當(dāng),。

  Tim Brown:我的計劃很好。但我的計劃成熟水平尚無法對抗某國家的對外情報局,。這是事實,。我做得還好嗎?是的,。但我是否想做得更多,?當(dāng)然。我們的安全計劃標(biāo)準(zhǔn)曾與業(yè)界標(biāo)準(zhǔn)相當(dāng),。但是,,我們現(xiàn)在不在同一水平上。我們已經(jīng)是業(yè)界典范。我們暫停了六個月的開發(fā)活動,,旨在加快各方面的努力。現(xiàn)在我們正在做一些比如三重安全運營中心(SOC)之類的事情,,我們建立了自己的紅隊,。

  Rob Clyde:給我們講講你是如何說服和勸說大家與你一起進行這次企業(yè)文化之旅并獲得預(yù)算的。

  Tim Brown:我們得到了很大的支持,。在此期間,,我們按計劃完成了首席執(zhí)行官換屆工作。我們的前任首席執(zhí)行官在8月表示即將退休,,而我們新任首席執(zhí)行官在1月1日正式上任,。我們得到了首席執(zhí)行官和董事會的全力支持。

  Rob Clyde:你是如何重建客戶信任的呢,?

  Tim Brown:我們做了很多努力,,如通過論壇,就像像這次的ISACA會議一樣,,我們會分享一切有關(guān)信息,。起初,我們會與客戶分享信息,,但不愿分享所有的細節(jié)?,F(xiàn)在,我們將盡可能多地與客戶分享他們想了解的信息,,甚至更多,。這改變了我們所有客戶評估供應(yīng)商的方式。他們現(xiàn)在要求提供更多細節(jié),,因為我們開創(chuàng)了這個先例,。在開創(chuàng)這個先例的過程中,我們向客戶表明他們能夠信任我們,。

  提高整個供應(yīng)鏈的透明性至關(guān)重要,。

  Rob Clyde:你認為其他組織發(fā)生這類事件的可能性有多大?

  Tim Brown:如果我們認為這類事件不會發(fā)生在其他地方,,那就太天真了,。我認為它很可能在一些其他組織中發(fā)生。不發(fā)生才怪,!

  Rob Clyde:你希望我們從中吸取的重要教訓(xùn)是什么,?

  Tim Brown:經(jīng)常進行事件響應(yīng)舉措演練。讓人們做好準(zhǔn)備,。我們在兩天內(nèi)所做的工作令人難以置信,,但前提是我們必須要有那些聯(lián)系方式。事件發(fā)生在周六。所以要確保擁有在下班時間也能聯(lián)系到人的方式,。

  交流沒有問題,。你能分享的越多,你能為客戶和所在社區(qū)提供的幫助越多,,每個人的生活就會越好,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。