據(jù)路透社和《華盛頓郵報(bào)》報(bào)道,,SolarWinds旗下的Orion網(wǎng)絡(luò)監(jiān)控軟件更新服務(wù)器遭黑客入侵并植入惡意代碼,,導(dǎo)致美國(guó)財(cái)政部、商務(wù)部等多個(gè)政府機(jī)構(gòu)用戶受到長(zhǎng)期入侵和監(jiān)視,,甚至可能與之后曝出的FireEye網(wǎng)絡(luò)武器庫(kù)被盜事件有關(guān),。這是一次典型的基于供應(yīng)鏈漏洞的網(wǎng)絡(luò)攻擊,。
在ISACA北美大會(huì)上,ISACA董事會(huì)董事Rob Clyde與SolarWinds首席信息安全官Tim Brown探討了這次事件中的SolarWinds的應(yīng)對(duì)以及從中吸取的教訓(xùn),。
Rob Clyde:Tim,,你能分享一下你是如何得知這件事以及如何通知公眾、股東和董事會(huì)的嗎,?
Tim Brown:Mandiant首席執(zhí)行官給SolarWinds首席執(zhí)行官打電話告知此事,,之后我又給Mandiant首席技術(shù)官打電話了解具體情況。代碼最初由FireEye Mandiant在調(diào)查中發(fā)現(xiàn),。該代碼試圖做一些Orion絕不應(yīng)該做的事情,。FireEye Mandiant發(fā)現(xiàn)問(wèn)題后立即開(kāi)始深入調(diào)查。他們對(duì)代碼進(jìn)行反編譯,,發(fā)現(xiàn)問(wèn)題代碼看起來(lái)不像我們的代碼,,立即提醒我們發(fā)現(xiàn)供應(yīng)鏈攻擊。
調(diào)查證明,,受代碼影響的三個(gè)產(chǎn)品版本,,當(dāng)時(shí)有18,000客戶下載了這些版本。后來(lái)發(fā)現(xiàn)實(shí)際受到影響的客戶數(shù)量可能為100家,,但我們最初的響應(yīng)針對(duì)的是全部18,000家客戶,,需要盡快獲得客戶信息。
初步研究很快完成,。一旦我們證實(shí)問(wèn)題真實(shí)存在,,我們很快就與領(lǐng)導(dǎo)層、董事會(huì),、法律部門(mén)和其他我們需要與之溝通的任何有關(guān)方通話,。受疫情影響,,我們當(dāng)時(shí)遠(yuǎn)程辦公,但也會(huì)前往辦公室,,設(shè)立戰(zhàn)情室,,開(kāi)展必要研究、溝通和客戶外展服務(wù),。我們發(fā)現(xiàn)我們有客戶銷售人員而非安全人員聯(lián)系信息,,這個(gè)問(wèn)題隨后得到了解決。
溝通對(duì)我們而言至關(guān)重要,。從優(yōu)先級(jí)上講,,我們應(yīng)該如何確定客戶的優(yōu)先級(jí)?當(dāng)時(shí)我們度過(guò)了非常糟糕的一周,,但我們世界各地的客戶也同樣如此,,他們一直在試圖弄清楚正在運(yùn)行的軟件版本是否受到病毒感染。
Rob Clyde:了解事件的全貌可能需要一段時(shí)間,,往往比美國(guó)證券交易委員會(huì)新規(guī)定的四天要久,。你是如何處理這個(gè)問(wèn)題的呢?
Tim Brown:這涉及披露你知道的和不知道的問(wèn)題,。你既不希望過(guò)度披露,,也不希望披露不足。周日凌晨2點(diǎn),,我們公布了我們知道的和不知道的,。當(dāng)時(shí),我們不知道攻擊者是誰(shuí)或應(yīng)將其歸咎于誰(shuí),。
不要過(guò)度擴(kuò)展你所知道的,,只分享你已掌握的信息。我們決定就我們所知道的,,受影響的客戶,,受影響的版本和共享代碼等信息盡可能做到透明。
Rob Clyde:當(dāng)時(shí)都有誰(shuí)參與應(yīng)對(duì)這次事件呢,?
Tim Brown:在這次事件之前,,我們使用的是常規(guī)事件響應(yīng)披露模式。但是這次事件影響之大,,影響之深,,前所未有。我們的法律合作伙伴擁有一支非常優(yōu)秀的網(wǎng)絡(luò)團(tuán)隊(duì),,而這個(gè)網(wǎng)絡(luò)團(tuán)隊(duì)就像四分衛(wèi)一樣,,沒(méi)有其他工作,全部精力只專注于此次事件,,所以讓法律團(tuán)隊(duì)擔(dān)任這個(gè)角色很有裨益,。CrowdStrike和畢馬威進(jìn)行調(diào)查和取證,。公司內(nèi)部,我們的法律,、工程,、安全、IT營(yíng)銷和客戶關(guān)系部門(mén)全部出動(dòng),。我們經(jīng)常工作到凌晨3點(diǎn)——這是在這種特殊情況下我們必須要做的,。
Rob Clyde:是否有些組織利用這次的機(jī)會(huì)掩飾自己的過(guò)錯(cuò)而讓SolarWinds背鍋?
Tim Brown:我確實(shí)感到大開(kāi)眼界,,背后的動(dòng)機(jī)很多,,強(qiáng)烈而真實(shí)。但是并沒(méi)有困擾到我,,只要他們的研究是有成效的,。
Rob Clyde:誰(shuí)是攻擊者,其動(dòng)機(jī)是什么呢,?
Tim Brown:?jiǎn)栴}歸因并不是我們當(dāng)時(shí)要做的,,因?yàn)槲覀冋τ趲椭蛻簟C绹?guó)政府將其歸因于某國(guó)家的對(duì)外情報(bào)局,。攻擊特點(diǎn)是必須能夠連接到互聯(lián)網(wǎng)和指揮與控制服務(wù)器。大多數(shù)客戶都不是這樣配置,,所以我們認(rèn)為攻擊者是針對(duì)某客戶群體,,比如政府機(jī)構(gòu)。他們編寫(xiě)的代碼可能只是為了造成傷害或跟蹤物聯(lián)網(wǎng)系統(tǒng),。需要特別指出的是,,必須連接到互聯(lián)網(wǎng)才能獲得指令,這在Orion系統(tǒng)非常罕見(jiàn),,所以我們相信攻擊者知道他們的目標(biāo),,而我們只是通往這些目標(biāo)的路線。攻擊我們是其達(dá)到目的的一種手段,,這是一種高水平的蓄意攻擊,。
我們沒(méi)有關(guān)于“零號(hào)患者”的確切細(xì)節(jié)。對(duì)方進(jìn)入并潛伏在系統(tǒng)已經(jīng)一年多,。我們知道,,他們針對(duì)特定人群采用了特定的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)來(lái)收集數(shù)據(jù)。他們?cè)谖覀兊沫h(huán)境里制造的噪音非常小,。他們?nèi)肭?,訪問(wèn)我們的電子郵件,10月做了一次沒(méi)有代碼的測(cè)試運(yùn)行,,隨后3月再次入侵并植入一些代碼,,6月又一次入侵并刪除了這些代碼,。為了不被發(fā)現(xiàn),他們以任務(wù)為中心,。
Rob Clyde:受到攻擊之前,,你們的安全文化是怎樣的?現(xiàn)在又是怎樣的呢,?
Tim Brown:事件發(fā)生時(shí),,我們?cè)谙耄拔覀冞z漏了什么嗎,?”我們有非常好的計(jì)劃,。我們的投入略高于行業(yè)標(biāo)準(zhǔn)。但現(xiàn)在,,我們的標(biāo)準(zhǔn)顯著高于行業(yè)標(biāo)準(zhǔn),。
領(lǐng)導(dǎo)層也給予了極大的支持。有人問(wèn)我:“Tim,,如何才能成為榜樣,?”榜樣需要花錢投資開(kāi)發(fā)流程、安全團(tuán)隊(duì)和所有的方方面面,。我們擁有所需的資源,,實(shí)施基于設(shè)計(jì)的安全策略,覆蓋人員,、流程和技術(shù),,并使之成為公司的文化精髓。
Rob Clyde:通常事件發(fā)生后的第一反應(yīng)是解雇首席信息安全官,,因?yàn)楸仨氂腥藫?dān)責(zé),。您現(xiàn)在在這里,還在SolarWinds,,所以顯然這種事情并沒(méi)有發(fā)生,。為什么呢?
Tim Brown:原因有很多,。在我的職業(yè)生涯中,,我從事過(guò)很多不同的工作,而且我非常喜歡與人交談——從財(cái)富500強(qiáng)公司到像這樣的會(huì)議,。對(duì)于如此大規(guī)模的事件,,你不需要一個(gè)有背景的首席信息安全官,而是一個(gè)能應(yīng)對(duì)棘手問(wèn)題,、接受被罵,、直言不諱并掌握主動(dòng)權(quán)的人。如果我無(wú)法勝任,我也會(huì)解雇我自己,。如果你是一個(gè)有背景的首席信息安全官,,而無(wú)法提供幫助。即便能夠提供幫助,,也無(wú)法解決問(wèn)題,。在這種情況下,你需要一個(gè)能夠面向外界的首席信息安全官,。
此外,,我也深入地參與其中。我與媒體,、新聞界,、政府、行業(yè)論壇,、客戶和國(guó)家溝通,。如果你能提供幫助,如果你在尋找解決方案方面發(fā)揮核心作用,,就不會(huì)被解雇,。當(dāng)被問(wèn)及為什么沒(méi)有解雇我時(shí),我的老板在一次會(huì)議上表示:“如果我要聘用一位首席信息安全官,,我會(huì)聘用Tim,,那我為什么要解雇他呢?”
Rob Clyde:我猜測(cè),,你不是在事件發(fā)生后才突然決定學(xué)習(xí)如何成為一位面向外界的首席信息安全官,。對(duì)于如何提前做好準(zhǔn)備,你有什么建議嗎,?
Tim Brown:走出去溝通交流。首席信息安全官現(xiàn)在專注于產(chǎn)品,、會(huì)議和團(tuán)隊(duì)——他們應(yīng)該走出去溝通交流,。接受培訓(xùn),進(jìn)行情景演練,。我受過(guò)最好的培訓(xùn)是在我職業(yè)生涯早期的演講者培訓(xùn),。培訓(xùn)完成后,繼續(xù)實(shí)踐,,在行業(yè)論壇和董事會(huì)發(fā)言,。
請(qǐng)記住,你的客戶正在和你一起經(jīng)歷這些,。你不是孤軍奮戰(zhàn),。我不得不毀掉許多人的圣誕和新年假期。
Rob Clyde:你說(shuō) “我不得不毀掉”那些假期。你真的很有擔(dān)當(dāng),。
Tim Brown:我的計(jì)劃很好,。但我的計(jì)劃成熟水平尚無(wú)法對(duì)抗某國(guó)家的對(duì)外情報(bào)局。這是事實(shí),。我做得還好嗎,?是的。但我是否想做得更多,?當(dāng)然,。我們的安全計(jì)劃標(biāo)準(zhǔn)曾與業(yè)界標(biāo)準(zhǔn)相當(dāng)。但是,,我們現(xiàn)在不在同一水平上,。我們已經(jīng)是業(yè)界典范。我們暫停了六個(gè)月的開(kāi)發(fā)活動(dòng),,旨在加快各方面的努力?,F(xiàn)在我們正在做一些比如三重安全運(yùn)營(yíng)中心(SOC)之類的事情,我們建立了自己的紅隊(duì),。
Rob Clyde:給我們講講你是如何說(shuō)服和勸說(shuō)大家與你一起進(jìn)行這次企業(yè)文化之旅并獲得預(yù)算的,。
Tim Brown:我們得到了很大的支持。在此期間,,我們按計(jì)劃完成了首席執(zhí)行官換屆工作,。我們的前任首席執(zhí)行官在8月表示即將退休,而我們新任首席執(zhí)行官在1月1日正式上任,。我們得到了首席執(zhí)行官和董事會(huì)的全力支持,。
Rob Clyde:你是如何重建客戶信任的呢?
Tim Brown:我們做了很多努力,,如通過(guò)論壇,,就像像這次的ISACA會(huì)議一樣,我們會(huì)分享一切有關(guān)信息,。起初,,我們會(huì)與客戶分享信息,但不愿分享所有的細(xì)節(jié)?,F(xiàn)在,,我們將盡可能多地與客戶分享他們想了解的信息,甚至更多,。這改變了我們所有客戶評(píng)估供應(yīng)商的方式,。他們現(xiàn)在要求提供更多細(xì)節(jié),因?yàn)槲覀冮_(kāi)創(chuàng)了這個(gè)先例,。在開(kāi)創(chuàng)這個(gè)先例的過(guò)程中,,我們向客戶表明他們能夠信任我們。
提高整個(gè)供應(yīng)鏈的透明性至關(guān)重要。
Rob Clyde:你認(rèn)為其他組織發(fā)生這類事件的可能性有多大,?
Tim Brown:如果我們認(rèn)為這類事件不會(huì)發(fā)生在其他地方,,那就太天真了。我認(rèn)為它很可能在一些其他組織中發(fā)生,。不發(fā)生才怪,!
Rob Clyde:你希望我們從中吸取的重要教訓(xùn)是什么?
Tim Brown:經(jīng)常進(jìn)行事件響應(yīng)舉措演練,。讓人們做好準(zhǔn)備,。我們?cè)趦商靸?nèi)所做的工作令人難以置信,但前提是我們必須要有那些聯(lián)系方式,。事件發(fā)生在周六,。所以要確保擁有在下班時(shí)間也能聯(lián)系到人的方式。
交流沒(méi)有問(wèn)題,。你能分享的越多,,你能為客戶和所在社區(qū)提供的幫助越多,每個(gè)人的生活就會(huì)越好,。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<
