اخبار امنیت سایبری

حادثه امنیتی سولارویندز چه درس‌هایی به این شرکت داد؟

طی دو سال گذشته تیم براون، مدیر ارشد امنیت سایبری شرکت سولارویندز تحت فشارهای بسیار شدیدی بودند. در حادثه امنیتی سال 2020 که برای این شرکت رخ داد، مهاجمان روسی توانستند از چندین آسیب‌پذیری امنیتی از جمله آسیب‌پذیری سیستم نظارت فناوری اطلاعات سولارویندز سوءاستفاده کرده و به سیستم‌های دولتی آمریکا رخنه کنند. براون در رویداد «مبدلات امنیت اطلاعات جهانی Mandiant یا (mWISE[1])» تجربیات خود را از رهبری طرح واکنش و مقابله به یکی از برجسته‌ترین حوادث امنیت سایبری جهان توضیح داد. وی همچنین تأکید بسیار زیادی بر مقاومت در برابر واکنش‌های منفی از سوی دیگران داشت. براون می‌گوید: «در زمینه شفاف‌سازی بسیار جدی عمل کردیم و حداکثر اطلاعات ممکن را به ویژه با مشتریان‌مان که تمرکز اصلی ما هستند به اشتراک گذاشتیم؛ اما با توجه به حجم انبوه اخبار جعلی، باید مدتی این فشار را تحمل می‌کردیم».

بلافاصله پس از وقوع این حادثه، تیم امنیت سایبری سولارویندز همکاری خود با شرکت حقوقی DLA Piper را آغاز کرد. طرح عرضه اولیه سهام سولارویندز در سال 2018 هم با این شرکت همکاری داشت.

 

پیاده‌سازی امنیت در مراحل ابتدایی طراحی

اگرچه براون از بیان جزئیات تحقیق و جرم‌شناسی خودداری کرد اما براساس اطلاعات ارائه شده، تیم سولارویندز که متشکل از تعداد زیادی از مهندسان حرفه‌ای و کاربلد هستند در ماه‌های اولیه پس از وقوع حادثه هیچ محصولی تولید نکردند و با هدف اجرای طرح «امنیت از مرحله طراحی» تمرکزشان را بر ایمن‌سازی محصولات موجود گذاشتند. براون می‌گوید: «در این مورد خاص، سیستم کنترل سورس کد تغییر نکرده بود اما نتیجه نهایی متفاوت بود. مهاجمان از طریق یک ماشین مجازی نفوذ کرده بودند. بنابراین اولین گام در این طرح جدید، اطمینان از تطبیق سورس کد با آنچه که خودمان تولید کردیم، بود. ما محصولات را دی‌کامپایل کرده و سپس سورس کد را بررسی کردیم. این کار را برای هر کدام از 50 محصول انجام دادیم». سپس مهندسان سولارویندز باید یک سیستم تولید جدید، یک فرایند تبدیل سورس کد به کد باینری خارج از محیط خودشان و همچنین یک مخزن جدید برای همه محصولات ایجاد می‌کردند.

براون می‌گوید: «بعد از این مرحله باید یک خط لوله مرحله‌بندی و یک خط لوله تولید طراحی می‌کردیم و در این مدل جدید دسترسی به سیستم تولید را در اختیار افراد کمتری قرار می‌دادیم. همه این کارها را بر اساس مدل اپن سورس انجام دادیم». بنا بر گفته براون: «انگیزه اولیه مهندسان مشخص بود. یک یا چند نفر به سیستم‌های آنها نفوذ کرده و کدهای‌شان را تغییر دادند؛ بنابراین عصبانی بودند اما پس از گذشت مدتی، احساسات‌شان به مرور فروکش کرد و دوباره تمرکزشان را روی ایجاد امکانات جدید گذاشتند».

براون می‌گوید: «به صورت کلی از نتیجه این فرایند راضی هستیم. پیش از حادثه، نرخ تمدید قراردادها با شرکت ما حدود نود درصد بود، پس از وقوع حادثه به 80 درصد ریزش کرد و اکنون دوباره به همان درصد اولیه برگشته است. همه اصلاحات لازم را انجام دادیم و همکاران‌مان نیز طی دو سال گذشته، در زمینه شکار تهدید و تحقیق حادثه همه موارد را بررسی کردند. در حال حاضر هم در وضعیت امنیتی مطلوبی هستیم».

 

تشکیل یک کمیته امنیتی در هیئت مدیره

مدیر امنیت اطلاعات سولارویندز در اثر وقوع این حادثه امنیتی به تقویت توانایی‌های دفاعی و تهاجمی تیم خود تشویق شد. براون می‌گوید: «پیش از وقوع حادثه، فقط یک مرکز عملیات امنیتی (SOC[2]) داشتیم اما امروزه سه مرکز CrowdStrike SOC، SecureWorks SOC و مرکز من را در اختیار داریم. از طرفی به خدمات فناوری جرم‌شناسی KPMG هم دسترسی داریم. تیم قرمز (که متشکل از افرادی است که اقدامات هکرها را شبیه‌سازی می‌کنند) را هم از حالت پاره وقت به تمام وقت تبدیل کردیم».

تشکیل کمیته امنیت سایبری و فناوری در هیئت مدیره سولارویندز از جمله تغییرات مهم این شرکت بود. براساس دیدگاه کارشناسان فناوری، انجام چنین حرکتی چندان رایج نیست. براون می‌گوید: «اعضای هیئت مدیره معمولاً تخصص چندانی در زمینه مهارت‌های سایبری ندارند یا توانایی در این زمینه جزو مهارت‌های جانبی‌شان محسوب می‌شود. بنابراین با توجه به پیشرفت حوادث امینتی تشکیل یک کمیته امنیت سایبری مجزا لازم است. بر همین اساس از مدت‌ها پیش، تصمیم به برگذاری جلسات منظم فصلی یا حتی ماهانه و در صورت لزوم هفتگی گرفتیم. در این جلسات با اعضای هیئت مدیره درباره مخاطراتی که سازمان‌مان را تهدید می‌کنند صحبت می‌کنیم. این کار منجر به حمایت هیئت مدیره از طرح‌های ما و سرمایه‌گذاری بیشتر در زمینه امنیت می‌شود».

در پایان، براون که حالا سمت معاون امنیت سولارویندز را هم دارد، می‌گوید: «برای روزها و شب‌های طولانی آماده باشید اما در نهایت از این سختی‌ها عبور می‌کنید و از همیشه قوی‌تر خواهید شد».

 

[1] Mandiant Worldwide Information Security Exchange

[2] security operation center

 

منبع: infosecurity-magazine

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
سبد خرید
  • هیچ محصولی در سبدخرید نیست.
ورود | ثبت نام
شماره موبایل یا پست الکترونیک خود را وارد کنید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
درخواست بازیابی رمز عبور
لطفاً پست الکترونیک یا موبایل خود را وارد نمایید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
ایمیل بازیابی ارسال شد!
لطفاً به صندوق الکترونیکی خود مراجعه کرده و بر روی لینک ارسال شده کلیک نمایید.
تغییر رمز عبور
یک رمز عبور برای اکانت خود تنظیم کنید
تغییر رمز با موفقیت انجام شد
0