حادثه امنیتی سولارویندز چه درسهایی به این شرکت داد؟
طی دو سال گذشته تیم براون، مدیر ارشد امنیت سایبری شرکت سولارویندز تحت فشارهای بسیار شدیدی بودند. در حادثه امنیتی سال 2020 که برای این شرکت رخ داد، مهاجمان روسی توانستند از چندین آسیبپذیری امنیتی از جمله آسیبپذیری سیستم نظارت فناوری اطلاعات سولارویندز سوءاستفاده کرده و به سیستمهای دولتی آمریکا رخنه کنند. براون در رویداد «مبدلات امنیت اطلاعات جهانی Mandiant یا (mWISE[1])» تجربیات خود را از رهبری طرح واکنش و مقابله به یکی از برجستهترین حوادث امنیت سایبری جهان توضیح داد. وی همچنین تأکید بسیار زیادی بر مقاومت در برابر واکنشهای منفی از سوی دیگران داشت. براون میگوید: «در زمینه شفافسازی بسیار جدی عمل کردیم و حداکثر اطلاعات ممکن را به ویژه با مشتریانمان که تمرکز اصلی ما هستند به اشتراک گذاشتیم؛ اما با توجه به حجم انبوه اخبار جعلی، باید مدتی این فشار را تحمل میکردیم».
بلافاصله پس از وقوع این حادثه، تیم امنیت سایبری سولارویندز همکاری خود با شرکت حقوقی DLA Piper را آغاز کرد. طرح عرضه اولیه سهام سولارویندز در سال 2018 هم با این شرکت همکاری داشت.
پیادهسازی امنیت در مراحل ابتدایی طراحی
اگرچه براون از بیان جزئیات تحقیق و جرمشناسی خودداری کرد اما براساس اطلاعات ارائه شده، تیم سولارویندز که متشکل از تعداد زیادی از مهندسان حرفهای و کاربلد هستند در ماههای اولیه پس از وقوع حادثه هیچ محصولی تولید نکردند و با هدف اجرای طرح «امنیت از مرحله طراحی» تمرکزشان را بر ایمنسازی محصولات موجود گذاشتند. براون میگوید: «در این مورد خاص، سیستم کنترل سورس کد تغییر نکرده بود اما نتیجه نهایی متفاوت بود. مهاجمان از طریق یک ماشین مجازی نفوذ کرده بودند. بنابراین اولین گام در این طرح جدید، اطمینان از تطبیق سورس کد با آنچه که خودمان تولید کردیم، بود. ما محصولات را دیکامپایل کرده و سپس سورس کد را بررسی کردیم. این کار را برای هر کدام از 50 محصول انجام دادیم». سپس مهندسان سولارویندز باید یک سیستم تولید جدید، یک فرایند تبدیل سورس کد به کد باینری خارج از محیط خودشان و همچنین یک مخزن جدید برای همه محصولات ایجاد میکردند.
براون میگوید: «بعد از این مرحله باید یک خط لوله مرحلهبندی و یک خط لوله تولید طراحی میکردیم و در این مدل جدید دسترسی به سیستم تولید را در اختیار افراد کمتری قرار میدادیم. همه این کارها را بر اساس مدل اپن سورس انجام دادیم». بنا بر گفته براون: «انگیزه اولیه مهندسان مشخص بود. یک یا چند نفر به سیستمهای آنها نفوذ کرده و کدهایشان را تغییر دادند؛ بنابراین عصبانی بودند اما پس از گذشت مدتی، احساساتشان به مرور فروکش کرد و دوباره تمرکزشان را روی ایجاد امکانات جدید گذاشتند».
براون میگوید: «به صورت کلی از نتیجه این فرایند راضی هستیم. پیش از حادثه، نرخ تمدید قراردادها با شرکت ما حدود نود درصد بود، پس از وقوع حادثه به 80 درصد ریزش کرد و اکنون دوباره به همان درصد اولیه برگشته است. همه اصلاحات لازم را انجام دادیم و همکارانمان نیز طی دو سال گذشته، در زمینه شکار تهدید و تحقیق حادثه همه موارد را بررسی کردند. در حال حاضر هم در وضعیت امنیتی مطلوبی هستیم».
تشکیل یک کمیته امنیتی در هیئت مدیره
مدیر امنیت اطلاعات سولارویندز در اثر وقوع این حادثه امنیتی به تقویت تواناییهای دفاعی و تهاجمی تیم خود تشویق شد. براون میگوید: «پیش از وقوع حادثه، فقط یک مرکز عملیات امنیتی (SOC[2]) داشتیم اما امروزه سه مرکز CrowdStrike SOC، SecureWorks SOC و مرکز من را در اختیار داریم. از طرفی به خدمات فناوری جرمشناسی KPMG هم دسترسی داریم. تیم قرمز (که متشکل از افرادی است که اقدامات هکرها را شبیهسازی میکنند) را هم از حالت پاره وقت به تمام وقت تبدیل کردیم».
تشکیل کمیته امنیت سایبری و فناوری در هیئت مدیره سولارویندز از جمله تغییرات مهم این شرکت بود. براساس دیدگاه کارشناسان فناوری، انجام چنین حرکتی چندان رایج نیست. براون میگوید: «اعضای هیئت مدیره معمولاً تخصص چندانی در زمینه مهارتهای سایبری ندارند یا توانایی در این زمینه جزو مهارتهای جانبیشان محسوب میشود. بنابراین با توجه به پیشرفت حوادث امینتی تشکیل یک کمیته امنیت سایبری مجزا لازم است. بر همین اساس از مدتها پیش، تصمیم به برگذاری جلسات منظم فصلی یا حتی ماهانه و در صورت لزوم هفتگی گرفتیم. در این جلسات با اعضای هیئت مدیره درباره مخاطراتی که سازمانمان را تهدید میکنند صحبت میکنیم. این کار منجر به حمایت هیئت مدیره از طرحهای ما و سرمایهگذاری بیشتر در زمینه امنیت میشود».
در پایان، براون که حالا سمت معاون امنیت سولارویندز را هم دارد، میگوید: «برای روزها و شبهای طولانی آماده باشید اما در نهایت از این سختیها عبور میکنید و از همیشه قویتر خواهید شد».
[1] Mandiant Worldwide Information Security Exchange
[2] security operation center
منبع: infosecurity-magazine