طی دو سال گذشته، تیم براون، مدیر ارشد امنیت سایبری SolarWinds تحت فشار زیادی بوده است. در حادثه امنیتی 2020 که با این شرکت رخ داد، مهاجمان روسی توانستند از چندین آسیبپذیری امنیتی از جمله آسیبپذیری سیستم مانیتورینگ فناوری اطلاعات SolarWinds سوء استفاده کرده و به سیستمهای دولتی آمریکا نفوذ کنند. براون در رویداد تبادل امنیت اطلاعات جهانی Mandiant (mWISE).[۱])” تجربه خود را در رهبری طرح واکنش به یکی از پرمخاطب ترین حوادث امنیت سایبری جهان توضیح داد. او همچنین تاکید زیادی بر مقاومت در برابر واکنش های منفی دیگران داشت. “ما در مورد شفافیت بسیار جدی بودیم و تا حد امکان اطلاعات را به اشتراک گذاشتیم. براون میگوید، بهویژه در مورد مشتریانمان، که تمرکز اصلی ما هستند.» اما با توجه به حجم اخبار جعلی، ما مجبور بودهایم مدتی این فشار را تحمل کنیم.
بلافاصله پس از این حادثه، تیم امنیت سایبری SolarWinds شروع به همکاری با شرکت حقوقی DLA Piper کرد. طرح IPO 2018 SolarWinds نیز با این شرکت همکاری می کند.
اجرای امنیت در مراحل اولیه طراحی
اگرچه براون از افشای جزئیات تحقیقات و پزشکی قانونی خودداری کرد، اما طبق اطلاعات ارائه شده، تیم SolarWinds که متشکل از تعداد زیادی مهندس حرفه ای و با تجربه است، در ماه های اول پس از حادثه هیچ محصولی تولید نکرد و هدف آن پیاده سازی بود. براون میگوید: «در این مورد خاص، سیستم کنترل کد منبع تغییر نکرده است، اما نتیجه نهایی متفاوت است.» مهاجمان به یک ماشین مجازی نفوذ کردند. اولین قدم در این طرح جدید این بود که مطمئن شویم کد منبع با آنچه که خودمان تولید میکردیم مطابقت دارد. ما محصولات را کامپایل کردیم و سپس کد منبع را بررسی کردیم. این کار را برای هر یک از 50 محصول انجام دادیم.” سپس مهندسان SolarWinds مجبور شدند یک سیستم تولید جدید، یک فرآیند تبدیل منبع به باینری خارج از محیط خود و یک مخزن جدید برای همه محصولات ایجاد کنند.
براون می گوید: «سپس مجبور شدیم یک خط لوله استیجینگ و یک خط لوله تولید طراحی کنیم و در این مدل جدید به افراد کمتری دسترسی به سیستم تولید را دادیم. ما همه این کارها را بر اساس مدل منبع باز انجام دادیم. به گفته براون: «انگیزه اولیه مهندسان آشکار بود. یک یا چند نفر به سیستم آنها نفوذ کردند و کدهای خود را تغییر دادند. بنابراین آنها عصبانی بودند، اما پس از مدتی به تدریج احساساتشان فروکش کرد و دوباره روی ایجاد امکانات جدید متمرکز شدند.»
براون می گوید: «به طور کلی، ما از نتیجه این فرآیند خرسندیم. قبل از حادثه نرخ تمدید قراردادها با شرکت ما حدود 90 درصد بود، بعد از حادثه به 80 درصد کاهش یافت و اکنون به همان نرخ اولیه بازگشته است. ما تمام اصلاحات لازم را انجام دادهایم و همکاران ما در دو سال گذشته همه موارد در زمینه تحقیقات تهدید و بررسی حوادث را بررسی کردهاند. ما در حال حاضر در وضعیت امنیتی مطلوبی هستیم.»
تشکیل کمیته امنیتی در هیئت مدیره
مدیر امنیت اطلاعات Solarwinds تشویق شد تا توانایی های تهاجمی و دفاعی تیم خود را در نتیجه این حادثه امنیتی تقویت کند. «قبل از این حادثه، تنها یک مرکز عملیات امنیتی (SOC[۲])، اما امروز ما سه هاب داریم: CrowdStrike SOC، SecureWorks SOC و my hub. از طرفی ما به خدمات فناوری پزشکی قانونی KPMG نیز دسترسی داریم. ما همچنین تیم قرمز (که متشکل از افرادی است که اقدامات هکرها را شبیهسازی میکنند) را از نیمه وقت به تمام وقت تبدیل کردیم.”
تشکیل کمیته امنیت سایبری و فناوری در هیئت مدیره Solarwinds یکی از تغییرات مهم در این شرکت بود. به گفته کارشناسان فناوری، چنین حرکتی چندان رایج نیست. براون می گوید: «اعضای هیئت مدیره معمولاً تجربه زیادی در مهارت های سایبری ندارند یا این یک مهارت جانبی است. بنابراین، با توجه به توسعه حوادث امنیتی، باید یک کمیته امنیت سایبری جداگانه تشکیل شود. بر همین اساس از مدت ها قبل تصمیم گرفتیم در صورت لزوم جلسات منظم فصلی یا حتی ماهانه و هفتگی برگزار کنیم. در این جلسات با اعضای هیئت مدیره در مورد خطراتی که سازمان ما را تهدید می کند صحبت می کنیم. این منجر به حمایت هیئت مدیره از برنامه های ما و سرمایه گذاری بیشتر در امنیت خواهد شد.”
در نهایت، براون، که اکنون به عنوان معاون امنیتی Solarwinds نیز خدمت می کند، می گوید: “برای روزها و شب های طولانی آماده باشید، اما از آن عبور خواهید کرد و قوی تر از همیشه بیرون خواهید آمد.”
[۱] مبادله امنیت اطلاعات در سراسر جهان Mandiant
[۲] مرکز عملیات امنیتی
منبع: infosecurity-magazine