Pada 8 Desember 2020, FireEye mengumumkan penemuan pelanggaran dalam perangkat lunak Orion SolarWinds saat menyelidiki serangan negara-bangsa pada perangkat Tim Merahnya. Lima hari kemudian, pada 13 Desember 2020, SolarWinds diposting di Twitter, meminta “semua pelanggan untuk segera melakukan upgrade ke Orion Platform versi 2020.2.1 HF 1 untuk mengatasi kerentanan keamanan.” Sudah jelas: SolarWinds — perusahaan berbasis di Texas yang membuat perangkat lunak untuk mengelola dan melindungi jaringan, sistem, dan infrastruktur TI — telah diretas.
Yang lebih mengkhawatirkan adalah fakta bahwa para penyerang, yang sekarang dikaitkan dengan intelijen Rusia oleh otoritas AS, telah menemukan pintu belakang tempat mereka menyusup ke sistem perusahaan sekitar 14 bulan sebelum peretasan diumumkan. Peretasan SolarWinds sekarang hampir berusia 3 tahun, tetapi efek sampingnya terus bergema di seluruh dunia keamanan.
Mari kita hadapi: Perusahaan terus-menerus berada di bawah ancaman — baik dari aktor jahat yang menyerang demi keuntungan finansial atau penjahat dunia maya yang keras yang mengekstraksi dan mempersenjatai permata mahkota data dalam serangan negara-bangsa. Namun, serangan rantai pasokan menjadi lebih umum saat ini, karena pelaku ancaman terus mengeksploitasi sistem dan agen pihak ketiga untuk menargetkan organisasi dan menerobos pagar keamanan mereka. Gartner memperkirakan bahwa pada tahun 2025, “45% organisasi di seluruh dunia akan mengalami serangan pada rantai pasokan perangkat lunak mereka,” sebuah prediksi yang telah menimbulkan riak di dunia keamanan siber dan membuat lebih banyak perusahaan mulai memprioritaskan manajemen risiko rantai pasokan digital.
Meskipun ini adalah arah yang tepat untuk perusahaan, pertanyaannya masih tetap ada: Pelajaran apa yang telah dipelajari organisasi dari serangan siber yang melintasi lorong untuk diambil? perusahaan besar dan lembaga pemerintah utama dengan konsekuensi yang luas bahkan di negara-negara di luar Amerika Serikat?
Untuk lebih memahami apa yang terjadi dengan serangan tersebut dan bagaimana organisasi dapat bersiap menghadapi kemungkinan seperti peretasan SolarWinds, Dark Reading terhubung dengan SolarWinds CISO Tim Brown untuk menyelami lebih dalam insiden tersebut dan pelajaran yang dipetik tiga tahun kemudian.
1. Kolaborasi Sangat Penting untuk Keamanan Siber
Brown mengakui bahwa nama SolarWinds berfungsi sebagai pengingat bagi orang lain untuk berbuat lebih baik, memperbaiki kerentanan, dan memperkuat seluruh arsitektur keamanan mereka. Mengetahui bahwa semua sistem rentan, kolaborasi merupakan bagian integral dari upaya keamanan siber.
“Jika Anda melihat percakapan rantai pasokan yang muncul, mereka sekarang berfokus pada peraturan yang harus kita terapkan dan bagaimana aktor publik dan swasta dapat berkolaborasi dengan lebih baik untuk menghentikan musuh,” katanya. “Insiden kami menunjukkan bahwa komunitas riset dapat bersatu karena ada begitu banyak hal yang terjadi di sana.”
Setelah berdiri di garis depan yang mungkin merupakan pelanggaran keamanan terbesar dalam beberapa tahun terakhir, Brown memahami bahwa kolaborasi sangat penting untuk semua upaya keamanan siber.
“Banyak percakapan telah berlangsung seputar kepercayaan antara individu, pemerintah, dan lainnya,” katanya. “Musuh kita berbagi informasi — dan kita perlu melakukan hal yang sama.”
2. Ukur Risiko dan Investasikan dalam Kontrol
Tidak ada organisasi 100% aman 100% dari waktu, seperti yang ditunjukkan oleh insiden SolarWinds. Untuk meningkatkan keamanan dan mempertahankan batas mereka, Brown menyarankan organisasi untuk mengadopsi pendekatan baru yang melihat peran CISO bergerak dari sekadar mitra bisnis menjadi petugas risiko. CISO harus mengukur risiko dengan cara yang “jujur, dapat dipercaya, dan terbuka” dan dapat berbicara tentang risiko yang mereka hadapi dan bagaimana mereka mengkompensasinya.
Organisasi dapat menjadi lebih proaktif dan mengalahkan jebakan sebelum muncul dengan menggunakan kecerdasan buatan (AI), pembelajaran mesin (ML), dan penambangan data, jelas Brown. Namun, sementara organisasi dapat memanfaatkan AI untuk mengotomatiskan deteksi, Brown memperingatkan bahwa ada kebutuhan untuk mengontekstualisasikan AI dengan benar.
“Beberapa proyek di luar sana gagal karena mereka berusaha menjadi terlalu besar,” katanya. “Mereka mencoba pergi tanpa konteks dan tidak mengajukan pertanyaan yang tepat: Apa yang kami lakukan secara manual dan bagaimana kami melakukannya dengan lebih baik? Sebaliknya, mereka berkata, 'Oh, kami bisa melakukan semua itu dengan data' — dan itu bukan yang Anda perlukan.”
Pemimpin harus memahami detail masalahnya, hasil apa yang mereka harapkan, dan melihat apakah mereka dapat membuktikannya dengan benar, menurut Brown.
“Kita hanya perlu mencapai titik di mana kita dapat memanfaatkan model pada hari yang tepat untuk membawa kita ke suatu tempat yang belum pernah kita kunjungi sebelumnya,” ujarnya.
3. Tetap Siap Bertempur
Para pemimpin TI harus selangkah lebih maju dari musuh. Namun, itu tidak semua malapetaka dan kesuraman. Peretasan SolarWinds adalah katalisator untuk begitu banyak pekerjaan hebat yang terjadi di seluruh dewan keamanan siber, kata Brown.
“Ada banyak aplikasi yang sedang dibuat dalam rantai pasokan saat ini yang dapat menyimpan katalog semua aset Anda sehingga jika kerentanan terjadi di bagian blok bangunan, Anda akan mengetahuinya, memungkinkan Anda untuk menilai apakah Anda terkena dampak atau tidak. ," dia berkata.
Kesadaran ini, tambah Brown, dapat membantu membangun sistem yang cenderung menuju kesempurnaan, di mana organisasi dapat mengidentifikasi kerentanan lebih cepat dan menanganinya dengan tegas sebelum aktor jahat dapat mengeksploitasinya. Ini juga merupakan metrik penting karena perusahaan semakin mendekati model kedewasaan tanpa kepercayaan ditentukan oleh Cybersecurity and Infrastructure Security Agency (CISA).
Brown mengatakan dia berharap pelajaran dari peretasan SolarWinds ini akan membantu para pemimpin perusahaan dalam upaya mereka untuk mengamankan jalur pipa mereka dan tetap siap bertempur dalam perang keamanan siber yang terus berkembang.
