8 年 2020 月 XNUMX 日,火眼 公布 在调查对其 Red Team 工具包的民族国家攻击时,发现了 SolarWinds Orion 软件的漏洞。 五天后,即 13 年 2020 月 XNUMX 日,SolarWinds 发布在Twitter上,要求“所有客户立即升级到 Orion Platform 版本 2020.2.1 HF 1 以解决安全漏洞。” 很明显:SolarWinds——这家位于德克萨斯州的公司,开发用于管理和保护网络、系统和 IT 基础设施的软件——遭到了黑客攻击。
更令人担忧的是,美国当局现已将其与俄罗斯情报部门联系起来的攻击者在黑客事件公布前约 14 个月发现了他们渗透公司系统的后门。 SolarWinds 黑客攻击现在已经快 3 年了,但其后遗症继续在整个安全领域引起反响。
让我们面对现实吧:企业不断受到威胁——要么来自 恶意行为者 为经济利益而攻击的人或在民族国家攻击中提取和武器化数据皇冠上的宝石的网络犯罪分子。 然而,供应链攻击如今变得越来越普遍,因为威胁行为者继续利用第三方系统和代理来攻击组织并突破其安全护栏。 Gartner 预测,到 2025 年,“全球 45% 的组织 将遭受对其软件供应链的攻击,”这一预测在网络安全领域引起了轩然大波,并导致更多公司开始优先考虑 数字供应链风险管理.
虽然这对企业来说是正确的方向,但问题仍然存在:组织从跨越过道的网络攻击中吸取了哪些教训 大公司 甚至在美国以外的国家也能产生深远影响的关键政府机构?
为了更好地了解这次攻击发生了什么,以及组织如何为 SolarWinds 黑客等事件做好准备,Dark Reading 与 SolarWinds 首席信息安全官 Tim Brown 建立了联系,以更深入地了解事件和三年后的经验教训。
1. 协作对网络安全至关重要
Brown 承认,SolarWinds 这个名字本身就提醒其他人做得更好、修复漏洞并加强他们的整个安全架构。 知道所有系统都易受攻击,协作是网络安全工作不可或缺的一部分。
“如果你看看已经出现的供应链对话,他们现在关注的是我们应该制定的法规以及公共和私人行为者如何更好地合作以阻止对手,”他说。 “我们的事件表明,研究界可以团结起来,因为那里发生了很多事情。”
在站在可能是近年来最大的安全漏洞的前线之后,布朗明白协作对于所有网络安全工作都至关重要。
“围绕个人、政府和其他人之间的信任展开了很多对话,”他说。 “我们的对手共享信息——我们也需要这样做。”
2. 衡量风险并投资于控制措施
没有组织 100% 安全 100% 时间,正如 SolarWinds 事件所证明的那样。 为了加强安全并保护他们的边界,Brown 建议组织采用一种新方法,将 CISO 的角色从业务合作伙伴转变为风险官。 CISO 必须以“诚实、值得信赖和公开”的方式衡量风险,并能够谈论他们面临的风险以及他们如何补偿这些风险。
组织可以变得更加积极主动并在陷阱出现之前通过使用 人工智能 (AI)、机器学习 (ML) 和数据挖掘,Brown 解释说。 然而,虽然组织可以利用 AI 来自动检测,但 Brown 警告说,需要适当地对 AI 进行情境化。
“那里的一些项目失败了,因为他们试图变得太大,”他说。 “他们试图脱离背景,并没有提出正确的问题:我们手动在做什么,我们如何才能做得更好? 相反,他们是在说,‘哦,我们可以用数据来做所有这些事情’——而这并不是你所需要的。”
布朗说,领导者必须了解问题的细节,他们希望得到什么样的结果,并看看他们是否能证明它是正确的。
“我们只需要达到这样一个点,即我们可以在正确的日子利用这些模型把我们带到我们以前没有去过的地方,”他说。
3.保持战斗准备
IT 领导者必须领先对手一步。 然而,这并不全是厄运和悲观。 布朗说,SolarWinds 黑客事件是整个网络安全委员会发生如此多伟大工作的催化剂。
“现在供应链中正在构建许多应用程序,它们可以保存所有资产的目录,这样如果构建块的一部分发生漏洞,您就会知道,从而使您能够评估您是否受到影响,“ 他说。
布朗补充说,这种意识有助于建立一个趋于完美的系统,组织可以更快地识别漏洞并在恶意行为者利用它们之前果断地处理它们。 这也是一个重要的指标,因为企业越来越接近 零信任成熟度模型 由网络安全和基础设施安全局 (CISA) 规定。
Brown 表示,他希望 SolarWinds 黑客的这些教训能够帮助企业领导者寻求保护他们的管道并在不断发展的网络安全战争中保持战斗准备。
