趋势与观点 | SolarWinds首席信息安全官对2020年突发安全事件的反思
2020年12月14日,据路透社和《华盛顿邮报》报道,SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码,导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视,甚至可能与之后曝出的FireEye网络武器库被盗事件有关。这是一次典型的基于供应链漏洞的网络攻击。
在上个月举行的ISACA北美大会上,ISACA董事会董事Rob Clyde与SolarWinds首席信息安全官Tim Brown探讨了这次事件中的SolarWinds的应对以及从中吸取的教训。
Rob Clyde:Tim,你能分享一下你是如何得知这件事以及如何通知公众、股东和董事会的吗?
Tim Brown:(2020年)12月12日上午,Mandiant首席执行官给SolarWinds首席执行官打电话告知此事,之后我又给Mandiant首席技术官打电话了解具体情况。代码最初由FireEye Mandiant在调查中发现。该代码试图做一些Orion绝不应该做的事情。FireEye Mandiant发现问题后立即开始深入调查。他们对代码进行反编译,发现问题代码看起来不像我们的代码,立即提醒我们发现供应链攻击。
调查证明,受代码影响的为2020年3月至6月发布的三个产品版本,当时有18,000客户下载了这些版本。后来发现实际受到影响的客户数量可能为100家,但我们最初的响应针对的是全部18,000家客户,需要尽快获得客户信息。
初步研究很快完成。一旦我们证实问题真实存在,我们很快就与领导层、董事会、法律部门和其他我们需要与之沟通的任何有关方通话。受疫情影响,我们当时远程办公,但也会前往办公室,设立战情室,开展必要研究、沟通和客户外展服务。我们发现我们有客户销售人员而非安全人员联系信息,这个问题随后得到了解决。
沟通对我们而言至关重要。从优先级上讲,我们应该如何确定客户的优先级?当时我们度过了非常糟糕的一周,但我们世界各地的客户也同样如此,他们一直在试图弄清楚正在运行的软件版本是否受到病毒感染。
Rob Clyde:了解事件的全貌可能需要一段时间,往往比美国证券交易委员会新规定的四天要久。你是如何处理这个问题的呢?
Tim Brown:这涉及披露你知道的和不知道的问题。你既不希望过度披露,也不希望披露不足。周日凌晨2点,我们公布了我们知道的和不知道的。当时,我们不知道攻击者是谁或应将其归咎于谁。
不要过度扩展你所知道的,只分享你已掌握的信息。我们决定就我们所知道的,受影响的客户,受影响的版本和共享代码等信息尽可能做到透明。
Rob Clyde:当时都有谁参与应对这次事件呢?
Tim Brown:在这次事件之前,我们使用的是常规事件响应披露模式。但是这次事件影响之大,影响之深,前所未有。我们的法律合作伙伴拥有一支非常优秀的网络团队,而这个网络团队就像四分卫一样,没有其他工作,全部精力只专注于此次事件,所以让法律团队担任这个角色很有裨益。CrowdStrike和毕马威进行调查和取证。公司内部,我们的法律、工程、安全、IT营销和客户关系部门全部出动。我们经常工作到凌晨3点——这是在这种特殊情况下我们必须要做的。
Rob Clyde:是否有些组织利用这次的机会掩饰自己的过错而让SolarWinds背锅?
Tim Brown:我确实感到大开眼界,背后的动机很多,强烈而真实。但是并没有困扰到我,只要他们的研究是有成效的。
Rob Clyde:谁是攻击者,其动机是什么呢?
Tim Brown:问题归因并不是我们当时要做的,因为我们正忙于帮助客户。美国政府将其归因于俄罗斯联邦对外情报局(SVR)。攻击特点是必须能够连接到互联网和指挥与控制服务器。大多数客户都不是这样配置,所以我们认为攻击者是针对某客户群体,比如政府机构。他们编写的代码可能只是为了造成伤害或跟踪物联网系统。需要特别指出的是,必须连接到互联网才能获得指令,这在Orion系统非常罕见,所以我们相信攻击者知道他们的目标,而我们只是通往这些目标的路线。攻击我们是其达到目的的一种手段,这是一种高水平的蓄意攻击。
我们没有关于“零号患者”的确切细节。对方进入并潜伏在系统已经一年多。我们知道,他们针对特定人群采用了特定的鱼叉式网络钓鱼来收集数据。他们在我们的环境里制造的噪音非常小。他们入侵,访问我们的电子邮件,10月做了一次没有代码的测试运行,随后3月再次入侵并植入一些代码,6月又一次入侵并删除了这些代码。为了不被发现,他们以任务为中心。
Rob Clyde:受到攻击之前,你们的安全文化是怎样的?现在又是怎样的呢?
Tim Brown:事件发生时,我们在想,“我们遗漏了什么吗?”我们有非常好的计划。我们的投入略高于行业标准。但现在,我们的标准显著高于行业标准。
领导层也给予了极大的支持。有人问我:“Tim,如何才能成为榜样?”榜样需要花钱投资开发流程、安全团队和所有的方方面面。我们拥有所需的资源,实施基于设计的安全策略,覆盖人员、流程和技术,并使之成为公司的文化精髓。
Rob Clyde:通常事件发生后的第一反应是解雇首席信息安全官,因为必须有人担责。您现在在这里,还在SolarWinds,所以显然这种事情并没有发生。为什么呢?
Tim Brown:原因有很多。在我的职业生涯中,我从事过很多不同的工作,而且我非常喜欢与人交谈——从财富500强公司到像这样的会议。对于如此大规模的事件,你不需要一个有背景的首席信息安全官,而是一个能应对棘手问题、接受被骂、直言不讳并掌握主动权的人。如果我无法胜任,我也会解雇我自己。如果你是一个有背景的首席信息安全官,而无法提供帮助。即便能够提供帮助,也无法解决问题。在这种情况下,你需要一个能够面向外界的首席信息安全官。
此外,我也深入地参与其中。我与媒体、新闻界、政府、行业论坛、客户和国家沟通。如果你能提供帮助,如果你在寻找解决方案方面发挥核心作用,就不会被解雇。当被问及为什么没有解雇我时,我的老板在一次会议上表示:“如果我要聘用一位首席信息安全官,我会聘用Tim,那我为什么要解雇他呢?”
Rob Clyde:我猜测,你不是在事件发生后才突然决定学习如何成为一位面向外界的首席信息安全官。对于如何提前做好准备,你有什么建议吗?
Tim Brown:走出去沟通交流。首席信息安全官现在专注于产品、会议和团队——他们应该走出去沟通交流。接受培训,进行情景演练。我受过最好的培训是在我职业生涯早期的演讲者培训。培训完成后,继续实践,在行业论坛和董事会发言。
请记住,你的客户正在和你一起经历这些。你不是孤军奋战。我不得不毁掉许多人的圣诞和新年假期。
Rob Clyde:你说 “我不得不毁掉”那些假期。你真的很有担当。
Tim Brown:我的计划很好。但我的计划成熟水平尚无法对抗俄罗斯的SVR。这是事实。我做得还好吗?是的。但我是否想做得更多?当然。我们的安全计划标准曾与业界标准相当。但是,我们现在不在同一水平上。我们已经是业界典范。我们暂停了六个月的开发活动,旨在加快各方面的努力。现在我们正在做一些比如三重安全运营中心(SOC)之类的事情,我们建立了自己的红队。
Rob Clyde:给我们讲讲你是如何说服和劝说大家与你一起进行这次企业文化之旅并获得预算的。
Tim Brown:我们得到了很大的支持。在此期间,我们按计划完成了首席执行官换届工作。我们的前任首席执行官在8月表示即将退休,而我们新任首席执行官在1月1日正式上任。我们得到了首席执行官和董事会的全力支持。
Rob Clyde:你是如何重建客户信任的呢?
Tim Brown:我们做了很多努力,如通过论坛,就像像这次的ISACA会议一样,我们会分享一切有关信息。起初,我们会与客户分享信息,但不愿分享所有的细节。现在,我们将尽可能多地与客户分享他们想了解的信息,甚至更多。这改变了我们所有客户评估供应商的方式。他们现在要求提供更多细节,因为我们开创了这个先例。在开创这个先例的过程中,我们向客户表明他们能够信任我们。
提高整个供应链的透明性至关重要。
Rob Clyde:你认为其他组织发生这类事件的可能性有多大?
Tim Brown:如果我们认为这类事件不会发生在其他地方,那就太天真了。我认为它很可能在一些其他组织中发生。不发生才怪!
Rob Clyde:你希望我们从中吸取的重要教训是什么?
Tim Brown:经常进行事件响应举措演练。让人们做好准备。我们在两天内所做的工作令人难以置信,但前提是我们必须要有那些联系方式。事件发生在周六。所以要确保拥有在下班时间也能联系到人的方式。
交流没有问题。你能分享的越多,你能为客户和所在社区提供的帮助越多,每个人的生活就会越好。
编者注:本文首次发表于2022年6月22日ISACA官网News and Trends /Newsletters/ @ISACA。