據路透社和《華盛頓郵報》報道，SolarWinds旗下的Orion網絡監控軟件更新服務器遭黑客入侵并植入惡意代碼，導致美國財政部、商務部等多個政府機構用戶受到長期入侵和監視，甚至可能與之后曝出的FireEye網絡武器庫被盜事件有關。這是一次典型的基于供應鏈漏洞的網絡攻擊。

　　在ISACA北美大會上，ISACA董事會董事Rob Clyde與SolarWinds首席信息安全官Tim Brown探討了這次事件中的SolarWinds的應對以及從中吸取的教訓。

　　Rob Clyde：Tim，你能分享一下你是如何得知這件事以及如何通知公眾、股東和董事會的嗎？

　　Tim Brown：Mandiant首席執行官給SolarWinds首席執行官打電話告知此事，之后我又給Mandiant首席技術官打電話了解具體情況。代碼最初由FireEye Mandiant在調查中發現。該代碼試圖做一些Orion絕不應該做的事情。FireEye Mandiant發現問題后立即開始深入調查。他們對代碼進行反編譯，發現問題代碼看起來不像我們的代碼，立即提醒我們發現供應鏈攻擊。

　　調查證明，受代碼影響的三個產品版本，當時有18,000客戶下載了這些版本。后來發現實際受到影響的客戶數量可能為100家，但我們最初的響應針對的是全部18,000家客戶，需要盡快獲得客戶信息。

　　初步研究很快完成。一旦我們證實問題真實存在，我們很快就與領導層、董事會、法律部門和其他我們需要與之溝通的任何有關方通話。受疫情影響，我們當時遠程辦公，但也會前往辦公室，設立戰情室，開展必要研究、溝通和客戶外展服務。我們發現我們有客戶銷售人員而非安全人員聯系信息，這個問題隨后得到了解決。

　　溝通對我們而言至關重要。從優先級上講，我們應該如何確定客戶的優先級？當時我們度過了非常糟糕的一周，但我們世界各地的客戶也同樣如此，他們一直在試圖弄清楚正在運行的軟件版本是否受到病毒感染。

　　Rob Clyde：了解事件的全貌可能需要一段時間，往往比美國證券交易委員會新規定的四天要久。你是如何處理這個問題的呢？

　　Tim Brown：這涉及披露你知道的和不知道的問題。你既不希望過度披露，也不希望披露不足。周日凌晨2點，我們公布了我們知道的和不知道的。當時，我們不知道攻擊者是誰或應將其歸咎于誰。

　　不要過度擴展你所知道的，只分享你已掌握的信息。我們決定就我們所知道的，受影響的客戶，受影響的版本和共享代碼等信息盡可能做到透明。

　　Rob Clyde：當時都有誰參與應對這次事件呢？

　　Tim Brown：在這次事件之前，我們使用的是常規事件響應披露模式。但是這次事件影響之大，影響之深，前所未有。我們的法律合作伙伴擁有一支非常優秀的網絡團隊，而這個網絡團隊就像四分衛一樣，沒有其他工作，全部精力只專注于此次事件，所以讓法律團隊擔任這個角色很有裨益。CrowdStrike和畢馬威進行調查和取證。公司內部，我們的法律、工程、安全、IT營銷和客戶關系部門全部出動。我們經常工作到凌晨3點——這是在這種特殊情況下我們必須要做的。

　　Rob Clyde：是否有些組織利用這次的機會掩飾自己的過錯而讓SolarWinds背鍋？

　　Tim Brown：我確實感到大開眼界，背后的動機很多，強烈而真實。但是并沒有困擾到我，只要他們的研究是有成效的。

　　Rob Clyde：誰是攻擊者，其動機是什么呢？

　　Tim Brown：問題歸因并不是我們當時要做的，因為我們正忙于幫助客戶。美國政府將其歸因于某國家的對外情報局。攻擊特點是必須能夠連接到互聯網和指揮與控制服務器。大多數客戶都不是這樣配置，所以我們認為攻擊者是針對某客戶群體，比如政府機構。他們編寫的代碼可能只是為了造成傷害或跟蹤物聯網系統。需要特別指出的是，必須連接到互聯網才能獲得指令，這在Orion系統非常罕見，所以我們相信攻擊者知道他們的目標，而我們只是通往這些目標的路線。攻擊我們是其達到目的的一種手段，這是一種高水平的蓄意攻擊。

　　我們沒有關于“零號患者”的確切細節。對方進入并潛伏在系統已經一年多。我們知道，他們針對特定人群采用了特定的魚叉式網絡釣魚來收集數據。他們在我們的環境里制造的噪音非常小。他們入侵，訪問我們的電子郵件，10月做了一次沒有代碼的測試運行，隨后3月再次入侵并植入一些代碼，6月又一次入侵并刪除了這些代碼。為了不被發現，他們以任務為中心。

　　Rob Clyde：受到攻擊之前，你們的安全文化是怎樣的？現在又是怎樣的呢？

　　Tim Brown：事件發生時，我們在想，“我們遺漏了什么嗎？”我們有非常好的計劃。我們的投入略高于行業標準。但現在，我們的標準顯著高于行業標準。

　　領導層也給予了極大的支持。有人問我：“Tim，如何才能成為榜樣？”榜樣需要花錢投資開發流程、安全團隊和所有的方方面面。我們擁有所需的資源，實施基于設計的安全策略，覆蓋人員、流程和技術，并使之成為公司的文化精髓。

　　Rob Clyde：通常事件發生后的第一反應是解雇首席信息安全官，因為必須有人擔責。您現在在這里，還在SolarWinds，所以顯然這種事情并沒有發生。為什么呢？

　　Tim Brown：原因有很多。在我的職業生涯中，我從事過很多不同的工作，而且我非常喜歡與人交談——從財富500強公司到像這樣的會議。對于如此大規模的事件，你不需要一個有背景的首席信息安全官，而是一個能應對棘手問題、接受被罵、直言不諱并掌握主動權的人。如果我無法勝任，我也會解雇我自己。如果你是一個有背景的首席信息安全官，而無法提供幫助。即便能夠提供幫助，也無法解決問題。在這種情況下，你需要一個能夠面向外界的首席信息安全官。

　　此外，我也深入地參與其中。我與媒體、新聞界、政府、行業論壇、客戶和國家溝通。如果你能提供幫助，如果你在尋找解決方案方面發揮核心作用，就不會被解雇。當被問及為什么沒有解雇我時，我的老板在一次會議上表示：“如果我要聘用一位首席信息安全官，我會聘用Tim，那我為什么要解雇他呢？”

　　Rob Clyde：我猜測，你不是在事件發生后才突然決定學習如何成為一位面向外界的首席信息安全官。對于如何提前做好準備，你有什么建議嗎？

　　Tim Brown：走出去溝通交流。首席信息安全官現在專注于產品、會議和團隊——他們應該走出去溝通交流。接受培訓，進行情景演練。我受過最好的培訓是在我職業生涯早期的演講者培訓。培訓完成后，繼續實踐，在行業論壇和董事會發言。

　　請記住，你的客戶正在和你一起經歷這些。你不是孤軍奮戰。我不得不毀掉許多人的圣誕和新年假期。

　　Rob Clyde：你說 “我不得不毀掉”那些假期。你真的很有擔當。

　　Tim Brown：我的計劃很好。但我的計劃成熟水平尚無法對抗某國家的對外情報局。這是事實。我做得還好嗎？是的。但我是否想做得更多？當然。我們的安全計劃標準曾與業界標準相當。但是，我們現在不在同一水平上。我們已經是業界典范。我們暫停了六個月的開發活動，旨在加快各方面的努力。現在我們正在做一些比如三重安全運營中心（SOC）之類的事情，我們建立了自己的紅隊。

　　Rob Clyde：給我們講講你是如何說服和勸說大家與你一起進行這次企業文化之旅并獲得預算的。

　　Tim Brown：我們得到了很大的支持。在此期間，我們按計劃完成了首席執行官換屆工作。我們的前任首席執行官在8月表示即將退休，而我們新任首席執行官在1月1日正式上任。我們得到了首席執行官和董事會的全力支持。

　　Rob Clyde：你是如何重建客戶信任的呢？

　　Tim Brown：我們做了很多努力，如通過論壇，就像像這次的ISACA會議一樣，我們會分享一切有關信息。起初，我們會與客戶分享信息，但不愿分享所有的細節。現在，我們將盡可能多地與客戶分享他們想了解的信息，甚至更多。這改變了我們所有客戶評估供應商的方式。他們現在要求提供更多細節，因為我們開創了這個先例。在開創這個先例的過程中，我們向客戶表明他們能夠信任我們。

　　提高整個供應鏈的透明性至關重要。

　　Rob Clyde：你認為其他組織發生這類事件的可能性有多大？

　　Tim Brown：如果我們認為這類事件不會發生在其他地方，那就太天真了。我認為它很可能在一些其他組織中發生。不發生才怪！

　　Rob Clyde：你希望我們從中吸取的重要教訓是什么？

　　Tim Brown：經常進行事件響應舉措演練。讓人們做好準備。我們在兩天內所做的工作令人難以置信，但前提是我們必須要有那些聯系方式。事件發生在周六。所以要確保擁有在下班時間也能聯系到人的方式。

　　交流沒有問題。你能分享的越多，你能為客戶和所在社區提供的幫助越多，每個人的生活就會越好。

更多信息可以來這里獲取==>>電子技術應用-AET<<