صنعت امنیت سایبری به اتهامات SEC علیه SolarWinds و CISO سابق پاسخ می دهد

صنعت امنیت سایبری پس از اخبار تکان دهنده ای که SEC آن را متهم کرده است، در حال چرخش است بادهای خورشیدی و CISO سابق او با کلاهبرداری در مورد حمله بدنام SUNBURST.

شکایتی ۶۸ صفحه ای در ۳۰ اکتبر ادعاهایی ارائه کردند مبنی بر اینکه حداقل از اکتبر ۲۰۱۸ تا ۱۲ ژانویه ۲۰۲۱، SolarWinds و رئیس امنیتی آن زمان تیموتی جی. براون از سرمایه گذاران و مشتریان از طریق “تحریف ها، حذفیات و طرح هایی که هم عملکرد ضعیف امنیت سایبری شرکت را پنهان می کرد و هم عملکردهای اوج سایبری آن را پنهان می کرد، از سرمایه گذاران و مشتریان کلاهبرداری کردند. – و افزایش – خطرات امنیت سایبری.”

SUNBURST – که نام SolarWinds اکنون مترادف با آن است – یکی از مهم‌ترین حملات سایبری در تاریخ بود، زیرا در زنجیره تامین نرم‌افزار نفوذ کرد و شرکت‌های با اندازه‌های مختلف در سراسر جهان را ویران کرد. دولت ایالات متحده حتی تحت تأثیر قرار گرفت و باعث سخت گیری بیشتر شد دستورالعمل ها و الزامات برای محافظت از زنجیره تامین نرم افزار فدرال

پیامدهای کامل این حمله هنوز ناشناخته است و احتمالاً در آینده قابل پیش‌بینی احساس خواهد شد.

اتهامات کلاهبرداری در حالی است که کمیسیون SEC مسئولیت‌پذیری امنیت سایبری را افزایش می‌دهد – به ویژه چهار روزه جدید آن الزام افشای برای شرکت های عمومی – و می تواند پیامدهای چشمگیری فراتر از حوزه امنیت سایبری داشته باشد.

جورج گرچو، عضو هیئت علمی در شرکت تحقیقاتی و مشاوره امنیت سایبری، گفت: «این اتهامات به عنوان یادآوری به سازمان های CISO در مورد اهمیت رفتار اخلاقی و رفتار حرفه ای است. تحقیقات IANS. برای CISO ها بسیار مهم است که سطح بالایی از یکپارچگی را حفظ کنند، استانداردهای اخلاقی را رعایت کنند و امنیت و حریم خصوصی داده های سازمان خود را در اولویت قرار دهند.»

سند داخلی می گوید شرکت “خیلی امن نیست”

SolarWinds مستقر در اوکلاهما ابزارهای مدیریت سیستم شبکه و زیرساخت را به صدها هزار سازمان در سراسر جهان ارائه می دهد.

احتمالاً در اوایل سال ۲۰۱۸، هکرها به شبکه این شرکت دسترسی پیدا کردند و کدهای مخرب را در سیستم نظارت IT Orion آن مستقر کردند. به گفته کمیسیون بورس و اوراق بهادار، Orion به عنوان یک دارایی “تاج جواهر” در نظر گرفته می شود که ۴۵ درصد از درآمد شرکت در سال ۲۰۲۰ را به خود اختصاص داده است.

این آژانس می‌گوید که در طول حمله دو ساله متعاقب آن، SolarWinds و Brown «اظهارات نادرست و گمراه‌کننده و حذفیاتی» درباره خطرات و اقدامات امنیت سایبری در چندین افشای عمومی، از جمله “بیانیه امنیتی” در وب سایت خود و گزارش های ثبت شده در SEC.

به عنوان مثال، در اکتبر ۲۰۱۸ – همان ماه که SolarWinds عرضه اولیه عمومی خود را انجام داد – براون در یک ارائه داخلی نوشت که “وضعیت امنیتی فعلی SolarWinds ما را در وضعیت بسیار آسیب پذیری برای دارایی های حیاتی خود قرار می دهد.”

سایر ارائه‌ها در آن دوره به راه‌اندازی دسترسی از راه دور SolarWinds به‌عنوان «خیلی امن» اشاره کردند و اینکه یک بهره‌بردار اساساً می‌تواند هر کاری را بدون تشخیص ما انجام دهد تا زمانی که خیلی دیر شده است، که می‌تواند منجر به «شهرت و ضرر مالی بزرگ» شود.

علاوه بر این، یک سند داخلی در سپتامبر ۲۰۲۰ که با براون و دیگران به اشتراک گذاشته شد، بیان کرد که «حجم مسائل امنیتی در ماه گذشته شناسایی شده است [sic] از ظرفیت تیم های مهندسی برای حل و فصل فراتر رفت.»

در این شکایت آمده است: «بیانیه‌های عمومی SolarWinds درباره اقدامات و خطرات امنیت سایبری آن تصویری کاملاً متفاوت از بحث‌ها و ارزیابی‌های داخلی ترسیم کرد.

SEC همچنین گزارش می دهد که این شرکت در یک بایگانی فرم ۸-K در ۱۴ دسامبر ۲۰۲۰ اطلاعات ناقصی درباره این حمله ارائه کرده است، پس از آن قیمت سهام آن در دو روز آینده تقریباً ۲۵ درصد و تا پایان ماه ۳۵ درصد کاهش یافت.

در سال‌های پس از آن، این شرکت برای بازسازی شهرت خود تلاش کرده است، و رهبران اخیراً روی یک برند جدید کار می‌کنند و ایده بازگشت به یک مدل خصوصی را مطرح کرده‌اند.

در یک پست وبلاگسوداکار راماکریشنا، مدیر عامل شرکت SolarWinds “به شدت مخالف” اقدام SEC است.

او گفت: «چگونگی پاسخ ما به SUNBURST دقیقاً همان چیزی است که دولت ایالات متحده به دنبال تشویق آن است.

بنابراین، «هشدارکننده» است که SEC آنچه را که شرکت معتقد است «اقدام اجرایی نادرست و نادرست» است که نشان‌دهنده «مجموعه‌ای قهقرایی از دیدگاه‌ها و اقدامات ناسازگار با پیشرفتی است که صنعت باید انجام دهد و دولت تشویق می‌کند» ارائه کرده است.

SUNBURST فقط مسائل امنیتی شایع را برجسته کرد

کارشناسان تاکید می‌کنند که SEC SolarWinds را به دلیل SUNBURST هدف قرار نمی‌دهد: این شکایت می‌گوید که اظهارات نادرست در مورد امنیت می‌توانست قوانین اوراق بهادار را نقض کند، حتی اگر SolarWinds هک نشده بود.

ویلیامز گفت: “اینکه آنها هدف قرار گرفتند فقط برای برجسته کردن مسائل مفید بود.”

مایکل ایسبیتسکی، مدیر استراتژی امنیت سایبری در Sysdigبه شکاف‌های امنیتی زیادی اشاره کرد: دسترسی از راه دور برای دستگاه‌های مدیریت‌نشده، اشتباهات مدل‌سازی تهدید، آزمایش ناکافی برنامه‌های وب، سیاست‌های نامناسب مدیریت رمز عبور و کنترل‌های دسترسی ضعیف‌تر.

در حالی که SolarWinds به پیروی از بهترین شیوه‌های امنیتی رایج – مانند چارچوب امنیت سایبری NIST، کنترل‌های امنیت و حریم خصوصی NIST برای سیستم‌های اطلاعاتی و سازمان‌ها و چرخه حیات توسعه امن (SDL) گواهی می‌دهد – به نظر می‌رسد شواهد نشان می‌دهد که آنها شکاف‌های قابل توجهی در برآورده کردن همه معیارها برای همه برنامه‌ها دارند. Isbitski گفت و سیستم ها. این موضوع باعث ایجاد مسائل مهمی شد که به درستی افشا نشد و سرمایه گذاران را گمراه کرد.

او گفت: “یک نکته کلیدی در اینجا این است که یک استاندارد را انتخاب کنید و اطمینان حاصل کنید که به طور جهانی از آن پیروی می کنید.”

پیامدهای ماندگار SUNBURST

این بدان معنا نیست که SUNBURST به طور چشمگیری صنعت امنیت سایبری را تغییر نداد.

گرچو گفت: «حمله SUNBURST صنعت ما را از طرق مختلف تغییر داده است.

به طور قابل توجهی، توجه به اهمیت امنیت زنجیره تامین جلب شده است. او گفت: «سازمان‌ها در حال حاضر از خطرات احتمالی مرتبط با نرم‌افزارهای شخص ثالث آگاهی بیشتری دارند و اقداماتی را برای ارتقای عملکردهای امنیتی خود انجام می‌دهند.

این حمله همچنین نیاز به نظارت مستمر و شناسایی تهدید را برجسته کرد و سازمان ها را به سرمایه گذاری در ابزارها و فناوری های پیشرفته ترغیب کرد. در نهایت، و شاید مهم ترین آن، توجه رگولاتورها را به خود جلب کرده است.

گرچو گفت: «این ممکن است منجر به الزامات سخت‌گیرانه‌تر برای سازمان‌ها شود تا از امنیت زنجیره‌های تأمین خود اطمینان حاصل کنند.

SEC یک استاندارد جدید را تعیین می کند

کارشناسان خاطرنشان می کنند که این مورد بر انتقاد از صداقت در مورد وضعیت و بلوغ برنامه های امنیت سایبری، به ویژه برای شرکت های سهامی عام تأکید می کند.

تخصص مربوطه، فرآیندهای امنیت سایبری و تاریخچه حوادث امنیتی Isbitski گفت که باید تحت قوانین افشای امنیت سایبری SEC افشا شود. بیش از یک دهه است که این موارد به اشکال مختلف وجود داشته اند و آخرین نسخه در دسامبر ۲۰۲۳ کاملاً قابل اجرا است.

علاوه بر این، باز بودن و صادق بودن به سادگی یک روش تجاری خوب است. گرچو گفت: “شفافیت در حفظ اعتماد مشتریان، شرکا و ذینفعان بسیار مهم است.”

وی تاکید کرد: هنگامی که تخلفی رخ می دهد، اطلاع رسانی به افرادی که ممکن است تحت تأثیر قرار گیرند، مهم است تا بتوانند اقدامات احتیاطی لازم را انجام دهند و از خود محافظت کنند. شرکت ها با علنی بودن در مورد نقض، تعهد خود را نسبت به امنیت مشتریان خود نشان می دهند و مسئولیت پذیری را نشان می دهند.

همکار گرچو، جیک ویلیامز، هکر سابق آژانس امنیت ملی ایالات متحده (NSA) و عضو هیئت علمی پژوهشی IANC اظهار داشت که “SEC استاندارد جدیدی را برای افشای اطلاعات امنیتی با این شکایت تعیین می کند.”

او هشدار داد: اگر اظهارات نادرست، ناقص یا گمراه‌کننده درباره امنیت به مشتریان یا شرکای تجاری می‌دهید، از مشاهده این استاندارد در دعاوی متعجب نشوید.

سیوان تهیلا، مدیر عامل پلتفرم امنیت سایبری، گفت: علاوه بر این، اعلان‌های ولز – قصد شارژ کردن – معمولاً برای مدیران عامل و مدیران مالی صادر می‌شود. اونیکسیا. اما در این مورد، CISO Brown به صراحت شامل می شود.

Tehlila گفت: “این می تواند به معنای تعهدات جدید برای مدیران امنیت سایبری در حال حرکت باشد.”

مراقب کیس SolarWinds در حین باز شدن آن باشید

کارشناسان امنیت سایبری توصیه می کنند که سازمان های CISO باید به دقت این پرونده را زیر نظر داشته باشند.

برای شروع، به عنوان یادآوری پیامدهای قانونی و نظارتی بالقوه ای است که می تواند ایجاد شود حوادث امنیت سایبریگرچو گفت. درک این اتهامات و نتیجه نهایی پرونده می تواند به رهبران امنیتی کمک کند تا خطرات بالقوه ای را که ممکن است در موقعیت های مشابه با آنها مواجه شوند ارزیابی کرده و اقدامات پیشگیرانه پیشگیرانه را انجام دهند.

گرچو گفت: “سازمان های CISO باید ادعاهای خاص ارائه شده توسط SEC را تجزیه و تحلیل کنند و ارزیابی کنند که آیا سازمان آنها دارای آسیب پذیری ها یا کاستی های مشابه است.” این می تواند به آنها کمک کند تا زمینه های بهبود را شناسایی کرده و وضعیت امنیت سایبری خود را تقویت کنند.”

او توصیه کرد که CISO اقدامات واکنش به حادثه SolarWinds را برای ارزیابی اثربخشی آنها مطالعه کنند. بررسی آن به عنوان یک مورد استفاده می‌تواند به آن‌ها کمک کند تا برنامه‌های واکنش به حادثه‌شان، از جمله استراتژی‌های ارتباطی، اقدامات مهار و فرآیندهای بازیابی را افزایش دهند. به همان اندازه مهم، رهبران امنیتی باید رفتار اخلاقی را در سازمان خود تقویت کنند.

ایسبیتسکی موافقت کرد و گفت که شرکت‌ها و رهبری آنها باید این دعوی را همانطور که در جریان است دنبال کنند، “زیرا این یکی از اولین آزمایش‌های نبرد قوانین امنیت سایبری نهایی است.”