ارائه دهنده نرم افزار مدیریت فناوری اطلاعات SolarWinds به تازگی گزارش سالانه روندهای فناوری اطلاعات خود را منتشر کرده است که شامل بررسی موضوعی است که شرکت تجربه واقعی آن را دارد – مقابله با تهدیدات امنیتی.
این گزارش با عنوان “ساختن آینده ای امن” به این موضوع می پردازد که چگونه متخصصان فناوری وضعیت فعلی خطر را در محیط های تجاری در حال تحول در نظر می گیرند ، جایی که همه گیری و عوامل دیگر می توانند نقاط بالقوه جدیدی را برای مواجهه ایجاد کنند. این همچنین نشان دهنده معرفی راهنمای “ایمن با طراحی” از SolarWinds است که ممکن است به عنوان روشی برای کاهش بهتر حملات سایبری در آینده عمل کند.
سوداخار راماکریشنا ، مدیر عامل SolarWinds ، در ماه ژانویه از Pulse Secure به این شرکت پیوست ، چندی نگذشت که حمله سایبری بدنام Sunburst در ماه دسامبر گذشته خبرساز شد.
Sunburst یک حمله زنجیره ای پیچیده و بدافزار بود که SolarWinds می گوید یک آسیب پذیری را در نرم افزار مورد استفاده هزاران مشتری ایجاد کرده است. SolarWinds مظنون است این حمله که ممکن است دو سال قبل از کشف آغاز شده باشد ، به دستور یک کشور دیگر انجام شده است اما هنوز منبع حمله را تأیید نکرده است.
راماکریشنا با InformationWeek در مورد طرز فکر و چشم اندازهای امنیتی که در چشم انداز کسب و کار دیده می شود و برخی از درس های امنیت فناوری از برخورد با قرنطینه همه گیر و حمله سایبری Sunburst صحبت کرد.
برخی از پیش فرض ها در مورد نحوه مدیریت امنیت فناوری اطلاعات قبل از همه گیری و Sunburst چیست؟ اوضاع چگونه تغییر کرده است و چه چیزی در میان یافته های گزارش وجود دارد؟
بسیاری از مفاهیمی که ما پس از همه گیری با کار از راه دور و سایر گرایش ها پیاده سازی می کنیم برای مدتی برای ما شناخته شده است. حرکت به سمت ابر ، تمرکز بر حذف سایه فناوری اطلاعات ، سازگاری سیاست ها بین زیرساخت های مبتنی بر ابر و زیرساخت های مبتنی بر محل-مواردی بودند که قبلاً وجود داشت.
با این حال ، از آنجا که این فوریت وجود داشت که همه را از راه دور دور کنیم ، سازه های خاصی مانند امنیت نقطه پایانی در ذهن نبود. همچنین ادغام خط مشی بین زیرساخت ابری و برنامه با زیرساخت های محل نبود. اینها دو مورد کلیدی هستند که اتفاق افتاده اند و حس تمرکز را افزایش داده اند. در برخی صنایع ، فرض کنید صنعت مالی ، رعایت و حاکمیت فوق العاده مهم است. در آن موارد ، مشتریان در تنگنا قرار گرفتند زیرا آنها واقعاً راه حل های مناسب را نداشتند و فروشندگان مجبور به سازگاری بودند.
من از زمینه شرکت قبلی صحبت می کنم [Pulse Secure] این یکی از پیشگامان فناوری های اعتماد صفر بود و هنگامی که همه گیری شیوع پیدا کرد ، ما به معنای واقعی کلمه مجبور شدیم شرکت هایی را که ممکن است 250،000 کارمند داشته باشند و در آن زمان تقریباً 10،000 نفر از راه دور کار می کردند ، به شرکتی ببریم که همه 250،000 کارمند مجبور به کار در خانه بودند. .
این امر فشار زیادی بر زیرساخت های فناوری اطلاعات ، به ویژه امنیت ، وارد کرد.
با حرکت به راه دور ، آیا تغییرات واقعی در فناوری ایجاد شد یا موضوع اجرای منابع موجود بود؟ بخش انسانی معادله نحوه برخورد با این موارد – آیا این چیزی است که واقعاً تغییر کرده است؟
روشی که من به طور کلی امنیت را توصیف می کنم و همچنین خطر ، این است که به همان اندازه که با فناوری واقعی ارتباط دارد ، با سیاست ها ، رفتارهای انسانی و تمرکز ارتباط دارد. در بسیاری از مواقع احساس می کنیم ، “ما یک فایروال پرتاب کردیم. ما باید ایمن باشیم. ” امنیت و ریسک بسیار بیشتر از اینها وجود دارد. زمینه هایی مانند پیکربندی ، خط مشی ، آموزش افراد و رفتارهای انسانی نیز به آن افزوده است.
مخصوص بیماری همه گیر ، بسیاری از فناوری ها ، امنیت نقطه پایانی ، امنیت ابری و اعتماد صفر که پس از همه گیری گسترش یافته است – سازمانها نحوه صحبت در مورد نحوه استقرار آنها را تغییر داده اند.
قبلاً ممکن بود یک تیم امنیتی ابری و یک تیم امنیتی زیرساخت وجود داشته باشد ، خیلی زود خط شروع به تار شدن کرد. نیاز بسیار کمی به امنیت شبکه وجود داشت زیرا افراد زیادی سر کار نمی آمدند. باید از نظر سازماندهی ، اولویت بندی و همکاری در شرکت تغییر می کرد تا از فناوری برای حمایت از این نوع نیروی کار استفاده شود.
چه چیزی در گزارش برجسته بود که یا شگفت انگیز بود یا تأیید مجدد؟
یکی از چالش هایی که همچنان از بین می رود عدم آموزش پرسنل است. ریسک و امنیت پیامدهای زیادی برای افراد دارد. عدم آموزش همچنان در حال پرش است. به نظر می رسد سال بعد اتفاق می افتد اما اقدامات کمی در مورد آن انجام شده است.
در مورد ما ، ما بیشتر روی کارآموزان تمرکز می کنیم ، افراد را در کالج ها و دانشگاه ها می گیریم و آموزش می دهیم تا آنها برای نیروی کار آماده شوند. من معتقدم برای آگاهی بیشتر مردم از این مسائل ، قبل از هر چیز باید بیشتر تلاش جامعه باشد. فقط در صورت آگاهی می توانید محافظت کنید. عدم آموزش یک چالش است. کمبود بودجه و در نتیجه کاهش تعداد کارکنان نیز همچنان ادامه دارد. من فکر می کنم این جایی است که فناوری و فروشندگان مانند ما باید فناوری را برای ساده سازی زندگی متخصصان فناوری اطلاعات ارائه دهند.
برای من تعجب آور است که حدود 80 درصد مردم درک می کنند یا معتقدند که آماده پاسخگویی به حملات سایبری هستند. من می خواهم عمیقاً بدانم که میزان آمادگی یعنی چه و آیا در سطح آمادگی همخوانی وجود دارد. این به سطح آگاهی شما برمی گردد ، آموزش هایی که دارید – این دو چیز باید سطح آمادگی را افزایش دهد.
در مورد آموزش ، آیا ما در مورد آموزش بسیار فشرده ای صحبت می کنیم که باید اتفاق بیفتد؟ اکثر سازمانها جلسات اجمالی را برای آگاهی کارکنان از آسیب پذیری های احتمالی برگزار می کنند.
آموزش رسمی آنها و همچنین آموزش آنها در زمینه مهم است. ما یک “تیم قرمز” در سازمان خود ایجاد کرده ایم. به طور معمول ، تیم های قرمز تنها در شرکت های امنیتی باطنی تأسیس می شوند ، اما نظر من این است که هرچه بیشتر شرکت ها متوجه ریسک می شوند ، ممکن است این موارد را نیز شروع کنند.
یک قسمت آن هوشیاری مداوم است. هر تیمی باید دائماً مراقب باشد که چه اتفاقی در محیط خود می افتد و چه کسی می تواند به آنها حمله کند. طرف دیگر آن یادگیری مداوم است. شما دائماً آگاهی و هوشیاری را نشان می دهید و مدام از آن درس می گیرید. تیم قرمز می تواند روشی بسیار م toثر برای آموزش یک سازمان کامل و ایجاد حساسیت در مورد حمله فیشینگ باشد. با وجود معمول بودن حملات فیشینگ ، اکثر مردم ، از جمله در بخش فناوری ، نمی دانند چگونه می توانند به طور کامل از آنها جلوگیری کنند. [detection] ابزارهای فناوری موجود به رفتار انسان برمی گردد. آنجاست که آموزش می تواند ثابت و زمینه ای باشد.
حملات سایبری چگونه تکامل یافته است؟ آیا اکنون رویکردهای متفاوتی استفاده می شود که قبل از همه گیری رایج نبود؟ آیا ماهیت آسیب پذیری ها به طور مداوم تکامل می یابد؟
تا زمانی که من در این صنعت بودم این امر صادق بود و به جز با سرعت بیشتری به تکامل خود ادامه خواهد داد. چند سال پیش ، مفهوم حمله سایبری دولت-ملت بیگانه بود. هنگامی که حملات سایبری صورت می گرفت ، آنها عمدتا ویروس یا باج افزارهایی بودند که توسط افراد کمی ایجاد شد تا توجه مردم را جلب کنند یا شاید کمی باج دریافت کنند. در گذشته این نوع غالب بود. به طور فزاینده ای ، دولت های ملی در حال مشارکت یا حداقل از برخی از این عوامل تهدید کننده حمایت می کنند. آنها در برخورد با حملات سایبری استقامت و حوصله بیشتری دارند.
قبلا ، هدف استفاده از ویروس بود. وظیفه یک ویروس این است که وارد شود و تا آنجا که می تواند دیده شود ، تا آنجا که می تواند آسیب برساند ، و سپس بعد از آن شما ممکن است تلقیح شود. در حال حاضر ، این تهدیدات پیشرفته و مداوم هستند. کل ایده این است که به طور مداوم حمله شود ، اما نهادی که مورد حمله قرار می گیرد از این موضوع اطلاعی ندارد زیرا آنها بسیار صبور و عمدی هستند و بیشتر اوقات زیر رادار پرواز می کنند.
میزان و میزان خسارت تا زمان حمله مشخص نیست. یک تغییر اساسی در این طرز فکر وجود دارد. در آنجا حملات زنجیره تامین را مشاهده می کنید. آنجاست که حملات آهسته را مشاهده می کنید. نحوه تشخیص و محافظت در برابر این موارد اکنون بسیار چالش برانگیز شده است. اگر چیزی به شدت قابل مشاهده باشد ، می توان آن را پیدا و ثابت کرد. اگر قابل مشاهده نیست ، چگونه آن را پیدا می کنید؟
در مورد حمله Sunburst چه چیزی قابل درک بود و وقتی مدیرعامل شدید ، چه اقداماتی را در پاسخ انجام دادید؟
با ورود به SolarWinds ، بودجه و تعداد کارکنان را بررسی می کنید و می گویید: “آیا برای شرکتی با اندازه خود سرمایه گذاری در امنیت متناسب با صنعت داشته اید؟” پاسخ یک بله قاطع بود. ما آن را با معیارهای IDC مقایسه کردیم و در سطحی بودیم که کمی یکنواخت بود. بنابراین ، مسئله هزینه نبود. موضوع چه بود؟
مانند بسیاری از سازمانهای بزرگتر دیگر ، سیاست ها و حوزه های اجرایی مختلفی در سازمان وجود دارد. هنگامی که آن را دارید ، پنجره های فرصت برای مهاجمان باز می شود. یکی از مهمترین کارهایی که ما انجام داده ایم ، یک درس آموخته شده این است که آنها را تحت نظارت یک CIO ادغام کنیم تا مطمئن شویم که سازگاری وجود دارد ، احراز هویت چند عاملی وجود دارد ، و علامت واحدی برای برنامه های مختلف وجود دارد.
این یک خودآزمایی است که هر سازمانی باید طی کند و سعی کند تعداد اجاق گاز را کاهش دهد.
ما در مورد آنچه ممکن است بتوانیم برای محافظت بهتر از محیط سازنده خود انجام دهیم ، تحقیق کردیم. ما محیط های Paddle-build را ایجاد کرده ایم ، سطح حمله را برای یک عامل تهدید تغییر داده و در نتیجه یکپارچگی زنجیره تأمین خود را به طور مثرتری حفظ کرده ایم.
پیاده سازی تیم قرمزها ، در هر کجا که تحت نظارت CISO ما باشد ، ما اساساً تمرینات حمله را اجرا می کنیم.
این فرایندها ، ابزارها و تکنیک های مورد استفاده برای بقیه شرکت ما ناشناخته است. وقتی آنها حمله را شبیه سازی می کنند ، به نظر می رسد که از بیرون آمده است. این بخشی از جنبه هوشیاری/یادگیری مداوم است.
ما استاندارد حفاظت از نقطه پایانی را در سطح سازمان استاندارد کردیم ، بنابراین صرف نظر از اینکه آنها از راه دور یا داخل شبکه هستند ، سیاست های ثابتی دارید. ما همچنین سیاست های مبتنی بر فضای ابری و محل را ادغام کردیم تا هیچ جزیره تکه تکه ای از سیاست وجود نداشته باشد. همچنین ، آموزش امنیتی اجباری برای هر کارمند در شرکت ، که توسط CISO ما حمایت می شود.
بنابراین ، هیچ گلوله جادویی برای امنیت وجود ندارد که همه مشکلات را برطرف کند؟
ای کاش وجود داشت و مطمئنم بسیاری از ما به جستجوی آن ادامه می دهیم.