Wat besighede kan leer uit die SolarWinds Hack and SEC-heffings

12 Desember 2023

INHOUDSOPGAWE:

1) Verstaan die SEC-heffings
2) Besigheidsleer
3) Die Bottom Line

Dit is drie jaar sedert die Amerikaanse sagtewaremaatskappy SolarWinds die slagoffer geword het van een van die geskiedenis se belangrikste kuberaanvalle. Die voorval, wat die eerste keer in Desember 2020 aan die lig gekom het, het gesien hoe Russiese kuberkrakers SolarWinds se gewilde Orion-netwerk en toepassingsmoniteringsagteware oor twee jaar oortree het.

Sodra hulle binne SolarWinds se tegniese infrastruktuur was, het die kubermisdadigers kwaadwillige sagteware-opdaterings geskep en gestuur aan duisende besighede en organisasies wat die Orion-sagteware gebruik om hul IT-omgewings te bestuur.

’n Verstommende 18,000 XNUMX Orion-gebruikers het onwetend die wanware-geteisterde opdaterings geïnstalleer, wat die kuberkrakers in staat gestel het om toegang tot hul IT-netwerke, rekenaarstelsels en data te verkry, asook om hul kliënte en ander belanghebbendes te teiken.

Die hack het verskeie Amerikaanse regeringsagentskappe beïnvloed, insluitend Homeland Security, Staat, Tesourie en Handel, en groot korporasies soos Microsoft, Intel, Cisco, Deloitte en FireEye, soos gerapporteer deur TechTarget. Die oortreding was so ernstig en verreikend dat Brad Smith, president van Microsoft beskryf dit as “die grootste en mees gesofistikeerde aanval wat die wêreld nog ooit gesien het”.

Vinnig vorentoe na 2023, SolarWinds staar steeds die reperkussies van hierdie rekordbrekende kuberaanval in die gesig. In Oktober het die US Securities and Exchange Commission (SEC) aangekondig dat hy regstappe teen SolarWinds sal neem, en die tegnologiefirma daarvan beskuldig dat hy beleggers mislei oor sy kubersekuriteitspraktyke en -risiko's.

Hierdie hack, tesame met die onlangse SEC-aanklagte teen SolarWinds, beklemtoon die behoefte vir besighede om toenemende kubermisdaad ernstig op te neem deur robuuste inligtingsekuriteitspraktyke te verstaan en aan te neem. Dit bied ook waardevolle besigheidsleergeleenthede, waarvan ons baie in hierdie blogpos sal verken.

Verstaan die SEC-heffings

Een van die belangrikste dinge oor hierdie SEC-aanklagte is dat hulle nie net SolarWinds teiken nie, maar ook hoofinligtingsekuriteitsbeampte, Timothy G. Brown.

Die SEC beweer dat SolarWinds tussen sy aanvanklike openbare aanbieding in Oktober 2018 en sy kuberaanval-aankondiging in Desember 2020 “beleggers bedrieg” het deur sy kuberveiligheidspraktyke te oordryf asook om kuberveiligheidskwesbaarhede waarvan hy geweet het, af te speel en nie bekend te maak nie.

In 'n persverklaring, beweer die Amerikaanse regeringsagentskap dat SolarWinds beleggers net van "generiese en hipotetiese risiko's" vertel het, al was SolarWinds en Brown bewus van "spesifieke tekortkominge in SolarWinds se kuberveiligheidspraktyke" en "toenemend verhoogde risiko's". Die SEC beweer dat SolarWinds misleidende openbare verklarings oor sy kuberveiligheidsposisie gemaak het, wat interne evaluerings weerspreek.

Byvoorbeeld, 'n SolarWinds-ingenieur het 'n interne aanbieding geskep en versprei wat waarsku dat die maatskappy se afstandtoegang nie "baie veilig" is nie en dat kuberkrakers "basies alles kan doen sonder dat ons dit bespeur totdat dit te laat is". Die aanbieding, wat Brown gesien het, het ook gewaarsku teen "groot reputasie en finansiële verlies" as 'n kuberkraker hierdie kwesbaarheid benut.

In ander eise teen SolarWinds deur die SEC, het Brown na bewering in 'n aanbieding geskryf dat die "huidige toestand van veiligheid ons in 'n baie kwesbare toestand vir ons kritieke bates laat". Daar word ook beweer dat hy kritieke stelsel- en datatoegang en -voorregte "onvanpas" genoem het in 'n ander aanbieding, onder meer in gevalle waar hy na bewering intern kommer oor kuberveiligheid geopper het.

Die SEC het Brown daarvan beskuldig dat hy versuim het om "die kwessies op te los" en dit "voldoende verder binne die maatskappy te opper" in skuiwe wat beteken het dat SolarWinds nie in staat was om "redelike versekering te gee dat sy waardevolste bates, insluitend sy vlagskip Orion-produk, was voldoende beskerm”. Dit dring nou aan op “permanente bevelverligting, ontslag met vooroordeelsrente, siviele strawwe, en 'n beampte en direkteur verbieding teen Brown”.

Besigheidsleer

Baie besighede kan sleutelkennis wegneem om hul kubersekuriteitsposisie te verbeter deur die berugte SolarWinds-hack en die onlangse SEC-aanklagte te assesseer.

Miskien is die belangrikste leerstelling dat die SolarWinds-oortreding toon dat "selfs die mees gesofistikeerde en gevestigde entiteite nie immuun teen kuberbedreigings is nie", volgens ISMS.online CTO Sam Peters.

Namate kuberbedreigings meer kompleks en algemeen word in die nasleep van die SolarWinds-oortreding, moet besighede verseker dat hulle die middele het om dit te identifiseer, te assesseer en te bestuur. Dit moet "deurlopende waaksaamheid, gereelde assesserings en die aanvaarding van 'n proaktiewe kuberveiligheidsingesteldheid behels", sê Peters.

Die beste manier om nuwe en opkomende kuberveiligheidsbedreigings te bestuur, is deur die beste praktyke, regulatoriese vereistes en erkende raamwerke soos ISO/IEC 27001 en die NIST Kubersekuriteitsraamwerk as deel van 'n "kultuur van sekuriteitsbewustheid".

Peters verduidelik: “Hulle is besigheidsbehoeftes in vandag se digitale-eerste-landskap. As tegnologieleiers moet ons kuberveiligheid nie as ’n selfstandige funksie beskou nie, maar as ’n geïntegreerde, fundamentele aspek van ons algehele besigheidstrategie.”

Deur raamwerke soos ISO/IEC 27001 te volg, moet besighede aan verskeie tegniese kontroles voldoen om hul netwerke, stelsels en data te beveilig. Peters verduidelik dat hulle moet definieer, monitor en hersien gebruikerstoegangsbestuur, kontroles en verantwoordelikhede bykomend tot die gebruik van sterk enkripsie en sleutelbestuurprotokolle. Die neem van hierdie stappe is die sleutel tot “versekering van datavertroulikheid selfs tydens oortredings”.

Peters beveel ook aan dat besighede gereeld kwesbaarheidsbeoordelings doen, wat hulle in staat stel om sagtewarefoute te identifiseer en reg te stel wat andersins 'n agterdeur na sensitiewe stelsels vir kuberkrakers kan bied. Implementering van 'n goed gedokumenteerde bestuur van inligtingsekuriteitsinsidente proses sal ondernemings ook in staat stel om oortredings te identifiseer, aan te meld en te bestuur soos dit plaasvind.

Saam met die klem op die belangrikheid daarvan om die beste praktyke en raamwerke in die bedryf te volg, toon die SolarWinds-voorval ook dat die omsigtigheid van verskaffers deurslaggewend is om kuberaanvalle te versag. Peters beveel aan dat besighede “altyd derdeparty-sagteware met dieselfde strengheid as interne stelsels ondersoek”.

Luke Dash, uitvoerende hoof van ISMS.online, glo dat die belangrikste les wat besighede uit die SolarWinds-oortreding kan leer, is dat kuberveiligheid "'n deurlopende reis is, nie 'n bestemming nie". Terwyl belegging in tegnologie kan help om kubermisdaad te beveg, sê Dash organisasies moet ook in hul mense belê deur hulle voortdurend op te lei oor kuberveiligheidsbedreigings en beste praktyke.

Hy beveel ook aan dat 'n insidentreaksieplan geskep word om voor te berei vir toekomstige bedreigings en om 'n werkplekkultuur te bevorder wat op oop kommunikasie gebaseer is. Dit sal verseker dat “werknemers gemaklik voel om verdagte aktiwiteite aan te meld sonder vrees vir vergelding”. Dash voeg by: “In kuberveiligheid tel elke waarskuwing. Dit is ’n kollektiewe poging en om proaktief te wees is die sleutel.”

Karl Lankford, EMEA-direkteur van stelselingenieurswese by Illumio, sê die SolarWinds hack en SEC-aanklagte wys dat die "CISO-rol 'n plek in die uitvoerende span verdien".

"Die breër C-Suite moet ook verantwoordelik gehou word vir goeie kubersekuriteitspraktyke, aangesien dit dikwels hierdie span is wat die aanbevelings van 'n CISO ontken," voeg hy by. "Ek sou graag 'n verskuiwing wou sien waar die CISO die toepaslike gesag en begrotings toegewys word om doeltreffende sekuriteitskontroles te implementeer sonder om in elke stadium goedkeuring te soek."

Robin Campbell-Burt, uitvoerende hoof van Code Red, glo dat die SolarWinds-hack "lig werp op die veelsydige aard van openbare betrekkinge in kuberveiligheidskrisisse" en beklemtoon die belangrikheid daarvan om PR reg te kry tydens hierdie situasies.

Hy sê aan ISMS.online: “Hul reaksie op die oortreding onderstreep die noodsaaklikheid van tydige kommunikasie in ons vinnig ontwikkelende digitale wêreld. Volgens die onlangse SEC-aanklagte kon hierdie reaksie egter nie ooreenstem met die realiteit van die maatskappy se kuberveiligheidsposisie nie, en hierdie soort oneerlikheid kan uiters skadelik wees vir 'n handelsmerk se reputasie.”

Die Bottom Line

Die SolarWinds-hack en SEC-regstappe toon dat swak openbaarmaking van oortredings en verwaarlosing van kuberveiligheid baie duur vir besighede kan wees. Met die aanlynbedreigingslandskap wat vinnig ontwikkel, moet organisasies voortdurend hul kubersekuriteitsposisie herevalueer en versterk om hulself en hul kliënte en vennote te beskerm.

As deel hiervan kan die belangrikheid van die gebruik van beste praktyke soos multi-faktor-verifikasie, gereelde rugsteun, die bevordering van 'n sekuriteitskultuur waarby alle werknemers betrokke is, die navolging van bedryfsraamwerke, en die samewerking en deel van bedreigingsintelligensie met bedryfsgenote nie onderskat word nie.

skrywer

Nicholas Fearn

Nicholas Fearn is 'n vryskutjoernalis van die Walliese Vallei. Hy is geskryf vir groot media-afsetpunte soos die Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost en Insider, sowel as B2B-publikasies soos Computer Weekly, Computing en IT Pro. Wanneer Nic nie oor die nuutste gadgets en tegnologieneigings skryf nie, luister hy waarskynlik na Mariah Carey se hele diskografie.

Sien alle plasings deur Nicholas Fearn