המתקפה שצריכה להדאיג את כלל התעשייה
סודהאקאר ראמאקרישנה שיתף בכנס GISEC את הקהל בתובנות מהפריצה ובתפיסת Secure by Design שאימצה החברה בעקבותיה ● "מדובר בשחקן חשוב ומתוחכם, היה קשה לנטר ולחשוף אותו"
"המתקפה נגדנו, כמו גם נגד חברות אחרות, צריכה להדאיג את כולנו, חברות IT וחברות מסורתיות. מאז שהצטרפתי לחברה, בינואר השנה, אנו עמלים לחקור אותה לעומק כדי להשתפר. כל מתקפה היא מדאיגה, ועל אחת כמה וכמה כשמדובר במתקפה הנעשית בחסות מדינה, עם משאבים בלתי מוגבלים, מתקפה מתמשכת ועקבית, APT. אנו עוסקים באופן שקוף בשיתוף כלל הממצאים מהחקירה, לא רק כדי שאנו נשתפר, אלא שכלל התעשייה תשפר את רמת אבטחת המידע שלה", אמר סודהאקאר ראמאקרישנה, מנכ"ל ונשיא סולארווינדס .(SolarWinds)
ראמאקרישנה היה מדוברי המפתח בכנס GISEC הנערך השבוע בדובאי, והוא שיתף את הקהל בתובנות מהחקירה של הפריצה, חקירה הנמשכת כבר כחצי שנה. את המתקפה ערכה קבוצת APT29, הנתמכת על ידי ממשלת רוסיה וידועה גם בשם Cozy Bear (דובי חמים ונעים). הקבוצה מקושרת ל-SVR, שירות ביון החוץ של רוסיה – אף שמוסקבה, כצפוי, הכחישה זאת. הפריצה פגעה במאות ארגונים בעולם, בראשם מיקרוסופט (Microsoft) ופייראיי (FireEye) – שחשפה אותה, ובעשרות ארגונים פדרליים בארה"ב.
"הפעולה הראשונה שעשינו היא לתגבר את הצוותים האדומים שלנו (מומחי האבטחה בחברה, המדמים את היריב ותוקפים את הארגון כדי לבחון את החולשות והפרצות בו, י.ה.). עשינו זאת הכי מהר שיכולנו. לצד זאת, בנינו תוכנית תגובה והתחלנו בשטף עדכונים ללקוחות החברה ולשותפיה העסקיים. Orion, תוכנת ניטור וניהול הרשת שלנו, היא שזוהמה בפריצה. 18 אלף לקוחות הורידו את עדכון התוכנה שהכיל את הנוזקה והיו עלולים להיפגע ממנה, אולם לשמחתי, רובם לא ניזוקו. לאחר התקנתה, הנוזקה 'מחכה' שבועיים ואז מנסה להתחבר לשרת דלת אחורית ומקבלת הוראות: מה לגנוב, איפה לרגל. במקרים רבים לא נגרם נזק ללקוחות. אלו חדשות טובות שרק מעט נפגעו, אבל הגישה שלנו היא שלקוח אחד שניזוק – זה לקוח אחד יותר מדי".
"שחקן האיום שפגע בנו לא שינה את הקוד, אין שיבוש ברמה זו", ציין ראמאקרישנה, "ועדיין מדובר בשחקן חשוב ומתוחכם. הוא הצליח להזריק פיסת קוד זדוני לתוך הזיכרון של אחד השירותים האוטומטיים ש-Orion מספקת. שחקן האיום הצליח להבין את סביבתנו ואת התהליכים שלנו. מרגע המתקפה ועד גילויה עברו תשעה חודשים. נכון, זה הרבה זמן, אולם נוזקה יכולה להתגלות גם אחרי שנים, וגם אחר גילויה לוקח זמן להתאושש. היה קשה לנטר ולחשוף את שחקן האיום. לאחר שהצלחנו לזהות את המערכת שנפגעה, ניתחנו אותה ועשינו דה-קומפילציה – תהליך של החזרת התוכנה לקוד המקור, בדקנו את המכניזם שלה ופרסמנו את הקניין הרוחני שלנו, כדי שכל לקוח וכל ספק יוכל להביט לעומק על שרשרת האספקה שלו".
"שאלנו את עצמנו", אמר מנכ"ל סולארווינדס, "איך הנוזקה חדרה למערכות שלנו? הגענו ל-15 השערות וניחושים וצמצמנו את המספר לשלושה. זה היה ככל הנראה דיוג חנית (Spear-phishing), או נוזקת יום אפס. ברור שהפעילות השיגה גישה למערכות. תוך כדי ניווט החקירה הוריתי לממש את תפיסת Secure by Design לאורך כל שלבי הפיתוח וההפצה של מוצרי החברה. זו לא רק פעולה טכנולוגית, אלא גם שינוי תפיסתי-תרבותי".
בניגוד לקודמו התפקיד, ראמאקרישנה הגיע עם רקע באבטחת מידע: בתפקידו האחרון שימש במשך חמש שנים כמנכ"ל פולס סקיור (Pulse Secure) שנרכשה ע"י חברת Ivanti לאחרונה – אז צבר ניסיון בהתנהלות עם האקרים, שניצלו פרצה מוכרת ברשת ה-VPN של החברה וביצעו באמצעותה מתקפת כופרה נגד החברה. עם כניסתו לתפקיד הנוכחי הוא הציג שורה של שינויים קריטיים שבכוונתו לבצע בחברה, כדי לשים דגש מחודש על תחום אבטחת הסייבר.
"אנו ממשיכים ללמוד את הממצאים", סיכם ראמאקרישנה, "ולצד ההיבט הטכני אנו עוסקים רבות בשיתוף מידע וידע, בהפצת פרטים בכנסים ובבלוגים, בהכשרות טכנולוגיות לעובדים, ללקוחות ולשותפים העסקיים שלנו, ובהמשך שיתוף הפעולה עם רשויות האכיפה. נמשיך לעשות רבות באבטחה – אבל אין כל ערובה לכך שלא תהיה פריצה נוספת. המטרה היא להקטין את חלונות הזמן האפשריים לפריצה, לצמצם את משטח התקיפה ולהפחית את כמות ההטלאות. מנהל האבטחה שלנו קיבל יותר חופש פעולה, והוא עורך בקרה עמוקה יותר על המוצרים והשירותים שלנו. מדובר במסע – ולא בפעולה חד-פעמית. המטרה היא לבנות עולם בטוח יותר, וזה ייעשה על ידי הפצת עוד ועוד מודיעין איומים בקהילה".