מנכ"ל סולארווינדס: "מתקפת הענק בסייבר – מהמורכבות והמתוחכמות בהיסטוריה"

סודהאקאר ראמאקרישנה, מנכ''ל החברה שהתוכנה שלה הודבקה בנוזקה שהביאה למתקפת הענק הרוסית, אמר, כי הגישה הראשונית לחברה נעשתה בסתר כבר בספטמבר 2019 ● ראמאקרישנה, ששימש מנכ"ל Pulse Secure - צבר ניסיון בהתנהלות עם האקרים, שניצלו פרצה מוכרת ברשת ה-VPN של החברה וביצעו באמצעותה מתקפת כופרה

סודהאקאר ראמאקרישנה, מנכ"ל סולארווינדס.

"ההאקרים השיגו בראשונה גישה למערכות שלנו כבר בספטמבר 2019 ויצאו מגדרם על מנת שלא יתגלו על ידי צוותי פיתוח התוכנה של החברה", אמר סודהאקאר ראמאקרישנה, המנכ"ל החדש של סולארווינדס (SolarWinds).

"נראה כי המתקפה היא אחת מתקפות הסייבר המורכבות והמתוחכמות בהיסטוריה", כתב ראמאקרישנה בפוסט בבלוג החברה, "תהליכי הפיתוח ובניית התוכנה המשמשת אותנו נפוצים בכל תעשיית התוכנה, ולכן שיתוף מידע זה באופן גלוי יעזור לתעשייה להגן על עצמה מפני מתקפות דומות בעתיד". על פי ענקית האבטחה קראודסטרייק (CrowdStrike), "ההאקרים השקיעו מאמצים רבים על מנת להבטיח שהנוזקה שהחדירו תישאר בלתי מזוהה, תוך שהם מעדיפים את מערכות האבטחה התפעולית כדי להימנע מחשיפת נוכחותם בפני מפתחי סולארווינדס. כמה אמצעי הגנה נוספו לנוזקה, כדי להבטיח שהיא תמשיך לפעול. זה היה אמור להתריע בפני מפתחי החברה בדבר נוכחות היריב. הנוזקה שהוחדרה ל-Orion, תוכנת ניהול הרשת של המותקפת, מחליפה את אחד מקובצי המקור שלה, כך שהיא כוללת 'דלת אחורית' ב-Orion". לדברי ראמאקרישנה, "החברה עובדת עם KPMG וקראודסטרייק, כמו גם מומחי אבטחה אחרים בתעשייה, כדי לבצע ניתוח שורש של ההתקפה".

"הפעילות החשודה המוקדמת ביותר במערכות הפנימיות שלנו, שזוהתה על ידי צוותי החקירה, מגיעה עד ספטמבר 2019", אמר ראמאקרישנה, "שחקן האיומים השיג גישה למערכות שלנו ב-4 בספטמבר. שמונה ימים לאחר מכן, הוא הזריק קוד בדיקה והחל במבחן ההתקפה שלו. נראה כי עדכון הגרסה של Orion מאוקטובר 2019 כבר הכיל שינויים, שנועדו לבדוק את יכולתם של ההאקרים להכניס נוזקה. הזרקת קוד הבדיקה הסתיימה ב-4 בנובמבר". ואז, ב-20 בפברואר 2020, אמר ראמאקרישנה, "ההאקרים החלו להכניס את הנוזקה לתוכנת Orion. ההאקרים נותרו נסתרים, והסירו את הנוזקה ב-4 ביוני 2020".

לדברי המנכ"ל, מיוני 2020 ועד היום, החברה חקרה פגיעויות שונות בפלטפורמת Orion שלה ויזמה את תיקונן. עם זאת, ציין, "לא זיהינו את הפגיעות SUNBURST עד דצמבר. אז קווין מנדיה, מנכ"ל פייראיי (Fireye) (שנפגעה אף היא וחשפה את מתקפת הענק בפומבי, י.ה.), סיפר לי על הדלת האחורית". לדבריו, "החשש שלנו הוא שכרגע, תהליכים דומים עלולים להתקיים בסביבות פיתוח תוכנה בחברות אחרות ברחבי העולם. החומרה והמורכבות של מתקפה זו לימדו אותנו, כי מאבק יעיל יותר בהתקפות דומות בעתיד ידרוש גישה של שותפויות בין ארגוני ממשל וחברות מהמגזר הפרטי".

ראמאקרישנה נכנס לתפקידו בתחילת החודש הזה, וכבר עם היכנסו לתפקיד נראה שמדובר ב"מטאטא" חדש. בניגוד לקודמו לתפקיד, קווין תומפסון, שבהשכלתו הוא רואה חשבון, ואשר ניהל את החברה מ-2010 ועד דצמבר 2020, הרי שראמאקרישנה מגיע עם רקע באבטחת מידע: בתפקידו האחרון שימש כמנכ"ל פולס סקיור (Pulse Secure). סולארווינדס מיוצגת בישראל על ידי פרולוג'יק (Prologic) בניהולו של ליאור לוי. בחמש השנים שבהן שימש ראמאקרישנה כמנכ"ל פולס סקיור הוא צבר ניסיון בהתנהלות עם האקרים, שניצלו פרצה מוכרת ברשת ה-VPN של החברה וביצעו באמצעותה מתקפת כופרה נגד החברה. "הניסיון הזה לימד אותי להוביל את התהליכים הללו מתוך ענווה, אחריות, שקיפות, פרואקטיביות ודבקות בשמירה על לקוחות החברה". מוקדם יותר החודש הוא כתב, כי "למרות שהסכמתי לקבל את תפקיד המנכ"ל עוד קודם שנודעה המתקפה, הרי שאני חש מחויבות, אפילו גדולה יותר, לנקוט פעולה, להבטיח שאנו לומדים מההתנסות הזאת, וממשיכים לספק שירות ללקוחותינו".

הוא סיים את דבריו בהצגת השינויים הקריטיים שבכוונתו לבצע כדי לשים דגש מחודש על תחום אבטחת הסייבר: מינוף ושימוש בכלי צד ג' כדי להרחיב את ניתוח אבטחת המידע של קוד המקור לתוכנת Orion, גם מוצרים נוספים; הרחבת מערך ניהול החולשות במערכות הארגוניות, כדי להפחית את הזמן הממוצע עד לביצוע הטלאה שלהן; ביצוע בדיקות חדירה מקיפות של מוצרי Orion ומוצרים נוספים, על מנת לאתר בעיות ולטפל בהן בדחיפות; הוספת בדיקות אוטומטיות וידניות על מנת להבטיח שגירסאות שעברו ההדרה תהיינה זהות לקוד המקור של החברה; רישום מחדש של האישורים הדיגיטליים של כלל תוכנות החברה; חיזוק סביבות פיתוח המוצרים של החברה, כדי לאתר את הסיבות המהותיות לפריצה וביצע תיקונים; מעבר לסביבת פיתוח חדשה, שתאפשר בקרת גישה הדוקה יותר ופריסת מנגנונים שיאפשרו ליצור גירסאות הפצה ממספר רב של מקורות פיתוח; תעדוף של ההגנה על הסביבות הפנימיות שלה, כנדבך מרכזי בתורת ההפעלה של החברה; פריסת תוכנות הגנה ואיתור איומים בכל נקודות הקצה של הרשת הארגונית, בדגש מיוחד על סביבות הפיתוח.

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. סמי

    את הדבר הכי חשוב לא אמר... נטילת אחריות של ההנהלה והדירקטוריון לנושא ההגנה בסייבר, והעלאה משמעותית של התקציב (שבהתאם לפרסומים שונים שקוצץ משמעותית על מנת להראות רווחיות)

אירועים קרובים