Sudhakar Ramakrishna กำลังนั่งอยู่ที่งานเลี้ยงอาหารค่ำวันเกิดกับครอบครัวของเขาเมื่อเขาได้รับโทรศัพท์: SolarWinds ประสบกับการโจมตีทางไซเบอร์ครั้งใหญ่ วันที่คือวันที่ 12 ธันวาคม 2020 และ Ramakrishna คาดว่าจะเป็น CEO ในอีกไม่กี่สัปดาห์
ขอบเขตและความรุนแรงของเหตุการณ์ไม่ชัดเจนในทันที แต่ยังต้องตัดสินใจ เขาจะละทิ้งเรือซึ่งทำให้เกิดการรั่วไหลภายใต้การนำของกัปตันคนก่อนหรือเขาจะคว้าถังแล้วเริ่มช่วยเหลือเขา?
คนสนิทที่สนิทสนมหลายคนแนะนำให้รามกฤษณะลาออก ขณะที่คนอื่นๆ เสนอแนะว่าทักษะและประสบการณ์ด้านการรักษาความปลอดภัยทางไซเบอร์ของเขาทำให้เขาเป็นบุคคลในอุดมคติที่จะเป็นผู้นำการปฏิวัติ
แม้ว่าเขาจะใช้เวลาในการพิจารณาทางเลือกต่างๆ ก็ตาม แต่ท้ายที่สุดแล้วการตัดสินใจคงอยู่ในหลักสูตรนั้นง่ายที่สุด Ramakrishna บอกกับ TechRadar Pro คณะกรรมการได้รับแจ้งว่าจะยกเลิกหากมีการตัดสินใจ SolarWinds จะได้รับประโยชน์จากความต่อเนื่อง นำบริษัทผ่านวิกฤต
ในสัปดาห์ต่อมา Ramakrishna เริ่มร่วมมือกับทีมผู้บริหารที่อยู่เบื้องหลัง สิ่งสำคัญอันดับแรกคือการค้นหาว่าเกิดอะไรขึ้นและอย่างไร และประการที่สองคือการกำหนดแผนปฏิบัติการที่ SolarWinds สามารถนำไปใช้กับลูกค้า พันธมิตร และสื่อมวลชน
“ความคิดที่ว่าอาการชักสามารถเกิดขึ้นได้กับทุกคนเริ่มแพร่หลายมากขึ้น แต่นั่นไม่ได้ทำให้คุณเลิกล้มความจริงที่ว่ามันเกิดขึ้นกับคุณ” เขากล่าว "ทุกธุรกิจจะประสบกับวิกฤตหนึ่งหรือสองครั้ง แต่วิธีการตอบสนองของผู้บริหารต่างหากที่สำคัญ"
เริ่มวุ่นวาย
การโจมตีได้เริ่มต้นขึ้นเมื่อหลายเดือนก่อน ในเดือนกันยายน 2019 เมื่อกลุ่มอาชญากรไซเบอร์ที่สงสัยว่ามีส่วนเกี่ยวข้องกับรัฐรัสเซียได้เข้าถึงเครือข่าย SolarWinds เป็นครั้งแรก
ผู้คุกคามแสดงความอดทนอย่างน่าทึ่ง โดยซ่อนตัวอยู่ในที่ที่มองเห็นได้ชัดเจนในขณะที่วาดภาพที่สมบูรณ์ของโครงสร้างพื้นฐาน SolarWinds และกระบวนการพัฒนาผลิตภัณฑ์ของบริษัท
ในบรรดาผลิตภัณฑ์ SolarWinds ต่างๆ ผู้โจมตีมีความสนใจเป็นพิเศษในบริการตรวจสอบประสิทธิภาพของคอมพิวเตอร์ที่เรียกว่า Orion ซึ่งต้องการสิทธิ์ในการเข้าถึงระบบไคลเอ็นต์เพื่อให้ทำงานได้ตามที่ตั้งใจไว้
หลังจากการทดสอบครั้งแรก แฮกเกอร์ได้แทรกมัลแวร์สายพันธุ์ที่เรียกว่า SUNBURST ลงในการอัปเดตซอฟต์แวร์ Orion ในช่วงระหว่างเดือนมีนาคมถึงมิถุนายน 2020 แพทช์ที่เป็นพิษนี้ถูกส่งไปยังลูกค้า SolarWinds ประมาณ 18 ราย ทำให้ผู้โจมตีสามารถเข้าถึงเครือข่ายของหน่วยงานราชการ บริษัทรักษาความปลอดภัยได้ไม่จำกัด และบรรษัทข้ามชาติที่กำลังดำเนินการอยู่
“อุตสาหกรรมไม่ใช่เรื่องใหม่สำหรับประเด็นด้านความปลอดภัย แต่แต่ละประเด็นก็มีจุดหักมุมและความหมายที่แตกต่างกันออกไป และนั่นก็มีความสำคัญในทางของตัวเอง” Ramakrishna กล่าว
“งานศิลปะที่ใช้ในการสร้างช่องโหว่นั้นไม่ใช่เรื่องเล็กน้อย แต่เป็นการโจมตีของซัพพลายเชน เป็นแนวคิดที่รู้จักกันดีในด้านความปลอดภัย แต่ไม่ได้รับการฝึกฝนมาเป็นอย่างดี
สิ่งที่ทำให้การโจมตีดังกล่าวยากต่อการตรวจจับ เขาอธิบายว่าผู้คุกคามจำเป็นต้องแก้ไขไฟล์เพียงไฟล์เดียวจากหลายพันไฟล์เพื่อทำการโจมตี ส่งผลให้วัตถุประสงค์จำนวนมากประนีประนอม
ในท้ายที่สุด กลุ่มได้เลือกที่จะแทรกซึมเฉพาะกลุ่มย่อยขององค์กรที่ถูกบุกรุก ซึ่งรวมถึง Microsoft, Cisco, VMware, Intel และหน่วยงานของรัฐบาลกลางสหรัฐหลายแห่ง แต่การโจมตีครั้งนี้ถือเป็นการโจมตีครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์
เมื่อบริษัทรักษาความปลอดภัย FireEye แจ้งเตือน SolarWinds ถึงเหตุการณ์ดังกล่าว ซึ่งตรวจพบกิจกรรมที่ผิดปกติในเครือข่ายของตนเอง บริษัทเข้าสู่โหมดวิกฤต และในสภาพอากาศเช่นนี้ Ramakrishna เดินผ่านประตูในวันแรกที่เขาดำรงตำแหน่ง
อย่างไรก็ตาม ในขณะที่ขวัญกำลังใจของพนักงานเป็นไปตามที่คาดไว้และการสนทนากับลูกค้าที่โกรธจัดมักจะทำได้ยาก อย่างน้อยวิกฤตการณ์นี้ก็ทำให้เป็นเวทีสำหรับรามกฤษณะที่จะพึ่งพาได้
“ในบางแง่ การเปลี่ยนแปลงในช่วงกลางของวิกฤตนั้นง่ายกว่า” เขาบอกกับเราว่า "เมื่อทุกอย่างลงตัว เกิดการต่อต้านมากมาย แต่เมื่อบริษัทตกตะลึง ผู้คนก็เปิดรับความคิดใหม่ๆ"
เมื่อวันที่ 7 มกราคม 2021 Ramakrishna เผยแพร่บล็อกโพสต์โดยสรุปสิ่งที่ได้เรียนรู้เกี่ยวกับการโจมตีจนถึงตอนนี้ โดยเสนอขั้นตอนทันทีเพื่อช่วยลูกค้าในการรับมือกับเหตุการณ์ดังกล่าว และกำหนดกรอบการทำงานใหม่เพื่อป้องกัน "การโจมตีที่คล้ายกันนี้จะไม่เกิดขึ้นอีกใน อนาคต.
ปริศนาห่วงโซ่อุปทาน
แม้ว่า SolarWinds จะสามารถฟื้นตัวได้ในช่วงสิบสองเดือนที่ผ่านมา โดยการรักษาลูกค้าตอนนี้กลับคืนสู่ระดับก่อนการโจมตี เหตุการณ์ดังกล่าวส่งผลกระทบอย่างรุนแรงต่อผลกำไรของบริษัท
แทนที่จะใช้ทรัพยากรในด้านการพัฒนาผลิตภัณฑ์ การขาย และการสร้างอุปสงค์เหมือนธุรกิจปกติ บริษัทกลับถูกบังคับให้ต้องหันหลังกลับ ชื่อเสียงของบริษัทกลับพังทลาย
Ramakrishna และทีมผู้บริหารของเขาแบ่งรายชื่อลูกค้าและเริ่มประชุมกับหลายๆ คนเป็นรายบุคคล ทั้งเพื่อขอโทษและอธิบายสิ่งที่เกิดขึ้น และเพื่อช่วยให้พวกเขาตรวจสอบว่าเครือข่ายของพวกเขาถูกแฮ็กหรือไม่
เขาอธิบายว่ามันเป็นสิ่งที่อึดอัดมากแต่เป็นส่วนสำคัญของ "กระบวนการเยียวยา" ซึ่งปูทางไปสู่การกลับมาดำเนินธุรกิจตามปกติในที่สุด
อย่างไรก็ตาม แม้จะมีผลกระทบจาก SolarWinds แต่ก็มีหลักฐานที่บ่งชี้ว่าอุตสาหกรรมความปลอดภัยทางไซเบอร์โดยรวมไม่ได้เรียนรู้บทเรียนที่ถูกต้อง นับตั้งแต่การโจมตี มีเหตุการณ์ที่มีรายละเอียดสูงที่คล้ายกันจำนวนมาก เช่น การโจมตี Kaseya, Log4j และการละเมิดความปลอดภัยของ Okta-Lapsus€ เมื่อเร็วๆ นี้
เมื่อถูกถามว่าทำไมเขาถึงคิดว่าการโจมตีของห่วงโซ่อุปทานยังคงเกิดขึ้น Ramakrishna อธิบายว่าธรรมชาติที่ไม่ปะติดปะต่อกันของการป้องกันแบบรวมหมู่ทำให้ผู้โจมตีได้เปรียบอย่างมากตั้งแต่เริ่มต้น
“มันไม่ใช่แค่ปัญหาด้านเทคโนโลยี มันยังมีอะไรอีกมากมาย” เขากล่าว “เราแต่ละคนปกป้องตนเองจากผู้รุกราน แต่ในแง่หนึ่ง มีกองทัพที่ประสานกันโดยมีวัตถุประสงค์เดียวคือโจมตี และอีกด้านหนึ่งคือกลุ่มทหารที่กระจัดกระจาย
รามกฤษณะยังวิพากษ์วิจารณ์วัฒนธรรมการแกล้งเหยื่อด้วย ซึ่งเขากล่าวว่ามีส่วนทำให้บริษัทไม่เต็มใจที่จะเปิดเผยข้อมูลที่สำคัญ
“ยังมีความละอายอยู่มากสำหรับผู้ที่ตกเป็นเหยื่อ ดังนั้นบริษัทต่างๆ มักจะจบลงด้วยการแก้ปัญหาโดยไม่พูดอะไรเกี่ยวกับเรื่องนี้ มีความลังเลที่จะพูดออกมาอย่างแน่นอน” เขาบอกกับเรา
“ในกรณีที่เกิดเหตุการณ์ขึ้น การขอความช่วยเหลือจากชุมชนเป็นสิ่งสำคัญ เราต้องทำให้ผู้คนตระหนักถึงปัญหาเร็วขึ้น สภาวะของจิตใจนี้ควรเหนือกว่าในความปลอดภัยของซอฟต์แวร์
เพื่อป้องกันการโจมตีห่วงโซ่อุปทานในระดับนี้ไม่ให้เกิดขึ้นอีก รามกฤษณะยังเชื่อว่าบริษัทต่างๆ จำเป็นต้องปรับใช้กรอบความปลอดภัยใหม่ ซึ่งเขาเรียกว่า "ปลอดภัยจากการออกแบบ"
โมเดลนี้มีสามองค์ประกอบ: ความปลอดภัยของโครงสร้างพื้นฐาน ความปลอดภัยของระบบอาคาร และการออกแบบระบบอาคารเอง แต่แนวคิดทั่วไปคือต้องเปลี่ยนพื้นผิวการโจมตีต่อไป เพื่อไม่ให้ผู้โจมตีมีเป้าหมายตายตัว และเพื่อลดโอกาสที่จะเกิดขึ้น
ด้วยเป้าหมายในใจนี้ SolarWinds ได้สร้าง "ระบบการสร้างแบบคู่ขนาน" ซึ่งซอฟต์แวร์นั้นถูกสร้างขึ้นในสามตำแหน่งแยกกัน ซึ่งสามารถเปลี่ยนแปลงได้แบบไดนามิก ผลลัพธ์ของแต่ละบิลด์จะถูกตรวจสอบเทียบกับบิลด์อื่นๆ เพื่อขจัดความไม่สอดคล้องที่อาจหักหลังการโจมตี
ในการแทรกซึมแพตช์ได้สำเร็จ ผู้โจมตีจะต้องเปิดการโจมตีสามครั้งพร้อมๆ กัน ในเวลาเดียวกัน และใช้เทคนิคเดียวกันทุกประการ
“นี่เป็นสิ่งที่ทำได้ยากมาก แม้แต่กับอาชญากรไซเบอร์ที่ยืนยงที่สุด” รามากฤษณะกล่าว
รูปลักษณ์ใหม่ของ SolarWinds
น่าแปลกที่ตอนนี้ SolarWinds ได้รับการพิจารณาให้เป็นบริษัทที่มีความปลอดภัยมากที่สุดในโลก ท้ายที่สุด ไม่มีองค์กรอื่นใดที่ต้องถูกตรวจสอบในระดับเดียวกันนับตั้งแต่มีการค้นพบการโจมตี
Ramakrisha ปฏิเสธที่จะแสดงความคิดเห็นว่าเขาเชื่อหรือไม่ว่าการกำหนดลักษณะนั้นถูกต้องหรือไม่ แต่กล่าวว่าเป็นสิ่งที่บริษัท “มุ่งมั่นที่จะทำให้เกิดขึ้น”
การดำเนินงานภายใต้การออกแบบที่ปลอดภัย SolarWinds จะมุ่งสร้างบนพื้นฐานการตรวจสอบไอที และพัฒนาเป็นบริษัทที่สามารถรองรับความต้องการไฮบริดของลูกค้า ทั้งในคลาวด์และในองค์กร
Ramakrishna สัญญาว่าระบบอัตโนมัติในระดับที่สูงขึ้นและระบบการสร้างภาพและการแก้ไขที่เหนือกว่าซึ่งจะช่วยแก้ปัญหาประเภทต่างๆที่เกิดจากการเปลี่ยนแปลงทางดิจิทัล เป้าหมายคือ "ลดความซับซ้อน ปรับปรุงประสิทธิภาพการทำงาน และลดต้นทุน" ให้กับลูกค้า
ตอนนี้แสงแดดเริ่มทะลุเมฆที่ปกคลุมบริษัทแล้ว Ramakrishna กระตือรือร้นที่จะมุ่งเน้นไปที่เป้าหมายหลักเหล่านี้ แต่เมื่อการสนทนาของเราสิ้นสุดลง เขาก็ใช้เวลาสักครู่เพื่อเตือนไม่ให้มีความพึงพอใจ:
“ไม่มีบริษัทใด ไม่ว่าจะทำอะไรก็ตาม ควรเชื่อว่ามีภูมิคุ้มกันจากการถูกโจมตี เพราะนั่นเป็นสิ่งที่ผิด” เขากล่าว