يثبت اختراق SolarWinds أن الدفاعات الإلكترونية الأمريكية في حالة من الفوضى – وإليك كيفية إصلاحها

11

ال اختراق SolarWinds كانت أكثر من مجرد واحدة من أكثر الهجمات الإلكترونية تدميراً في التاريخ. كانت انتهاك جسيم للأمن القومي التي كشفت عن ثغرات في الدفاعات الإلكترونية الأمريكية.

تشمل هذه الثغرات الأمن غير الكافي من قبل منتج برمجيات رئيسي ، وسلطة مجزأة للدعم الحكومي للقطاع الخاص ، ونقص وطني في مهارات البرمجيات والأمن السيبراني. لا يمكن سد أي من هذه الفجوات بسهولة ، لكن نطاق وتأثير هجوم SolarWinds يظهر مدى أهميتها للأمن القومي للولايات المتحدة.

ال خرق SolarWinds، من المحتمل أن يتم تنفيذها بواسطة أ مجموعة تابعة لجهاز الأمن FSB الروسي، تعرض للخطر سلسلة توريد تطوير البرامج التي تستخدمها SolarWinds لتحديث 18000 مستخدم لمنتج إدارة شبكة Orion الخاص بها. الاختراق ، الذي يُزعم أنه بدأ في أوائل عام 2020 ، تم اكتشافه فقط في ديسمبر عندما شركة الأمن السيبراني كشفت FireEye أنه قد أصابته البرمجيات الخبيثة. أكثر إثارة للقلق ، قد يكون هذا جزء من هجوم أوسع على الأهداف الحكومية والتجارية في الولايات المتحدة

سلاسل التوريد ، وقلة الأمن ، ونقص في المواهب

إن ضعف سلسلة توريد البرمجيات – مجموعات مكونات البرامج وخدمات تطوير البرامج التي تستخدمها الشركات لبناء منتجات برمجية – هي مشكلة معروفة في مجال الأمان. رداً على عام 2017 أمر تنفيذي، أ تقرير فريق عمل مشترك بين الوكالات بقيادة وزارة الدفاع حددت “مستوى مدهشًا من الاعتماد على الأجانب” ، وتحديات القوى العاملة ، والقدرات الحاسمة مثل تصنيع لوحات الدوائر المطبوعة التي تتحرك بها الشركات إلى الخارج سعياً وراء أسعار تنافسية. كل هذه العوامل لعبت دورها في هجوم SolarWinds.

https://www.youtube.com/watch؟v=ljT4AcCza9Q

SolarWinds ، مدفوعة بإستراتيجيتها وخططها للنمو فصل أعمال مزود الخدمة المدارة في عام 2021 يتحمل الكثير من المسؤولية عن الضرر ، وفقًا لخبراء الأمن السيبراني. أعتقد أن الشركة تعرض نفسها للخطر من خلال الاستعانة بمصادر خارجية لتطوير برامجها إلى أوروبا الشرقية، بما في ذلك شركة في بيلاروسيا. من المعروف أن العملاء الروس يستخدمون شركات في دول الأقمار الصناعية السوفيتية السابقة لإدخال برامج ضارة في سلاسل توريد البرمجيات. استخدمت روسيا هذه التقنية في عام 2017 هجوم NotPetya التي تكلف الشركات العالمية أكثر من 10 مليارات دولار أمريكي.

سولارويندز أيضا فشل في ممارسة النظافة الأساسية للأمن السيبرانيوفقًا لباحث الأمن السيبراني.
ذكر فينوث كومار أن الـ كلمه السر بالنسبة لخادم تطوير شركة البرمجيات ، يُزعم أنه “solarwinds123” ، وهو انتهاك صارخ للمعايير الأساسية للأمن السيبراني. تعد إدارة كلمات المرور غير المتقنة الخاصة بـ SolarWinds أمرًا مثيرًا للسخرية في ضوء حل إدارة كلمات المرور لهذا العام الجائزة التي حصلت عليها الشركة في عام 2019 لمنتج Passportal.

في مشاركة مدونة، اعترفت الشركة بأن “المهاجمين تمكنوا من التحايل على تقنيات الكشف عن التهديدات التي تستخدمها كل من SolarWinds والشركات الخاصة الأخرى والحكومة الفيدرالية.”

السؤال الأكبر هو لماذا اضطرت شركة SolarWinds الأمريكية ، إلى اللجوء إلى مزودين أجانب لتطوير البرمجيات. وزارة الدفاع تقرير عن سلاسل التوريد يصف نقص مهندسي البرمجيات بأنه أزمة ، ويرجع ذلك جزئيًا إلى أن خط أنابيب التعليم لا يوفر ما يكفي من مهندسي البرمجيات لتلبية الطلب في قطاعي التجارة والدفاع.

هناك أيضًا نقص في موهبة الأمن السيبراني في الولايات المتحدة ، يعد المهندسون ومطورو البرامج ومهندسو الشبكات من بين أكثر المهارات المطلوبة في جميع أنحاء الولايات المتحدة، ونقص مهندسي البرمجيات الذين يركزون على أمن البرمجيات ، على وجه الخصوص ، أمر حاد.

سلطة مجزأة

على الرغم من أنني أزعم أن SolarWinds لديها الكثير للإجابة عنه ، إلا أنه لا ينبغي أن تضطر للدفاع عن نفسها ضد a الدولة المدبرة هجوم إلكتروني من تلقاء نفسه. ال 2018 الاستراتيجية السيبرانية الوطنية يصف كيفية عمل أمان سلسلة التوريد. تحدد الحكومة أمن المتعاقدين الفيدراليين مثل SolarWinds من خلال مراجعة استراتيجيات إدارة المخاطر الخاصة بهم ، والتأكد من أنهم على علم بالتهديدات ونقاط الضعف ، والاستجابة للحوادث على أنظمتهم.

ومع ذلك ، قسمت هذه الإستراتيجية الرسمية هذه المسؤوليات بين وزارة الدفاع لأنظمة الدفاع والاستخبارات ووزارة الأمن الداخلي للوكالات المدنية ، واستمرار نهج مجزأ لأمن المعلومات الذي بدأ في عهد ريغان. تنفيذ الاستراتيجية يعتمد على وزارة الدفاع القيادة الإلكترونية الأمريكية و DHS وكالة الأمن السيبراني والبنية التحتية. وزارة الدفاع إستراتيجية هو “الدفاع إلى الأمام”: أي تعطيل النشاط السيبراني الضار من مصدره ، والذي أثبت فعاليته في الاستعداد للانتخابات النصفية 2018. وكالة الأمن السيبراني والبنية التحتية ، التي تأسست في عام 2018 ، هي المسؤولة عن توفير المعلومات حول التهديدات التي يتعرض لها قطاعات البنية التحتية الحيوية.

لا يبدو أن أي من الوكالتين قد أطلقت تحذيرًا أو حاولت التخفيف من الهجوم على SolarWinds. جاء رد الحكومة بعد الهجوم فقط. أصدرت وكالة الأمن السيبراني والبنية التحتية التنبيهات والإرشادات، وأ مجموعة التنسيق السيبراني الموحد لتسهيل التنسيق بين الوكالات الاتحادية.

على الرغم من أن هذه الإجراءات التكتيكية مفيدة ، إلا أنها لم تكن سوى حل جزئي للمشكلة الاستراتيجية الأكبر. يعد تجزئة السلطات الخاصة بالدفاع السيبراني الوطني الواضح في اختراق SolarWinds نقطة ضعف إستراتيجية تزيد من تعقيد الأمن السيبراني للحكومة والقطاع الخاص وتدعو إلى مزيد من الهجمات على سلسلة توريد البرمجيات.

مشكلة شريرة

الدفاع الإلكتروني الوطني هو مثال على “مشكلة الشريرة، وهي مشكلة سياسية ليس لها حل واضح أو مقياس للنجاح. ال لجنة الفضاء السيبراني سولاريوم حددت العديد من أوجه القصور في الدفاعات الإلكترونية الوطنية الأمريكية. في تقريرها لعام 2020 ، أشارت اللجنة إلى أنه “لا توجد حتى الآن وحدة واضحة للجهود أو نظرية النصر التي تقود نهج الحكومة الفيدرالية لحماية وتأمين الفضاء الإلكتروني”.

تكمن العديد من العوامل التي تجعل تطوير دفاع إلكتروني مركزي وطني صعبًا خارج سيطرة الحكومة المباشرة. على سبيل المثال ، تدفع القوى الاقتصادية شركات التكنولوجيا لتسويق منتجاتها بسرعة ، مما قد يقودهم إلى اتباع طرق مختصرة تقوض الأمن. التشريع على غرار قانون غرام-ليتش-بليلي تم تمريره في عام 1999 يمكن أن يساعد في التعامل مع الحاجة إلى السرعة في تطوير البرمجيات. وضع القانون متطلبات الأمن على المؤسسات المالية. لكن من المرجح أن تقاوم شركات تطوير البرمجيات المزيد من التنظيم والرقابة.

يبدو أن إدارة بايدن تأخذ التحدي على محمل الجد. عين الرئيس أ مدير الأمن السيبراني الوطني لتنسيق الجهود الحكومية ذات الصلة. يبقى أن نرى ما إذا كانت الإدارة ستعالج مشكلة السلطات المجزأة وكيف ستعمل على ذلك وتوضح كيف ستحمي الحكومة الشركات التي توفر البنية التحتية الرقمية الحيوية. من غير المعقول توقع أن تكون أي شركة أمريكية قادرة على الدفاع عن نفسها ضد أي هجوم إلكتروني من دولة أجنبية.

خطوات إلى الأمام

في غضون ذلك ، يمكن لمطوري البرامج تطبيق نهج تطوير البرمجيات الآمنة دعا إليه المعهد الوطني للمعايير والتكنولوجيا. يمكن للحكومة والصناعة إعطاء الأولوية لتطوير الذكاء الاصطناعي الذي يمكنه تحديد البرامج الضارة في الأنظمة الحالية. كل هذا يستغرق وقتًا ، ويتحرك المتسللون بسرعة.

أخيرًا ، تحتاج الشركات إلى تقييم نقاط ضعفها بقوة ، لا سيما من خلال الانخراط في المزيد ”فريق الأحمر“الأنشطة: أي أن يلعب الموظفون أو المقاولون أو كلاهما دور المتسللين ويهاجمون الشركة.

إن إدراك أن المتسللين الذين يعملون في خدمة الأعداء الأجانب مكرسون وشاملون ولا يمنعون من التعليق أمر مهم لتوقع تحركاتهم التالية وتعزيز الدفاعات السيبرانية الوطنية الأمريكية وتحسينها. خلاف ذلك ، من غير المرجح أن تكون SolarWinds هي الضحية الأخيرة لهجوم كبير على سلسلة توريد البرمجيات الأمريكية.

هذا المقال من قبل تيري طومسون، مدرس مساعد في الأمن السيبراني ، جامعة جونز هوبكنز تم إعادة نشره من المحادثة بموجب رخصة المشاع الإبداعي. إقرأ ال المقالة الأصلية.