软件目录(www.cnosoft.com)5月28日讯在2020年十二月的一天夜里,我正与一家人共度一次生日,” SudhakarRamakrishna接到一通公司的律师打来的电话,说公司收到了一个警告,说有一个黑客入侵了 SolarWinds的网站,监视着软件的建设,然后在用户安装软件前,把它植入公司的一个网络管理平台 Orion中。在该公司的300,000多个用户中,几乎有18000个用户下载和升级了 Orion,这些用户都有被恶意软件攻击的风险。
SolarWinds是一个全球性的 IT管理软件提供商,而 SudhakarRamakrishna则是该公司的董事长和首席执行官。他在五月十六日接受《经济观察》采访时,就 SolarWinds公司面临网络安全危机、危机扭转、重组业务的情况进行了总结,并表示:“自从接到这个电话后,我的经历对公司管理层来说是很有价值的。
SolarWinds遭到了一起名为“Sunburst”的黑客袭击,这是一起非常复杂的供应链袭击。SudhakarRamakrishna说,这次袭击不仅仅针对软件开发人员,也针对软件使用者。一些技术公司,如 SolarWinds,都遭到了攻击,而像 SolarWinds等技术公司则为众多生产企业提供服务,这将会使整个供应链陷入更深的困境。据卡巴斯基公司提供的资料显示,此次网络袭击对将近2000个行业造成了冲击。
对于该公司和 SudhakarRamakrishna而言,这场袭击是一个超越传统的巨大挑战。大约有100个顾客被感染,在事件后一个月内, SolarWinds的股票已经下降了50%。5个月之后,该公司的业务开始稳定,并在2022年将其顾客保留率恢复到90%。
SudhakarRamakrishna对此进行了思考。他说,在危机之后,公司应该以开放和透明的态度来对待顾客,不要想着隐瞒。在长期策略上,公司把安全视为一种投资,而不是一种成本。公司原来的组织结构发生了变化。
爆发了一场危机
SolarWinds成立于1995年,主要负责网络管理、网络监控、网络恢复。SudhakarRamakrishna在一家互联网公司工作了很多年,当他知道这次事故的时候,他正在为 SolarWinds的工作做准备。2021年一月, SudhakarRamakrishna将接替前任 CEO凯文·汤普森的位置。
据卡巴斯基公司提供的资料显示,在2000个被袭击的公司中,显示制造、工程和能源等行业的公司超过600个,占32.4%。从规模上来看,受害的公司分布在美洲,非洲和亚太地区,美国,台湾,荷兰;俄罗斯,墨西哥,智利,沙特阿拉伯,印尼,和其他国家。“我在入职的时候,还不知道有几个人是谁,听了几句话,就把原本制定的90天计划丢到了垃圾桶里。苏哈卡尔·拉马克里希纳说,第一,要搞清楚究竟是怎么回事;其次,要解决这个问题;第三,为顾客提供支持,并协助保障其环保。
在事故发生后48个小时之内,Solar-Winds将会第一时间修复他们自己的软件,并协助用户进行移植修复代码。SudhakarRamakrishna说,有些顾客被骇客入侵,因为他们是传统产业,而且都是云计算的;还有一些人处于一种对安全并不是很清楚的混合云环境中;其他的顾客缺少应对这些缺陷的技术能力和相应的技能。因此企业会把服务放在第一位,然后在发展商业上。好的一面是,许多顾客在了解了这一状况后都表达了他们的理解与支持。
据 SudhakarRamakrishna说,修复工程一直持续到2021年四月,而且之后的损失也逐渐得到了控制。
对网络安全的思考
SudhakarRamakrishna相信,由于其更加隐蔽,有些已经很久没有进行过入侵,因此能够迅速地通过供应链。有些公司在受到攻击之前并没有发现这种病毒。现在的病毒越来越难以发现和防御,很难找到并修补,从而造成了病毒的扩散。
正如一个在安全行业里很普通的玩笑,公司分为两类:被摧毁的、已知的、被摧毁的、不了解的。苏德哈卡·拉马克里什纳说,当意外发生时,企业主的本能想要隐藏和隐藏,但作为一名企业家,他会努力解决问题;首先,要加强自己的公开和透明,以一种真诚、谦虚的心态与合作伙伴交流。其实质就是重新建立与合作伙伴之间的信任,“花钱请律师和公共关系来掩饰问题,但没有任何效果,我们越是深陷泥潭;你越是想要解决问题,问题就会变得更大。”
SolarWinds在发现了这个骇客的行为之后,很快就把这个消息公布了出来。
苏达卡•拉马克里希纳的第二个思考是,把安全视为一种投资,而不是一种代价。他说,从表面上来看,对于某些传统公司而言,部署安全性的代价很高,但现在的信息环境正在发生变化;随着数据的普及,互联网、云计算的普及,当今的企业面临着多云、多云、多应用、多应用、分布式部署等多方面的挑战。我们应当将安全视为一种预防性的手段,而不是事后的救济。
“安全优先”是指在产品设计时,要把安全问题纳入到企业的战略和经营中;并有相应的安全保障。
为此, SudhakarRamakrishna提出了一种名为“SBD”的安全架构系统,即“用设计保证安全性”。特别是,要采取一套强化网络防护的安全战略,其中包括强化内部的系统和应用程序、改善软件建设过程以提高安全性;升级到更强的终端防护能力,强化数据丢失防范措施,使用零信任和最低使用权限的访问模式,强化员工的培训;限制信息技术,严格实施多种因素的认证等。
简言之,若以 SBD为架构,必须掌握三大要素:第一,基建与环保;其次是嵌入式系统的安全性,以及内建软件的安全性。
在沟通中, SudhakarRamakrishna发现,在传统商业中,根本上的改变是不够的。黑客事件让Solar-Winds公司迅速提高了人们对安全的认识,但是在这个行业中,人们对它的认识还很慢。SudhakarRamakrishna期望更多的公司能够采用 SBD原理。
每一种设计方案的制定都必须考虑到许多因素,如经济性、安全性、可靠性等,并且要权衡利弊。SudhakarRamakrishna说,网络安全就是产品的品质,就好比买或做一件商品,没有任何品质上的折扣;而且,在安全问题上,我们绝不会有任何的妥协。
在重组公司的同时,SudhakarRa-Makrishna也重新制定了公司策略。SolarWinds公司原先有一位 CIO (以下简称“CISO”),之后, SudhakarRamakrishna提高了 CISO的战略和决策权限,使其具有一套独立于其他部门的技术、工具和流程,并具有高度的自主权,能够对产品的生产、销售进行全面的检查。
比如, CISO可以通过向雇员的信箱里发送一种假的钓鱼软件来培训他们的网络钓鱼意识。CISO也会对雇员进行常规的培训,识别黑客,识别入侵者,如果发生意外,报告。
“其他行业在改革面前会表现出忧虑和怀疑,这很正常, SudhakarRamakrishna表示,作为首席执行官,他会坦率地与各个部门进行交流;争取大家对 CISO工作的支持。
