ศัตรูที่อยู่เบื้องหลังการละเมิดของ SolarWinds พยายามอย่างมากที่จะไม่ถูกตรวจพบในเครือข่ายที่ได้รับผลกระทบ ซึ่งน่าจะใช้เงินหลายล้านดอลลาร์และเวลาหลายพันชั่วโมงเพื่อดึงการประนีประนอมของห่วงโซ่อุปทานที่ซับซ้อนนี้ในขณะที่ผลกระทบของเหตุการณ์ SolarWinds จะไม่ง่ายสำหรับผู้กระทำการของรัฐชาติที่คิดร้ายรายอื่นที่จะทำซ้ำ เมื่อพิจารณาจากทรัพยากรที่เข้าไปเกี่ยวข้อง Jay Gazlay นักยุทธศาสตร์ด้านเทคนิคของ Cybersecurity and Infrastructure Security Agency กล่าวว่าการแสวงประโยชน์จากการตรวจสอบของฝ่ายตรงข้าม ข้อมูลรับรองควรเป็นสาเหตุของการเตือนภัยและก่อให้เกิดการควบคุมตัวตนที่เข้มงวดขึ้นในรัฐบาลกลาง
“สิ่งที่ได้จากสิ่งนี้ในพื้นที่ของ CISA คือตัวตนคือทุกสิ่งในตอนนี้
เราสามารถพูดคุยเกี่ยวกับการป้องกันเครือข่ายของเรา เราสามารถพูดคุยเกี่ยวกับความสำคัญของไฟร์วอลล์และการแบ่งส่วนเครือข่าย แต่จริงๆ แล้ว ตัวตนได้กลายเป็นขอบเขต และเราจำเป็นต้องเริ่มแก้ไขโครงสร้างพื้นฐานของเราในลักษณะนั้น” Gazlay กล่าวกับสมาชิกของ National Institute of คณะกรรมการที่ปรึกษาความปลอดภัยข้อมูลและความเป็นส่วนตัวของมาตรฐานและเทคโนโลยี
Gazlay กล่าวว่าเป้าหมาย SolarWinds ไม่กี่ราย (ถ้ามี) อยู่ในตำแหน่งที่สามารถตรวจจับการประนีประนอมที่ซับซ้อนนี้ได้ แต่ผู้ที่มีภาพที่ดีที่สุดในการตรวจจับกิจกรรมที่ผิดปกติคือหน่วยงานที่มีเทคนิคการวิเคราะห์พฤติกรรมที่สร้างขึ้นในการจัดการข้อมูลประจำตัวของพวกเขา ซึ่งสามารถตั้งค่าสถานะ “การเข้าสู่ระบบที่เป็นไปไม่ได้” ซึ่งเป็นสถานการณ์ที่มีการใช้ข้อมูลประจำตัวชุดเดียวกันในการเข้าสู่ระบบในหลายที่ทั่วโลก
ข้อมูลเชิงลึกโดย Sumo Logic: ในการสัมมนาทางเว็บฉบับพิเศษของ Ask the CIO เจสัน มิลเลอร์และแขกรับเชิญของเขา เจฟฟ์ ชิลลิงจากสถาบันมะเร็งแห่งชาติและจอร์จ เกอร์โชวแห่งซูโมลอจิกจะเจาะลึกว่าการจัดการข้อมูลและระบบคลาวด์ขับเคลื่อนกลยุทธ์การปรับปรุงไอทีให้ทันสมัยที่ National Cancer ได้อย่างไร สถาบัน.
“ไม่ใช่ทุกคนที่พร้อมจะเห็นสิ่งนั้น และหากเราไม่เตรียมพร้อม
ที่จะทำเช่นนั้น เราจะไม่สังเกตเห็นการโจมตีที่แอบอ้างเป็นผู้ใช้เหล่านี้ซึ่งกลายเป็นการเข้มงวดสำหรับศัตรูของเรา” เขากล่าวในการประชุมเมื่อสัปดาห์ที่แล้ว
แทบจะไม่ใช่ครั้งแรกที่รัฐบาลกลางต้องทบทวนกลยุทธ์เบื้องหลังการป้องกันทางไซเบอร์ในช่วงไม่กี่ปีที่ผ่านมา ผลที่ตามมาของการละเมิดการจัดการบุคลากรของสำนักงานในปี 2558 Gazlay กล่าวว่าหน่วยงานต่าง ๆ หันมาปกป้อง “มงกุฎเพชร” ภายในโครงสร้างพื้นฐานเครือข่ายของพวกเขา
แต่ในช่วงเวลาเดียวกัน ศัตรูก็เปลี่ยนกลยุทธ์เช่นกัน
“แทนที่จะดำเนินการตามการถือครองข้อมูลเหล่านี้ พวกเขากำลังดำเนินการตามข้อมูลประจำตัวที่ทำให้พวกเขาเข้าถึงการถือครองข้อมูลทั้งหมด ซึ่งเป็นแคมเปญที่กว้างกว่ามาก นั่นทำให้ระบบการจัดการความน่าเชื่อถือและการจัดการข้อมูลประจำตัวมีผลกระทบมากขึ้นและมีเป้าหมายที่สูงกว่ามาก เมื่อเราย้ายเข้าสู่โครงสร้างพื้นฐานระบบคลาวด์ซึ่งสิ่งที่สำคัญคือความคาดหวังว่าคุณเป็นอย่างที่คุณพูด เพื่อเข้าถึงโครงสร้างพื้นฐานระบบคลาวด์ สิ่งนี้จะกลายเป็นอันตรายมากยิ่งขึ้น” เขากล่าว
นับตั้งแต่การละเมิด OPM ในปี 2558 หน่วยงานต่าง ๆ ได้ย้ายทรัพย์สินของตนไปยังโครงสร้างพื้นฐานระบบคลาวด์ที่โฮสต์มากขึ้น ซึ่งเพิ่มเดิมพันเพื่อเสริมสร้างการยืนยันตัวตนในรัฐบาล
“หากเราไม่เอาใจใส่อย่างแท้จริงกับวิธีการตรวจสอบและจัดการโครงสร้างข้อมูลประจำตัวของเรา เราจะไม่สามารถต่อสู้กับผู้คุกคามที่มีความซับซ้อนได้” Gazlay กล่าว
เพื่อให้ทันกับขอบเขตของภัยคุกคามทางไซเบอร์ เช่น การโจมตีแบบ “สเปรย์ใส่รหัสผ่าน” ที่เพิ่มขึ้น Gazlay กล่าวว่าหน่วยงานต่างๆ และเจ้าของภาคเอกชนของโครงสร้างพื้นฐานที่สำคัญระดับชาติที่ CISA ปกป้องนั้นจำเป็นต้องทำให้การป้องกันเครือข่ายเป็นไปโดยอัตโนมัติ
“การขอให้ผู้คนแยกแยะ [ตัวบ่งชี้ของการประนีประนอม] เป็นคำถามที่ยากมาก การให้เครื่องมือแก่ใครสักคนที่พวกเขาสามารถคลิกเพียงครั้งเดียวน่าจะสมเหตุสมผลกว่า โดยเฉพาะอย่างยิ่งเมื่อเรามองหาการปกป้องโครงสร้างพื้นฐานที่สำคัญ ซึ่งไม่ซับซ้อนอย่างแน่นอนในลักษณะเดียวกับที่องค์กรขนาดใหญ่ของรัฐบาลกลางบางแห่งเป็น” Gazlay กล่าว
เพื่อป้องกันภัยคุกคามเหล่านี้ Gazlay กล่าวว่าผู้ขายควรใช้โปรแกรมอย่างแพร่หลายมากขึ้น เช่นNational Checklist Repository ของ NISTซึ่งมีข้อมูลการกำหนดค่าความปลอดภัยสำหรับผลิตภัณฑ์ไอทีเฉพาะ
