ศัตรูที่อยู่เบื้องหลังการละเมิดของ SolarWinds พยายามอย่างมากที่จะไม่ถูกตรวจพบในเครือข่ายที่ได้รับผลกระทบ ซึ่งน่าจะใช้เงินหลายล้านดอลลาร์และเวลาหลายพันชั่วโมงเพื่อดึงการประนีประนอมของห่วงโซ่อุปทานที่ซับซ้อนนี้ในขณะที่ผลกระทบของเหตุการณ์ SolarWinds จะไม่ง่ายสำหรับผู้กระทำการของรัฐชาติที่คิดร้ายรายอื่นที่จะทำซ้ำ เมื่อพิจารณาจากทรัพยากรที่เข้าไปเกี่ยวข้อง Jay Gazlay นักยุทธศาสตร์ด้านเทคนิคของ Cybersecurity and Infrastructure Security Agency กล่าวว่าการแสวงประโยชน์จากการตรวจสอบของฝ่ายตรงข้าม ข้อมูลรับรองควรเป็นสาเหตุของการเตือนภัยและก่อให้เกิดการควบคุมตัวตนที่เข้มงวดขึ้นในรัฐบาลกลาง
“สิ่งที่ได้จากสิ่งนี้ในพื้นที่ของ CISA คือตัวตนคือทุกสิ่งในตอนนี้
เราสามารถพูดคุยเกี่ยวกับการป้องกันเครือข่ายของเรา เราสามารถพูดคุยเกี่ยวกับความสำคัญของไฟร์วอลล์และการแบ่งส่วนเครือข่าย แต่จริงๆ แล้ว ตัวตนได้กลายเป็นขอบเขต และเราจำเป็นต้องเริ่มแก้ไขโครงสร้างพื้นฐานของเราในลักษณะนั้น” Gazlay กล่าวกับสมาชิกของ National Institute of คณะกรรมการที่ปรึกษาความปลอดภัยข้อมูลและความเป็นส่วนตัวของมาตรฐานและเทคโนโลยี
Gazlay กล่าวว่าเป้าหมาย SolarWinds ไม่กี่ราย (ถ้ามี) อยู่ในตำแหน่งที่สามารถตรวจจับการประนีประนอมที่ซับซ้อนนี้ได้ แต่ผู้ที่มีภาพที่ดีที่สุดในการตรวจจับกิจกรรมที่ผิดปกติคือหน่วยงานที่มีเทคนิคการวิเคราะห์พฤติกรรมที่สร้างขึ้นในการจัดการข้อมูลประจำตัวของพวกเขา ซึ่งสามารถตั้งค่าสถานะ “การเข้าสู่ระบบที่เป็นไปไม่ได้” ซึ่งเป็นสถานการณ์ที่มีการใช้ข้อมูลประจำตัวชุดเดียวกันในการเข้าสู่ระบบในหลายที่ทั่วโลก
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
“ไม่ใช่ทุกคนที่พร้อมจะเห็นสิ่งนั้น และหากเราไม่เตรียมพร้อมที่จะทำเช่นนั้น เราจะไม่สังเกตเห็นการโจมตีที่แอบอ้างเป็นผู้ใช้เหล่านี้ซึ่งกลายเป็นการเข้มงวดสำหรับศัตรูของเรา” เขากล่าวในการประชุมเมื่อสัปดาห์ที่แล้ว
แทบจะไม่ใช่ครั้งแรกที่รัฐบาลกลางต้องทบทวนกลยุทธ์เบื้องหลังการป้องกันทาง
ไซเบอร์ในช่วงไม่กี่ปีที่ผ่านมา ผลที่ตามมาของการละเมิดการจัดการบุคลากรของสำนักงานในปี 2558 Gazlay กล่าวว่าหน่วยงานต่าง ๆ หันมาปกป้อง “มงกุฎเพชร” ภายในโครงสร้างพื้นฐานเครือข่ายของพวกเขา
แต่ในช่วงเวลาเดียวกัน ศัตรูก็เปลี่ยนกลยุทธ์เช่นกัน“แทนที่จะดำเนินการตามการถือครองข้อมูลเหล่านี้ พวกเขากำลังดำเนินการตามข้อมูลประจำตัวที่ทำให้พวกเขาเข้าถึงการถือครองข้อมูลทั้งหมด ซึ่งเป็นแคมเปญที่กว้างกว่ามาก นั่นทำให้ระบบการจัดการความน่าเชื่อถือและการจัดการข้อมูลประจำตัวมีผลกระทบมากขึ้นและมีเป้าหมายที่สูงกว่ามาก เมื่อเราย้ายเข้าสู่โครงสร้างพื้นฐานระบบคลาวด์ซึ่งสิ่งที่สำคัญคือความคาดหวังว่าคุณเป็นอย่างที่คุณพูด เพื่อเข้าถึงโครงสร้างพื้นฐานระบบคลาวด์ สิ่งนี้จะกลายเป็นอันตรายมากยิ่งขึ้น” เขากล่าว
นับตั้งแต่การละเมิด OPM ในปี 2558 หน่วยงานต่าง ๆ ได้ย้ายทรัพย์สินของตนไปยังโครงสร้างพื้นฐานระบบคลาวด์ที่โฮสต์มากขึ้น ซึ่งเพิ่มเดิมพันเพื่อเสริมสร้างการยืนยันตัวตนในรัฐบาล
“หากเราไม่เอาใจใส่อย่างแท้จริงกับวิธีการตรวจสอบและจัดการโครงสร้างข้อมูลประจำตัวของเรา เราจะไม่สามารถต่อสู้กับผู้คุกคามที่มีความซับซ้อนได้” Gazlay กล่าว
เพื่อให้ทันกับขอบเขตของภัยคุกคามทางไซเบอร์ เช่น การโจมตีแบบ “สเปรย์ใส่รหัสผ่าน” ที่เพิ่มขึ้น Gazlay กล่าวว่าหน่วยงานต่างๆ และเจ้าของภาคเอกชนของโครงสร้างพื้นฐานที่สำคัญระดับชาติที่ CISA ปกป้องนั้นจำเป็นต้องทำให้การป้องกันเครือข่ายเป็นไปโดยอัตโนมัติ
“การขอให้ผู้คนแยกแยะ [ตัวบ่งชี้ของการประนีประนอม] เป็นคำถามที่ยากมาก การให้เครื่องมือแก่ใครสักคนที่พวกเขาสามารถคลิกเพียงครั้งเดียวน่าจะสมเหตุสมผลกว่า โดยเฉพาะอย่างยิ่งเมื่อเรามองหาการปกป้องโครงสร้างพื้นฐานที่สำคัญ ซึ่งไม่ซับซ้อนอย่างแน่นอนในลักษณะเดียวกับที่องค์กรขนาดใหญ่ของรัฐบาลกลางบางแห่งเป็น” Gazlay กล่าว
credit : ยูฟ่าสล็อต