หน่วยงานต่าง ๆ พยายามดิ้นรนเพื่อยึดเกาะหลัง SolarWinds แฮ็ค

หน่วยงานต่าง ๆ พยายามดิ้นรนเพื่อยึดเกาะหลัง SolarWinds แฮ็ค

ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน  Apple Podcasts  หรือ  PodcastOneเป็นการยากที่จะบอกได้ แต่เป็นไปได้ว่าเกิดการแย่งชิงอย่างบ้าคลั่งระหว่างเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐบาลกลาง เนื่องจากขอบเขตของการแฮ็ค SolarWinds นั้นชัดเจนมากขึ้น สำหรับสถานการณ์ที่เป็นไปได้มากขึ้นFederal Drive กับ Tom Temin หันไปหาอดีตหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ National Security Agency ซึ่งตอนนี้กับ Chris Kubic ของ Fidelis Cybersecurity

ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ ผู้ดำเนินรายการ Jared Serbu

 จะหารือเกี่ยวกับกลยุทธ์การปรับให้ทันสมัยทางดิจิทัลกับ DoD และผู้เชี่ยวชาญในอุตสาหกรรม

ทอม เทมิน:คุณคูบิก ยินดีที่ได้ร่วมงานคริส คูบิก: สวัสดีตอนเช้า และดีใจที่ได้อยู่กับคุณในวันนี้

ทอม เทมิน:และผมจะถามคำถาม ซึ่งคุณอาจจะตอบหรือไม่ตอบก็ได้ แต่คุณรู้ไหมว่าเมื่อสองสามปีก่อน NSA สูญเสียเครื่องมือแฮ็กบางตัวที่ใช้ในการสืบสวนและการรวบรวมข่าวกรองอะไรก็ตาม มีความรู้สึกไหมว่านี่เป็นหลักฐานว่าเครื่องมือเหล่านั้นถูกใช้โดยผู้คนที่นำพวกมันออกไปในป่า?

คริส คูบิก: อย่างที่คุณพูดไปแล้ว นั่นไม่ใช่สิ่งที่ฉันสามารถแสดงความคิดเห็นได้ในวันนี้

ทอม เทมิน:เอาล่ะ คุณเคยเป็นอดีต NSA นั่นแหละคือแนวทาง เอาตัวเองกลับไปทำงานเก่าในฐานะหน่วยงานรัฐบาลกลาง เจ้าหน้าที่รักษาความปลอดภัยทางไซเบอร์ และคุณคิดว่ามีปฏิกิริยาอย่างไร? และผู้คนทำอะไรเป็นอย่างแรกเมื่อได้ยินเรื่องนี้?

คริส คูบิก: ลำดับแรกของธุรกิจคือการพิจารณาว่าเครือข่ายของแผนกหรือหน่วยงานใดถูกบุกรุกหรือไม่ ดังนั้นจะมีความพยายามอย่างมากที่จะทำขั้นตอนการค้นพบและประเมินความเสียหายนั้นจริงๆ เพื่อทำความเข้าใจว่าสิ่งเหล่านี้อยู่ในขอบเขตของการโจมตีเฉพาะนี้หรือไม่ และจากจุดนั้น จะเป็นตัวกำหนดว่าขั้นตอนต่อไปของพวกเขาจะเป็นอย่างไร

Tom Temin:ฉันหมายถึง บางหน่วยงานรู้ว่าพวกเขาถูกโจมตี 

แต่เป็นไปได้ไหมว่าแม้แต่สองสามสัปดาห์หลังจากเรารู้เรื่องนี้ พวกเขากลับไม่รู้เลย? และต้องใช้เวลาไหมในการค้นหาทั้งหมดที่จำเป็น เนื่องจากความซับซ้อนของระบบทุกวันนี้

คริส คูบิก: ใช่ ฉันคิดว่าสิ่งที่คุณพูดถึงนั้นตรงประเด็น ต้องใช้เวลาพอสมควรในการแยกแยะว่าใครถูกบุกรุก ฉันหมายความว่า เราทราบดีว่าผู้ที่ใช้ซอฟต์แวร์ SolarWinds ซึ่งเป็นส่วนหนึ่งของการโจมตีห่วงโซ่อุปทานจะอยู่ในขอบเขต และจำเป็นต้องกังวลอย่างแน่นอน แต่คุณรู้ไหม เรายังไม่รู้รายละเอียดทั้งหมด ดังนั้น อาจมีการโจมตีอื่นๆ อีก วิธีอื่นๆ ที่ผู้โจมตีเข้าถึงได้ และเมื่อเราค้นพบสิ่งเหล่านั้น สิ่งเหล่านั้นสามารถขยายขอบเขตของสิ่งนี้ได้อย่างแน่นอน แต่แน่นอนว่าคนที่ใช้ SolarWinds จำเป็นต้องเจาะลึก แต่คุณพูดถึงประเด็นสำคัญอีกประการหนึ่งคือความซับซ้อนของเครือข่าย เครือข่ายเชื่อมต่อถึงกัน ดังนั้นศัตรู ผู้โจมตีสามารถข้ามไปมาระหว่างเครือข่ายได้อย่างแน่นอน พวกเขามีความสามารถและเทคนิคในการทำเช่นนั้น ดังนั้น เพียงเพราะคุณไม่ได้ใช้ SolarWinds ก็ไม่ได้หมายความว่าคุณจะไม่ถูกโจมตี นั่นคืองานละเอียดที่ต้องทำเพื่อเจาะลึก ทำการวิเคราะห์ ทำความเข้าใจว่าระบบใดถูกบุกรุกโดยผู้โจมตี และทำความเข้าใจขอบเขตของการโจมตีทั้งหมด

Tom Temin:แล้วคนอื่นจะรู้ได้อย่างไรว่าควรมองหาอะไร? เนื่องจากบ่อยครั้งที่ชิ้นส่วนของมัลแวร์เหล่านี้เป็นโค้ดขนาดเล็กมาก และอาจหาได้ยากในสแต็คและสแต็คของซอฟต์แวร์ที่ทำงานอยู่ทั่วทุกแห่ง?

คริส คูบิก: มีสองคำตอบสำหรับสิ่งนั้น: ประการแรก เราได้เรียนรู้มากมายจากสิ่งที่ FireEye ได้โพสต์ต่อสาธารณะถึงเทคนิคการโจมตีต่างๆ ที่ผู้โจมตีใช้ และเรารู้อย่างแน่นอนว่า SolarWinds เป็นเวกเตอร์การโจมตี แน่นอนว่าต้องมองหาหลักฐานว่ามีการใช้เทคนิคการโจมตีแบบเดียวกับที่เรามีลายเซ็นอยู่แล้ว นั่นเป็นเคล็ดลับว่าศัตรูอยู่ในเครือข่ายของคุณ แต่คุณรู้ไหมว่ายังมีเทคนิคทางนิติวิทยาศาสตร์ขั้นสูงที่สามารถใช้เพื่อเจาะลึกและค้นหาหลักฐานว่าระบบได้รับความเสียหาย แต่คุณรู้ไหม มันจะเป็นความท้าทายสำหรับคนทั่วไป เพราะผู้โจมตีใช้กลวิธีที่ดีมาก พวกเขาระมัดระวังอย่างมากในการโจมตีระบบ ดังนั้นพวกเขาจึงไม่ได้ทิ้งเกล็ดขนมปังไว้เบื้องหลังมากนัก

credit : เว็บสล็อตแท้