Слепое расследование?
Если по результатам расследования «признаков компрометации не обнаружено», то это стоит воспринимать буквально. Или все хорошо, или плохо искали.
С атакой на цепочку поставок через SolarWinds Министерство Юстиции США столкнулись одни из первых, аж в мае 2020 года, за полгода до того, как об этом стало известно публично. Проблема была в пилотном проекте ПО Orion, который начали использовать в госструктуре. Минюст при первых подозрениях на инцидент поступил ответственно и привлек для расследования уважаемых подрядчиков в лице Mandiant и Microsoft. Но по результатам правильно среагировать и разобраться в инциденте у них не вышло. Возможно, это был не самый важный для них заказчик с финансовой точки зрения, или выбор специалистов был ошибочным, точная причина провала обеих компаний неизвестна.
Далее Минюст обратился в сам SolarWinds, но и они по результатам аудита своего ПО не заметили уязвимостей в своем приложении и подтвердили безопасность. Перепроверяли ли они что-то на самом деле? Или может уточнили у Mandiant и Microsoft все ли там прошло хорошо? Неизвестно. Минюст поверил всем трем компаниям и приобрел Orion.
Далее об аномальной активности, связанной с этим софтом в SolarWinds, сообщила компания Volexity, обнаружено это было при расследовании утечки. А еще позднее в SolarWinds о подозрительной активности этого ПО сообщили из Palo Alto Networks. Но SolarWinds по-прежнему ничего не обнаружили, и неизвестно искали ли вообще. Их и даже после трех сообщений ничего не насторожило.
В результате столь «эффективных» расследований и аудитов была пропущена атака на цепочку поставок. А вылилась она в длительное нахождение злоумышленников во внутренних сетях более сотни крупных технологических компаний и около 10 правительственных организаций. Кстати, обвинили в этом хакеров из России, но внятных доказательств все еще не привели.
Мораль такая: зачастую плохое расследование вредит больше, чем отсутствие расследования вообще. По крайней мере, оно создает ощущение ложной защищенности. И для бизнеса очень важно четко понимать, где вообще заканчивается граница этой самой защищенности, что было исследовано, кем, и с каким результатом. К слову, мы именно по этой причине предлагаем очень детально перепроверять результаты работы.
Если по результатам расследования «признаков компрометации не обнаружено», то это стоит воспринимать буквально. Или все хорошо, или плохо искали.
С атакой на цепочку поставок через SolarWinds Министерство Юстиции США столкнулись одни из первых, аж в мае 2020 года, за полгода до того, как об этом стало известно публично. Проблема была в пилотном проекте ПО Orion, который начали использовать в госструктуре. Минюст при первых подозрениях на инцидент поступил ответственно и привлек для расследования уважаемых подрядчиков в лице Mandiant и Microsoft. Но по результатам правильно среагировать и разобраться в инциденте у них не вышло. Возможно, это был не самый важный для них заказчик с финансовой точки зрения, или выбор специалистов был ошибочным, точная причина провала обеих компаний неизвестна.
Далее Минюст обратился в сам SolarWinds, но и они по результатам аудита своего ПО не заметили уязвимостей в своем приложении и подтвердили безопасность. Перепроверяли ли они что-то на самом деле? Или может уточнили у Mandiant и Microsoft все ли там прошло хорошо? Неизвестно. Минюст поверил всем трем компаниям и приобрел Orion.
Далее об аномальной активности, связанной с этим софтом в SolarWinds, сообщила компания Volexity, обнаружено это было при расследовании утечки. А еще позднее в SolarWinds о подозрительной активности этого ПО сообщили из Palo Alto Networks. Но SolarWinds по-прежнему ничего не обнаружили, и неизвестно искали ли вообще. Их и даже после трех сообщений ничего не насторожило.
В результате столь «эффективных» расследований и аудитов была пропущена атака на цепочку поставок. А вылилась она в длительное нахождение злоумышленников во внутренних сетях более сотни крупных технологических компаний и около 10 правительственных организаций. Кстати, обвинили в этом хакеров из России, но внятных доказательств все еще не привели.
Мораль такая: зачастую плохое расследование вредит больше, чем отсутствие расследования вообще. По крайней мере, оно создает ощущение ложной защищенности. И для бизнеса очень важно четко понимать, где вообще заканчивается граница этой самой защищенности, что было исследовано, кем, и с каким результатом. К слову, мы именно по этой причине предлагаем очень детально перепроверять результаты работы.