ผลกระทบของการแฮ็ก SolarWinds คืออะไร?

เหตุการณ์การแฮ็กมักครอบงำข่าวและเป็นเช่นนั้นโดยชอบธรรม สิ่งเหล่านี้เป็นข้อพิสูจน์ว่าไม่มีใครปลอดภัย โดยเฉพาะอย่างยิ่งเมื่อเหยื่อเป็นบริษัทใหญ่ที่มีระบบความปลอดภัยทางไซเบอร์ที่ซับซ้อน แฮ็คหนึ่งที่มีผลกระทบอย่างมากต่อแนวความปลอดภัยทางไซเบอร์คือแฮ็ค SolarWinds

แต่ไม่เหมือนกับการแฮ็กขนาดใหญ่อื่นๆ ความเสียหายของการโจมตี SolarWinds ไม่ได้จำกัดอยู่แค่ด้านการเงินและชื่อเสียงของบริษัท ผลกระทบดังกล่าวแพร่หลายมากจนผลกระทบของการแฮ็กเกี่ยวข้องกับรัฐบาลสหรัฐฯ และหน่วยงานที่เกี่ยวข้อง

ขนาดของแฮ็คคืออะไร?

SolarWinds เป็นบริษัทไอทีในสหรัฐฯ ที่เชี่ยวชาญด้านการพัฒนาซอฟต์แวร์การจัดการสำหรับธุรกิจและหน่วยงานภาครัฐ ดังนั้น จากจุดเริ่มต้น เป็นที่ชัดเจนว่าการแฮ็กใดๆ จะมีผลกระทบร้ายแรงนอกเหนือจากทรัพย์สินและชื่อเสียงของ SolarWinds

พูดได้อย่างปลอดภัยว่าบริษัท SolarWinds เองไม่ใช่เป้าหมายของการโจมตี แต่เป็นวิธีการโจมตีเท่านั้น SolarWinds รายงานว่ามีลูกค้ามากกว่า 18,000 รายดาวน์โหลดเวอร์ชันที่ได้รับผลกระทบ แม้ว่าจะไม่ได้ถูกแฮ็กทั้งหมดก็ตาม

จากเหยื่อผู้เคราะห์ร้าย ประมาณ 20 เปอร์เซ็นต์เป็นสถาบันและหน่วยงานของรัฐบาลสหรัฐฯ เช่น Department of Homeland Security กระทรวงการต่างประเทศ สำนักงานบริหารความมั่นคงทางนิวเคลียร์แห่งชาติ และกระทรวงพลังงาน และอื่นๆ อีกมากมาย

เหยื่ออีก 80 เปอร์เซ็นต์ที่เหลือเป็นบริษัทเอกชน แต่พวกเขาเป็นผู้เล่นรายใหญ่ในอุตสาหกรรมของพวกเขาโดยมีส่วนแบ่งที่ยุติธรรมของลูกค้าที่มีชื่อเสียง การแฮ็กส่งผลกระทบต่อบริษัทต่างๆ เช่น Cisco, Intel, Deloitte และ Microsoft ตลอดจนสถาบันทางการแพทย์ โรงพยาบาล และมหาวิทยาลัยบางแห่ง

สิ่งสำคัญคือต้องทราบว่าขนาดของเหตุการณ์ยังไม่เป็นที่ทราบแน่ชัด แม้ว่าแฮกเกอร์จะสามารถเข้าถึงไคลเอนต์ SolarWinds ได้เกือบ 20,000 ราย แต่นั่นไม่ได้หมายความว่าพวกเขาสามารถเลี่ยงระบบความปลอดภัยภายในและไฟล์และข้อมูลประนีประนอมได้ ยังไม่มีการเปิดเผยตัวเลขที่แน่นอน แต่มีรายงานว่าลูกค้าถูกแฮ็กน้อยกว่า 100 ราย

ตัวอย่างเช่น Microsoft สามารถตรวจจับมัลแวร์ที่ล่วงล้ำในสภาพแวดล้อมของตนและแยกมัลแวร์ออกได้ทันท่วงที พวกเขารายงานว่าไม่มีหลักฐานของข้อมูลลูกค้าที่ถูกบุกรุกหรือรั่วไหลจากการโจมตี ทำให้พวกเขาสามารถหลบหนีได้โดยไม่ได้รับบาดเจ็บเป็นส่วนใหญ่

แต่ไม่ใช่ทุกคนที่โชคดีแบบนี้ แฮ็กเกอร์พยายามยัดเยียดเข้าไปในอีเมลหลายสิบฉบับที่เป็นของเจ้าหน้าที่ระดับสูงในกระทรวงการคลังของอเมริกา และอาจเป็นคุณสมบัติของระบบคลาวด์ของกระทรวง

อะไรทำให้การแฮ็ก SolarWinds แตกต่างออกไป?

บ่อยครั้ง เหตุการณ์การแฮ็กเป็นผลมาจากระบบความปลอดภัยที่ล้มเหลวหรือการทำงานร่วมกันภายใน แต่นั่นไม่ใช่กรณีของบริษัทที่ได้รับผลกระทบจากการแฮ็กที่เรียกว่า "Sunburst" ซึ่งมีเพียงไม่ถึง 100 รายที่ดาวน์โหลดการอัปเดตที่ติดไวรัส

แฮกเกอร์จำเป็นต้องหลีกเลี่ยงความปลอดภัยทางไซเบอร์ของ SolarWinds เท่านั้น จากนั้นพวกเขาจึงดำเนินการเพิ่มโค้ดที่เป็นอันตรายลงในบริการซอฟต์แวร์ที่ใช้กันมากที่สุดของบริษัทหนึ่งคือ Orion เหตุการณ์การแฮ็กเกิดขึ้นอย่างลับๆ ล่อๆ และไม่ทำลายล้าง ปล่อยให้มันอยู่ภายใต้เรดาร์ของ SolarWinds และอยู่ที่นั่นเป็นเวลาหลายเดือน

รหัสแพร่กระจายไปยังไคลเอนต์อื่น ๆ โดยการเชื่อมต่อกับหนึ่งในการอัปเดตซอฟต์แวร์ปกติที่ SolarWinds ส่งไปยังไคลเอนต์ ที่นั่น โค้ดที่เป็นอันตรายได้สร้างแบ็คดอร์สำหรับแฮกเกอร์ทำให้พวกเขาสามารถติดตั้งมัลแวร์ที่บุกรุกได้มากขึ้นและสอดแนมเป้าหมายของพวกเขา และทำให้ข้อมูลที่พวกเขาเห็นว่าสำคัญรั่วไหล

แฮ็ค Sunburst เป็นแบบอย่างสำหรับ บริษัท ใดบ้างที่สามารถและไม่สามารถไว้วางใจได้เมื่อพูดถึงความปลอดภัยทางไซเบอร์ ท้ายที่สุด การอัปเดตซอฟต์แวร์ควรจะมาพร้อมกับการแก้ไขข้อผิดพลาดและการอัพเกรดความปลอดภัย เพื่อให้ระบบของคุณปลอดภัยจากช่องโหว่และช่องโหว่ที่ถูกโจมตี

ประเภทของการโจมตีนี้เรียกว่าการโจมตีของห่วงโซ่อุปทาน แฮ็กเกอร์กำหนดเป้าหมายไปยังส่วนที่เปราะบางที่สุดของห่วงโซ่อุปทานของบริษัท แทนที่จะโจมตีเป้าหมายโดยตรง จากนั้นพวกเขาแพ็คมัลแวร์ลงในเรือที่เชื่อถือได้และส่งไปยังเป้าหมายที่แท้จริง ในเหตุการณ์นี้ อยู่ในรูปแบบของการอัปเดตซอฟต์แวร์ตามปกติ

ใครอยู่เบื้องหลังการแฮ็ก SolarWinds?

ยังไม่ชัดเจนว่าองค์กรหรือกลุ่มคนใดอยู่เบื้องหลังการแฮ็ก เนื่องจากยังไม่มีกลุ่มแฮ็กเกอร์อ้างสิทธิ์ในเหตุการณ์นี้ อย่างไรก็ตาม ผู้ตรวจสอบของรัฐบาลกลางพร้อมกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ชั้นนำต่างสงสัยว่าหน่วยข่าวกรองต่างประเทศของรัสเซียหรือที่รู้จักในชื่อ SVR เป็นหลัก

ข้อสรุปนี้สร้างขึ้นจากเหตุการณ์การแฮ็กครั้งก่อนๆ ของปี 2014 และ 2015 ย้อนกลับไป การสืบสวนยังตรึงการบุกรุกเข้าไปในเซิร์ฟเวอร์อีเมลในทำเนียบขาวและกระทรวงการต่างประเทศใน SVR แต่จนถึงตอนนี้ รัสเซียปฏิเสธไม่มีส่วนเกี่ยวข้องกับการแฮ็กของ SolarWinds โดยไม่ได้ระบุผู้กระทำผิดที่ชัดเจน

อะไรจะเกิดขึ้นหลังจากการแฮ็ก Sunburst?

ในแง่ของผลกระทบโดยตรงของการแฮ็ก บริษัทและหน่วยงานของรัฐยังคงสแกนระบบของพวกเขาเพื่อหาแบ็คดอร์เพิ่มเติมใดๆ ที่ผู้โจมตีอาจทิ้งไว้ รวมถึงช่องโหว่ด้านความปลอดภัยที่พวกเขาอาจค้นพบและป้องกันไม่ให้พวกเขาใช้ประโยชน์จากมันในอนาคต จู่โจม.

แต่เมื่อพูดถึงความปลอดภัยทางไซเบอร์ขององค์กรและภาครัฐ สิ่งต่างๆ จะเปลี่ยนไปตลอดกาล หลังจากที่ Orion ของ SolarWinds ถูกใช้เป็นม้าโทรจันเพื่อแทรกซึมระบบของพวกเขา แนวคิดเรื่องมิตรและศัตรูและการรักษาความปลอดภัยทางไซเบอร์ที่ไม่ไว้วางใจศูนย์จะต้องเปลี่ยนเพื่อให้ทัน

ที่เกี่ยวข้อง: เครือข่าย Zero Trust คืออะไรและปกป้องข้อมูลของคุณอย่างไร

รัฐบาล บริษัท และผู้ใช้จะต้องเปลี่ยนวิธีที่พวกเขามองความร่วมมือและความสัมพันธ์ทางการเงินเพื่อแลกกับเกราะป้องกันความปลอดภัยทางไซเบอร์ที่แข็งแกร่งและอนาคตที่ปลอดภัยยิ่งขึ้น

คุณควรจะกังวล?

แฮกเกอร์ไม่ค่อยใช้สิ่งที่พวกเขาต้องการและปล่อยให้ส่วนที่เหลือไม่เสียหาย ทุกสิ่งในฐานข้อมูลของบริษัทหรือรัฐบาลมีมูลค่ามหาศาล

ในขณะที่บริษัทที่ดำเนินธุรกิจกับ SolarWinds และบริษัทในเครือกับบริษัทที่ได้รับผลกระทบเหล่านั้น ล้วนตรวจสอบระบบของพวกเขาซ้ำแล้วซ้ำอีกหลังจากการแฮ็ก คุณทำอะไรไม่ได้มากในฐานะผู้ใช้รายบุคคล

ไม่จำเป็นต้องกังวลเกี่ยวกับมัลแวร์หรือแบ็คดอร์ในอุปกรณ์ใดอุปกรณ์หนึ่งของคุณ เนื่องจากการโจมตีมุ่งเป้าไปที่องค์กรและสถาบันเป็นหลัก แต่คุณอาจเป็นลูกค้าของบริษัทเทคโนโลยียักษ์ใหญ่อย่าง Intel หรือ Microsoft และพวกเขามีประวัติส่วนตัวและการเงินเกี่ยวกับคุณจากการซื้อในอดีต

ติดตามการแจ้งเตือนเร่งด่วนที่ผู้ขายของคุณส่งออกไป และดูว่าพวกเขาจะเผยแพร่ประกาศสาธารณะเกี่ยวกับเหตุการณ์ด้านความปลอดภัยหรือไม่ ยิ่งคุณรู้ว่าข้อมูลของคุณอาจถูกละเมิดได้เร็วเท่าไร โอกาสที่คุณจะได้รับก็จะยิ่งดีขึ้นเท่านั้น

จะมีการโจมตีแบบ Sunburst-like อีกหรือไม่?

หน่วยงานของรัฐและบริษัทต่างๆ จะสามารถอัพเกรดระบบรักษาความปลอดภัยของตนได้ทันเวลาก่อนที่จะมีการโจมตีอีกครั้งหรือไม่

แต่ตราบใดที่บริษัทและสถาบันต่างๆ มีข้อมูลที่ละเอียดอ่อนและมีค่า พวกเขาก็จะตกเป็นเป้าหมายของกลุ่มแฮ็กเกอร์เสมอ ทั้งในประเทศและต่างประเทศ