专访SolarWinds遭受黑客攻击给一家软件公司带来了什么

　　经济观察报 记者 沈怡然 ＂2020年12月的一个晚上，当手机响起时，我正在和家人一起享受生日晚餐＂，SudhakarRamakrishna突然接到公司法律顾问的电话，称公司接到一个警报——有黑客攻击者进入SolarWinds的网络环境，并监控了软件构建过程，然后在客户部署软件之前将恶意代码插入了公司的一个网络管理平台Orion。公司超过30万的客户中，有将近18000名客户下载并更新了Orion，他们都将可能受到恶意软件的攻击。
　　SolarWinds是全球IT管理软件供应商，SudhakarRamakrishna是公司总裁兼CEO。他在5月16日接受经济观察报专访时，向记者回顾了SolarWinds遭遇网络安全危机、扭转危机和重整企业的过程，他说：＂从接到电话那天晚上开始，我的经历可以为所有管理人员提供宝贵的经验教训＂。
　　SolarWinds遭遇的黑客攻击事件被命名为＂Sunburst＂，这是一次高度复杂的供应链攻击。SudhakarRamakrishna表示，与以往不同的是，它攻击的目标不仅是软件开发者，还有软件用户。受到攻击的是包括SolarWinds在内的多家科技公司，而SolarWinds这样的科技公司又服务着大量的制造业公司，这会进一步导致供应链受害。根据安全厂商卡巴斯基提供数据，这一次网络攻击影响到近2000家工业企业。
　　对公司和SudhakarRamakrishna来说，这次攻击是超常规的巨大挑战。公司有100名左右的客户直接受到了病毒影响，事故发生后的1个月，SolarWinds的股价下跌了50%。5个月后，公司的运营才平稳下来，至2022年公司的客户留存率又回到90%。
　　SudhakarRamakrishna对事件过程做出了反思。他表示，危机发生后，企业要以开放、透明的态度面对客户，而不是试图掩盖。在长远的战略方面，企业将安全作为一项投资而非成本，要将安全理念融入产品设计的过程中，SudhakarRamakrishnaye也将安全战略为先，改变了公司的原有组织架构。
　　危机爆发
　　SolarWinds创建于1995年，开发和销售一系列的网络管理（NetworkManagement）、网络监控（NetworkMon－itoring）和网络恢复（NetworkDiscovery）工具。SudhakarRamakrishna曾多年任职于网络安全企业，他在得知事故发生时，正准备在SolarWinds履新。2021年1月，SudhakarRamakrishna成为公司CEO，接替了前首席执行官凯文·汤普森。
　　根据安全厂商卡巴斯基提供数据，在受到攻击的2000家企业中，从类别上看，显示制造、工程及能源等工业类公司占了32.4%，约600多家。范围上看，受害企业遍及美洲、非洲及亚太地区，包括美国、中国台湾、荷兰、俄罗斯、墨西哥、智利、印尼、沙特阿拉伯等。＂刚上任时，我甚至连一些团队成员都不认识，听取了一些简报后，我将原来拟定的90天计划扔进了垃圾箱，并起草了一份新的计划＂，SudhakarRamakrishna表示，首先，必须弄清到底发生了什么；第二，修复它；第三，支持客户并帮助确保他们的环境安全。
　　事件发生后 48小时内，Solar－Winds首先对自己的程序进行补救，同时，帮助客户完成修补代码的迁移。SudhakarRamakrishna称，一些客户被黑客袭击吓坏了，他们是传统型行业，正在上云；也有的处在一个混合云的环境中，对安全还没有一个十分清晰的认识；另一些客户缺乏技术能力和相关人才，无法处理漏洞。所以公司选择优先帮助客户，其次才是发展业务。好的方面是，有很多客户在了解情况后表示理解和支持。
　　SudhakarRamakrishna称，修补工作持续到2021年4月才基本完成，损失也是在后来逐步得到控制的。
　　网络安全的反思
　　SudhakarRamakrishna认为，病毒之所以能快速在供应链上传播，是因为它的隐匿性比以往更强，有的早已潜入程序而不攻击。一些企业直到被袭击才发觉有病毒。如今的病毒越来越难以检测和防范，难以快速地定位修复，导致病毒蔓延。
　　就像安全领域一个常见的笑话，公司只有两种类型——被破坏并知道的，被破坏但不知道的。SudhakarRamakrishna表示，在发生事故时，企业主本能的希望掩藏和躲避，但是作为一个致力于解决问题的企业家，首先要提高自身的透明度和开放度，以坦诚和谦卑的态度与合作伙伴沟通。其本质是与伙伴重建信任关系，＂投钱雇佣律师和公关，试图掩盖问题，这些都是无效的，我们越把头埋在沙子里，越希望问题消失，问题就越将被放大化＂。
　　SolarWinds发现黑客的操作后，迅速公开分享了这一信息，期间，Solar－Winds与客户多次会面，并坦诚地回答了他们的所有问题。
　　SudhakarRamakrishna的第二个反思是，要将安全当作一项投资而非成本。他表示，表面上看，部署安全的成本对一些传统企业来说是很高的，但是信息环境已经发生改变了，数据成为要素，网络和云无处不在，越来越多的现代企业正处在一个混合云、多云环境、多应用环境或者分布式部署的环境下，传统企业受到网络攻击的可能性越来越大。我们应该把安全看成是预防性的、而非事后补救的的一项措施。
　　以安全为先，意味着企业要在产品设计阶段就考虑到安全问题，将网络安全作为一套自上而下的指导原则，融入企业战略和管理，并辅以配套的安全措施。
　　就此，SudhakarRamakrishna设计了一套安全框架体系＂SBD＂（SecurityByDesign），译为＂以设计确保安全＂。具体来说，是通过制定一系列安全策略以加强保护网络，包括加强内部系统和应用，改进软件构建流程使其更加安全，升级到更强、更深入的端点保护功能，加强预防数据丢失解决方案，采用零信任和最小权限的访问方式，加强员工培训，限制影子IT，严格执行多重要素认证等。
　　简单说，如果以SBD为框架，要把握好三个要素，首先是基础设施和环境安全，然后是内置嵌入的系统安全，再就是内置程序的安全。
　　在交流过程中，SudhakarRamakrishna发现，这种根本性的理念变革，在传统企业中是不足的。黑客事件帮助Solar－Winds自身快速提升了对安全的认知，但业界的认知提升，仍需要一个缓慢的过程。SudhakarRamakrishna期待SBD原则被更多企业所接受。
　　设定任何一个框架都要考虑到经济性、安全性、可靠性等诸多因素，并要在其中做出取舍。SudhakarRamakrishna表示，网络安全就等同于一个产品的质量，就像购买或者制造一个产品，不可能在质量上打折扣，在安全的议题上也绝对不能做出牺牲或者打折扣。
　　重整公司的过程中，SudhakarRa－makrishna也调整了公司的战略。SolarWinds原本设有一名首席信息安全官（下称＂CISO＂），后来，SudhakarRamakrishna提升了CISO的战略地位和决策权力，让其拥有独立于其它部门的一套技术、工具及流程，以及很高的自主裁量权，可以检测所有产品从生产到销售的过程。
　　例如，CISO可以模拟一个非真实的钓鱼软件的攻击，发送到员工邮箱中，以训练员工对钓鱼软件的认知。CISO还会定期培训员工，如何识别黑客攻击、识别入侵者，以及一旦出事怎样进行汇报。
　　＂其它部门面对改革会表现出担忧和质疑，这是正常的，SudhakarRamakrishna称，他的做法是以CEO的身份坦诚与各部门沟通，让所有人支持CISO的工作。