經(jīng)濟(jì)觀察報(bào) 記者 沈怡然 “2020年12月的一個(gè)晚上，當(dāng)手機(jī)響起時(shí)，我正在和家人一起享受生日晚餐”，SudhakarRamakrishna突然接到公司法律顧問(wèn)的電話，稱公司接到一個(gè)警報(bào)——有黑客攻擊者進(jìn)入SolarWinds的網(wǎng)絡(luò)環(huán)境，并監(jiān)控了軟件構(gòu)建過(guò)程，然后在客戶部署軟件之前將惡意代碼插入了公司的一個(gè)網(wǎng)絡(luò)管理平臺(tái)Orion。公司超過(guò)30萬(wàn)的客戶中，有將近18000名客戶下載并更新了Orion，他們都將可能受到惡意軟件的攻擊。

SolarWinds是全球IT管理軟件供應(yīng)商，SudhakarRamakrishna是公司總裁兼CEO。他在5月16日接受經(jīng)濟(jì)觀察報(bào)專訪時(shí)，向記者回顧了SolarWinds遭遇網(wǎng)絡(luò)安全危機(jī)、扭轉(zhuǎn)危機(jī)和重整企業(yè)的過(guò)程，他說(shuō)：“從接到電話那天晚上開始，我的經(jīng)歷可以為所有管理人員提供寶貴的經(jīng)驗(yàn)教訓(xùn)”。

SolarWinds遭遇的黑客攻擊事件被命名為“Sunburst”，這是一次高度復(fù)雜的供應(yīng)鏈攻擊。SudhakarRamakrishna表示，與以往不同的是，它攻擊的目標(biāo)不僅是軟件開發(fā)者，還有軟件用戶。受到攻擊的是包括SolarWinds在內(nèi)的多家科技公司，而SolarWinds這樣的科技公司又服務(wù)著大量的制造業(yè)公司，這會(huì)進(jìn)一步導(dǎo)致供應(yīng)鏈?zhǔn)芎Α８鶕?jù)安全廠商卡巴斯基提供數(shù)據(jù)，這一次網(wǎng)絡(luò)攻擊影響到近2000家工業(yè)企業(yè)。

對(duì)公司和SudhakarRamakrishna來(lái)說(shuō)，這次攻擊是超常規(guī)的巨大挑戰(zhàn)。公司有100名左右的客戶直接受到了病毒影響，事故發(fā)生后的1個(gè)月，SolarWinds的股價(jià)下跌了50%。5個(gè)月后，公司的運(yùn)營(yíng)才平穩(wěn)下來(lái)，至2022年公司的客戶留存率又回到90%。

SudhakarRamakrishna對(duì)事件過(guò)程做出了反思。他表示，危機(jī)發(fā)生后，企業(yè)要以開放、透明的態(tài)度面對(duì)客戶，而不是試圖掩蓋。在長(zhǎng)遠(yuǎn)的戰(zhàn)略方面，企業(yè)將安全作為一項(xiàng)投資而非成本，要將安全理念融入產(chǎn)品設(shè)計(jì)的過(guò)程中，SudhakarRamakrishnaye也將安全戰(zhàn)略為先，改變了公司的原有組織架構(gòu)。

危機(jī)爆發(fā)

SolarWinds創(chuàng)建于1995年，開發(fā)和銷售一系列的網(wǎng)絡(luò)管理（NetworkManagement）、網(wǎng)絡(luò)監(jiān)控（NetworkMon－itoring）和網(wǎng)絡(luò)恢復(fù)（NetworkDiscovery）工具。SudhakarRamakrishna曾多年任職于網(wǎng)絡(luò)安全企業(yè)，他在得知事故發(fā)生時(shí)，正準(zhǔn)備在SolarWinds履新。2021年1月，SudhakarRamakrishna成為公司CEO，接替了前首席執(zhí)行官凱文·湯普森。

根據(jù)安全廠商卡巴斯基提供數(shù)據(jù)，在受到攻擊的2000家企業(yè)中，從類別上看，顯示制造、工程及能源等工業(yè)類公司占了32.4%，約600多家。范圍上看，受害企業(yè)遍及美洲、非洲及亞太地區(qū)，包括美國(guó)、中國(guó)臺(tái)灣、荷蘭、俄羅斯、墨西哥、智利、印尼、沙特阿拉伯等。“剛上任時(shí)，我甚至連一些團(tuán)隊(duì)成員都不認(rèn)識(shí)，聽取了一些簡(jiǎn)報(bào)后，我將原來(lái)擬定的90天計(jì)劃扔進(jìn)了垃圾箱，并起草了一份新的計(jì)劃”，SudhakarRamakrishna表示，首先，必須弄清到底發(fā)生了什么；第二，修復(fù)它；第三，支持客戶并幫助確保他們的環(huán)境安全。

事件發(fā)生后 48小時(shí)內(nèi)，Solar－Winds首先對(duì)自己的程序進(jìn)行補(bǔ)救，同時(shí)，幫助客戶完成修補(bǔ)代碼的遷移。SudhakarRamakrishna稱，一些客戶被黑客襲擊嚇壞了，他們是傳統(tǒng)型行業(yè)，正在上云；也有的處在一個(gè)混合云的環(huán)境中，對(duì)安全還沒(méi)有一個(gè)十分清晰的認(rèn)識(shí)；另一些客戶缺乏技術(shù)能力和相關(guān)人才，無(wú)法處理漏洞。所以公司選擇優(yōu)先幫助客戶，其次才是發(fā)展業(yè)務(wù)。好的方面是，有很多客戶在了解情況后表示理解和支持。

SudhakarRamakrishna稱，修補(bǔ)工作持續(xù)到2021年4月才基本完成，損失也是在后來(lái)逐步得到控制的。

網(wǎng)絡(luò)安全的反思

SudhakarRamakrishna認(rèn)為，病毒之所以能快速在供應(yīng)鏈上傳播，是因?yàn)樗碾[匿性比以往更強(qiáng)，有的早已潛入程序而不攻擊。一些企業(yè)直到被襲擊才發(fā)覺(jué)有病毒。如今的病毒越來(lái)越難以檢測(cè)和防范，難以快速地定位修復(fù)，導(dǎo)致病毒蔓延。

就像安全領(lǐng)域一個(gè)常見(jiàn)的笑話，公司只有兩種類型——被破壞并知道的，被破壞但不知道的。SudhakarRamakrishna表示，在發(fā)生事故時(shí)，企業(yè)主本能的希望掩藏和躲避，但是作為一個(gè)致力于解決問(wèn)題的企業(yè)家，首先要提高自身的透明度和開放度，以坦誠(chéng)和謙卑的態(tài)度與合作伙伴溝通。其本質(zhì)是與伙伴重建信任關(guān)系，“投錢雇傭律師和公關(guān)，試圖掩蓋問(wèn)題，這些都是無(wú)效的，我們?cè)桨杨^埋在沙子里，越希望問(wèn)題消失，問(wèn)題就越將被放大化”。

SolarWinds發(fā)現(xiàn)黑客的操作后，迅速公開分享了這一信息，期間，Solar－Winds與客戶多次會(huì)面，并坦誠(chéng)地回答了他們的所有問(wèn)題。

SudhakarRamakrishna的第二個(gè)反思是，要將安全當(dāng)作一項(xiàng)投資而非成本。他表示，表面上看，部署安全的成本對(duì)一些傳統(tǒng)企業(yè)來(lái)說(shuō)是很高的，但是信息環(huán)境已經(jīng)發(fā)生改變了，數(shù)據(jù)成為要素，網(wǎng)絡(luò)和云無(wú)處不在，越來(lái)越多的現(xiàn)代企業(yè)正處在一個(gè)混合云、多云環(huán)境、多應(yīng)用環(huán)境或者分布式部署的環(huán)境下，傳統(tǒng)企業(yè)受到網(wǎng)絡(luò)攻擊的可能性越來(lái)越大。我們應(yīng)該把安全看成是預(yù)防性的、而非事后補(bǔ)救的的一項(xiàng)措施。

以安全為先，意味著企業(yè)要在產(chǎn)品設(shè)計(jì)階段就考慮到安全問(wèn)題，將網(wǎng)絡(luò)安全作為一套自上而下的指導(dǎo)原則，融入企業(yè)戰(zhàn)略和管理，并輔以配套的安全措施。

就此，SudhakarRamakrishna設(shè)計(jì)了一套安全框架體系“SBD”（SecurityByDesign），譯為“以設(shè)計(jì)確保安全”。具體來(lái)說(shuō)，是通過(guò)制定一系列安全策略以加強(qiáng)保護(hù)網(wǎng)絡(luò)，包括加強(qiáng)內(nèi)部系統(tǒng)和應(yīng)用，改進(jìn)軟件構(gòu)建流程使其更加安全，升級(jí)到更強(qiáng)、更深入的端點(diǎn)保護(hù)功能，加強(qiáng)預(yù)防數(shù)據(jù)丟失解決方案，采用零信任和最小權(quán)限的訪問(wèn)方式，加強(qiáng)員工培訓(xùn)，限制影子IT，嚴(yán)格執(zhí)行多重要素認(rèn)證等。

簡(jiǎn)單說(shuō)，如果以SBD為框架，要把握好三個(gè)要素，首先是基礎(chǔ)設(shè)施和環(huán)境安全，然后是內(nèi)置嵌入的系統(tǒng)安全，再就是內(nèi)置程序的安全。

在交流過(guò)程中，SudhakarRamakrishna發(fā)現(xiàn)，這種根本性的理念變革，在傳統(tǒng)企業(yè)中是不足的。黑客事件幫助Solar－Winds自身快速提升了對(duì)安全的認(rèn)知，但業(yè)界的認(rèn)知提升，仍需要一個(gè)緩慢的過(guò)程。SudhakarRamakrishna期待SBD原則被更多企業(yè)所接受。

設(shè)定任何一個(gè)框架都要考慮到經(jīng)濟(jì)性、安全性、可靠性等諸多因素，并要在其中做出取舍。SudhakarRamakrishna表示，網(wǎng)絡(luò)安全就等同于一個(gè)產(chǎn)品的質(zhì)量，就像購(gòu)買或者制造一個(gè)產(chǎn)品，不可能在質(zhì)量上打折扣，在安全的議題上也絕對(duì)不能做出犧牲或者打折扣。

重整公司的過(guò)程中，SudhakarRa－makrishna也調(diào)整了公司的戰(zhàn)略。SolarWinds原本設(shè)有一名首席信息安全官（下稱“CISO”），后來(lái)，SudhakarRamakrishna提升了CISO的戰(zhàn)略地位和決策權(quán)力，讓其擁有獨(dú)立于其它部門的一套技術(shù)、工具及流程，以及很高的自主裁量權(quán)，可以檢測(cè)所有產(chǎn)品從生產(chǎn)到銷售的過(guò)程。

例如，CISO可以模擬一個(gè)非真實(shí)的釣魚軟件的攻擊，發(fā)送到員工郵箱中，以訓(xùn)練員工對(duì)釣魚軟件的認(rèn)知。CISO還會(huì)定期培訓(xùn)員工，如何識(shí)別黑客攻擊、識(shí)別入侵者，以及一旦出事怎樣進(jìn)行匯報(bào)。

“其它部門面對(duì)改革會(huì)表現(xiàn)出擔(dān)憂和質(zhì)疑，這是正常的，SudhakarRamakrishna稱，他的做法是以CEO的身份坦誠(chéng)與各部門溝通，讓所有人支持CISO的工作。