داخل خرق الأمن في Sumo Logic لعام 2023 والاستجابة له
في الخريف الماضي، كان جو كيم يستعد للذهاب في رحلة إلى أستراليا وكوريا الجنوبية للقاء عملاء Sumo Logic. أثناء التعبئة، منطق السومو تلقى الرئيس التنفيذي لشركة Sumo Logic رسالة من أحد مطوري الشركة. لاحظ شيئًا غريبًا في وكيل العميل Trufflehog الخاص بالشركة. تم الإبلاغ عن المشكلة إلى مركز عمليات الأمان (SOC) التابع لشركة Sumo Logic، والذي بدأ في التحقيق.
قام كيم وجورج جيرشو، كبير مسؤولي الأمن في شركة سومو لوجيك في وقت الحادث، بسحب الستار لتقديم نظرة داخلية على الاختراق وكيف عملت فرق الشركة معًا داخليًا ومع العملاء للاستجابة.
اكتشاف الثغرة
المطور الذي أثار الإنذار أولاً كان إلغاء استخدام بيانات اعتماد البنية التحتية الثابتةشارك Sumo Logic في إحدى المدونات أنه لاحظ نشاطًا غريبًا من Trufflehog عند فحص سجلات CloudTrail الخاصة بالشركة في AWS.
يقول جيرشو لموقع InformationWeek: “ما يفعله Trufflehog هو البحث عن المفاتيح السرية عبر بيئة معينة. في هذه الحالة، كان يبحث عبر جميع عملائنا داخل AWS. وبدأ في القيام بذلك بشكل جماعي”.
وبمجرد أن قرر مركز العمليات الأمنية التابع للشركة أن النشاط كان خبيثًا بالفعل، فقد بدأ السباق.
القفز إلى العمل
على مدار سنوات عمله مع الشركة، واجه جيرشو عددًا من الحوادث الأمنية، لكن أغلبها كانت مرتبطة بعوامل خارجية، مثل ثغرة Log4J. “لذا، كان الأمر مرعبًا للغاية لأننا كنا نعلم أن هناك خطأ ما، وكنا نعلم أننا ربما نكون من أنشأ هذه الثغرة. [it]،” هو يشارك.
ولكن بصفته قائداً أمنياً، فإن جزءاً كبيراً من عمل جيرشو يتعلق بالاستجابة لحوادث مثل هذه. ولم يشعر بضغط شديد أثناء عمله هو وفريقه. ويقول: “لم أشعر بهذا الضغط كثيراً لأن هذا ما نقوم به. ولم أشعر بالتعب والإرهاق إلا بعد أن انتهى الأمر، ربما بعد شهر واحد، عندما بدأنا في إجراء تشريح الجثة”.
اتخذ جيرشو وفريقه على الفور خطوات لإغلاق بيئات Sumo Logic وتدوير جميع بيانات الاعتماد المعرضة للخطر. كما قام الفريق بمراقبة سجلاته، بحثًا عن أي نشاط ضار إضافي.
يقول كيم: “نحن دائمًا ننصح العملاء بأهمية الاحتفاظ بجميع ملفات السجل الخاصة بك، سواء كانت ملفات منظمة أو غير منظمة، في مكان واحد، والتأكد من أنه في مرحلة ما، فإن هذا المصدر الوحيد للحقيقة سوف يؤتي ثماره لك”.
تمكنت شركة Sumo Logic من الاستفادة من نموذج “اتبع الشمس”، مع فرق في أمريكا الشمالية وبولندا والهند، لضمان التركيز المستمر على الحادث. حتى مع وجود فرق في جميع أنحاء العالم، يمكن أن يتطلب وقوع حادث أمني ساعات عمل شاقة.
يقول جيرشو: “كان اللاعبون الأساسيون يعملون بسهولة لمدة 20 ساعة في اليوم، وكانوا يرغبون في ذلك. وهذا هو ما نتدرب من أجله. وهذا هو جوهر كل التدريبات على الطاولة وكل شيء آخر … هذه اللحظات”.
وبحلول الوقت الذي بدأت فيه عملية الاستجابة للحادث، كان كيم على متن طائرة، متوجهاً إلى اجتماعات العمل في منطقة آسيا والمحيط الهادئ. لكن فارق التوقيت أصبح ميزة. يقول: “كنت غائباً طوال الأسبوع، لكنني كنت في الواقع أشارك في أغلب المكالمات الهاتفية بينما كانت الفرق تتبادل المعلومات”.
مع مرور الأيام، تمكن أعضاء فريق Sumo Logic من التعمق أكثر في التحقيقات الجنائية وإصلاح الخلل. ويتضمن جزء من أي تحقيق النظر في الجهة التي تقف وراء الاختراق. ووفقًا لـ Gerchow، يتعين على فرق الأمن والتحليل الجنائي اتباع طريقين مختلفين هنا.
“هل يمثل الفاعل التهديدي موظفًا سابقًا أم تهديدًا داخليًا؟ عليك دائمًا أن تسلك هذا المسار، بغض النظر عن مدى ثقتك في الناس”، كما يقول جيرشو
في هذه الحالة، تمكن فريق Sumo Logic من تحديد أن أحد المطلعين ليس مسؤولاً عن الاختراق، لكن هوية الفاعل الخارجي لا تزال لغزا.
التواصل داخليا وخارجيا
تتطلب الاستجابة للخروقات مشاركة العديد من أصحاب المصلحة، سواء الداخليين أو الخارجيين، وكل شيء يتحرك بسرعة. وبدون التواصل الفعال، يمكن أن تتعثر جهود الاستجابة للحوادث بسهولة.
قامت شركة Sumo Logic بتقسيم اتصالاتها الداخلية بشأن الحادث بين قناتين على Slack: واحدة تشغيلية والأخرى للتحديثات الهامة حول الاستجابة.
“يمكنك الاشتراك في قناة Slack هذه المخصصة للعرض فقط والتي ستمنحك تحديثات حول التقدم الكبير الذي يحدث”، يوضح جيرشو. “الآن، في غضون ذلك، توجد قناة Slack أخرى حيث يتم تنفيذ كل العمل الفعلي ومراجعته وأرشفته وتسجيله، مما يساعد في الوصول إلى هذا التحليل بعد الوفاة.”
وقد ساعد هذا التقسيم في إبقاء أصحاب المصلحة الداخليين على اطلاع بالوضع مع السماح بإنجاز العمل الذي يتم في الخنادق دون تشتيت. كما جلس جيرشو في مكالمات مسائية مع المديرين التنفيذيين، مما منحهم فرصة للمشاركة وطرح الأسئلة.
تعلم أي منظمة تعرضت للاختراق أن الاتصال الداخلي لا يشكل سوى جزء من المعركة. كما احتاجت شركة Sumo Logic إلى إبلاغ عملائها.
وأشار جيرشو إلى أن الفريق كان يعمل على فهم مدى تقدم الجهة المسؤولة عن التهديد وتحديد الإجراءات التي يجب مشاركتها قبل اتخاذ هذه الخطوة.
“عندما تعيش في وسط النار، فأنت بالتأكيد تريد أن تخرج شيئًا ما إلى النور بأسرع ما يمكن. ولكن لديك الكثير من أصحاب المصلحة. لديك الجانب القانوني. ولديك الجانب المالي وبقية الأطراف المعنية. [executive] “يقول: “لقد استغرق الأمر حوالي ثلاثة أيام للوصول إلى هذه النقطة … القدرة على إجراء اتصالات خارجية”.
أرسل كيم بريدًا إلكترونيًا إلى العملاء والشركاء، موجهًا إياهم إلى Sumo Logic مركز الاستجابة الأمنيةنشرت الشركة أول رسالة لها بشأن الحادث في 7 نوفمبر 2023، وأعقبتها بتحديثات شبه يومية حول التحقيق والإجراءات التي يتعين على العملاء اتخاذها. وحثت الشركة عملاءها على تدوير مفاتيح الوصول إلى واجهة برمجة التطبيقات Sumo Logic، وكإجراء احترازي آخر، بيانات اعتماد الطرف الثالث المخزنة لدى الشركة كجزء من تكوين اتصال الويب هوك.
بالإضافة إلى الاتصالات المتكررة من خلال مركز الاستجابة الأمنية، تعهد جيرشو بإجراء مكالمات هاتفية مدتها 15 دقيقة مع العملاء الرئيسيين الذين يريدون مزيدًا من المعلومات. وقد أدى هذا العرض إلى إجراء حوالي 50 مكالمة هاتفية في أيام العمل التالية.
وفي 20 نوفمبر/تشرين الثاني، أعلنت الشركة أن تحقيقاتها انتهت، ولم تتأثر بيانات العملاء.
استخدام الخرق كدرس قيم
إن كل حادث أمني يحمل معه دروساً مستفادة من نقاط القوة والضعف في المؤسسة. كيف حدث ذلك؟ وما الذي سار على ما يرام؟ وما الذي يمكن تغييره وتحسينه في عالم حيث لا يتم تحديد ما إذا كانت الهجمات الإلكترونية ستحدث أم لا، بل متى؟
في وقت وقوع الحادث، كانت شركة Sumo Logic تعمل على حل بعض المشكلات المتعلقة بحقوق المطورين، وفقًا لـ Gerchow. ويوضح: “كنا هناك بنسبة 85% … وضع الجميع في أدوار IAM وكل هذه الأشياء الأخرى. وبالطبع، عندما تحقق هذا النوع من التقدم، فستكون النسبة 15% التي لم تصل إليها بعد هي التي ستتعرض للأذى”.
ترك أحد المطورين بيانات اعتماد AWS بصيغة نص عادي على GitHub، والتي استخدمها الفاعل التهديدي للوصول إلى Trufflehog.
يقول جيرشو: “أتحدى أي شخص أن يخبرني بأنه آمن بنسبة 100%. هذا غير موجود على الإطلاق. إنها رحلة لا تنتهي أبدًا… خاصة مع تغير سطح الهجوم”.
حضر أعضاء فريق Sumo Logic مؤتمر AWS re:Invent بعد فترة وجيزة من العمل على حل مشكلة الأمان. وقد أتيحت لهم الفرصة للتحدث إلى العملاء والحصول على تعليقات حول استجابة الشركة.
“لقد تعرض العديد من عملائنا لحوادث أمنية أخرى في تلك المرحلة أيضًا، ولم تكن مرتبطة بنا على الإطلاق. وبحلول تلك المرحلة، كانوا قد واجهوا نوعًا من [what] “تبدو الاتصالات مثل تلك التي تقدمها شركات أخرى”، كما يقول كيم. “لقد كانوا ممتنين للغاية [for] “كم كنا استباقيين وكم كنا منفتحين فيما يتعلق بالتواصل معهم.”
وفي حين أن العملاء يقدرون هذه الشفافية، يشير جيرشو إلى أن التواصل يتطلب عملاً مستمراً.
“يقول إن الاتصالات أمر صعب للغاية. إنها صعبة للغاية لأن هناك الكثير من الآراء، وهو أمر ينبغي أن يكون موجودًا. هناك الكثير من الاختبارات التي تفرض علينا ما الذي سنقوله حقًا، ومتى سنقوله، وكيف سنقوله؟ يمكن دائمًا تحسين الاتصالات.”
في حين أن الاستجابة للاختراق هي جهد جماعي، فقد سلط كل من جيرشو وكيم الضوء على عدد قليل من اللاعبين الرئيسيين الذين برزوا في أعقاب هذا الحادث. وأشاد جيرشو بقادة الحادث في الشركة، أحدهما من جانب الأمن والآخر من جانب المطور.
“في كثير من الأحيان، تكون هاتان الجزأان من الشركة معزولتين وربما يكون بينهما بعض الاحتكاكات، لكنهما تعاونا بشكل جيد للغاية”، كما يقول. “لقد كانا فعالين حقًا في حماية الشركة من أي شيء قد يحدث في المستقبل بالإضافة إلى تقديم الأدلة”.
وانتقد كيم ميليسا بيك، رئيسة الاتصالات العالمية بالشركة، لدورها في إدارة الاتصالات الخارجية. كما سلط الضوء على تود هانا، كبير مسؤولي الشؤون القانونية بالشركة.
“كلما توصلنا إلى نتيجة بشأن المكالمة، كان يفحصنا ويتأكد من أننا نظرنا إليها من كل زاوية على حدة”، يوضح كيم.
الوقت مورد ثمين ومحدود للغاية عند الاستجابة لحادث أمني. تأتي أطراف ثالثة، مثل فرق التحقيق الجنائي، لمساعدة الشركات في إجراء تحقيق سريع وإصلاح المشكلة، لكن هذه الفرق الخارجية تحتاج إلى الوقت للتأقلم مع أنظمة وأدوات الشركة.
“أوصي بالإنفاق الإضافي ومعرفة الأشخاص الذين ستعمل معهم مسبقًا وإشراكهم في سيناريوهات التدريب العملي على الطاولة حتى يكون وقت التوجيه ووقت التأقلم أقصر”، كما يقول جيرشو.
رغم أن الوقت مورد ثمين، إلا أنه قد يكون من المفيد أن تأخذ بضع دقائق للتباطؤ لضمان عدم تفويت خطوات حيوية.
“[Take] “من خمس إلى عشر دقائق فقط، ثم اكتب الخطوات من حيث ما ينبغي لنا أن نفعله إذا كان لدينا قدر لا نهائي من الوقت لإكمال كل شيء”، توصي كيم. “هذا يمنحك مستوى من الوضوح للتأكد من أنك لم تفوت أي شيء من حيث الخطوات التي تمر بها عندما تمر بها بسرعة 10000 ميل في الساعة”.
هناك العديد من الأشياء التي يجب أن تحدث في وقت واحد أثناء التحقيق في الحادث ومعالجته، مما يخلق موقفًا مرهقًا للغاية للأشخاص المعنيين. تحذر كيم من محاولة التعمق في الأحداث السابقة أثناء عملية الاستجابة الأولية.
“دعونا نلقي نظرة على هذه الشهادة. هل تحتاج إلى تأمين؟ ما هي كل الخطوات التي يجب اتباعها؟ [you] “هل تحتاج إلى اتخاذ بعض الخطوات لضمان سلامتك أولاً قبل العودة إلى المنزل وإجراء عمليات الاستعادة؟” يقول. “إذا فصلت بين هذين الأمرين، فعادةً ما يساعد ذلك في التعامل مع بعض الضغوط”.
في أعقاب الحادث، أجرت شركة Sumo Logic عددًا من التغييرات. يقول جيرشو: “كان الأمر كله يتعلق حقًا بمزيد من الدفاع المتعمق، والنظر حقًا في إدارة الوصول المتميز، والحصول على أفضل ممارسات المطورين”.
يمكن أن تعلم خروقات وهجمات الأمن السيبراني قادة المؤسسات الكثير عن سلامة وبنية دفاعاتهم واستجابتهم للحوادث، ولكنها تحمل أيضًا بعض الدروس الإنسانية للغاية.
حتى خبراء الأمن المخضرمين قد يشعرون بالضغط والتوتر الناتجين عن الاستجابة لاختراق أو هجوم، لكن الحفاظ على الهدوء أمر مهم بالنسبة لهم ولفرقهم. يشغل جيرشو الآن منصب رئيس قسم الثقة في منصة بيانات المطورين مونجو دي بيلكنه يحمل في نفسه دروساً من الحوادث الأمنية المختلفة التي واجهها خلال مسيرته المهنية.
“إذا لاحظت المنظمة، وخاصة داخليًا، أنك أصبحت عاطفيًا بشكل مفرط، أو بدأت تفقد أعصابك، أو أظهرت نقاط ضعف في درعك، فسوف تقع في مشكلة. وينطبق نفس الشيء على المستوى الخارجي”، كما يقول.
بعد الخروج من الأزمة، يرغب الجميع بطبيعة الحال في المضي قدمًا. ولكن لا تنسَ مدى صعوبة هذه الحوادث على الأشخاص المعنيين، سواء كانوا من فريقك أو من خارج المنظمة. يحذر جيرشو: “يجب أن يكون لديك بعض التعاطف لأننا جميعًا مررنا بهذا … وسنمر جميعًا بهذا في مرحلة ما أو أخرى”.