الملخص

  • أصبح إفصاح Equinix عن هجوم الفدية في سبتمبر 2020 اختبارًا للمساءلة في استمرارية التعاون لأن الشركة قالت إن الفدية أثرت على بعض الأنظمة الداخلية بينما ظلت مراكز البيانات والخدمات المُدارة وعمليات العملاء ومعدات العملاء قيد التشغيل.
  • من كان لديه السيطرة العملية على تجزئة أنظمة الشركة، استمرارية خدمة IBX، أدلة تأثير العملاء، الإفصاح عن الفدية، الاتصال بالحادث، وإثبات فصل عمليات التعاون عن البيئة المخترقة؟
  • قضية المساءلة هي أن مشغل مركز البيانات يجب أن يثبت الفصل بين أنظمة الشركة المخترقة وأسطح استمرارية العملاء، لأن العملاء لا يمكنهم فحص هذا الحدود بشكل مستقل أثناء الحادث.
  • عملاء التعاون، مستخدمو الترابط، أعباء العمل المجاورة للسحابة، المؤسسات، المستثمرون، وفرق المخاطر التشغيلية كانوا بحاجة إلى أدلة على أن حادث الفدية لم يتحول إلى فشل في استمرارية المرفق.
  • تتناول هذه المقالة بيان Equinix الأمني فيhttps://blog.equinix.com/blog/2020/09/09/equinix-statement-on-security-incident/كإفصاح أساسي للشركة، ونموذج 10-K لعام 2020 علىhttps://www.sec.gov/Archives/edgar/data/1101239/000162828021002563/eqix-20201231.htmكسياق للشركة حول منصة IBX، وتقارير DCD وBleepingComputer وCRN وSecurityWeek وTheRegister وFBI وDOJ وCISA وNIST وSEC كتقارير عامة أو سياق رقابي وليس كأدلة على أدلة جنائية خاصة غير موجودة في السجل.

لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة

تنتمي Equinix إلى ملف المخاطر والمساءلة لأن الحادث فصل بين بيانين غالبًا ما يتم دجمهما بعد حادث فدية. البيان الأول هو أن المشغل اكتشف فدية على أنظمة داخلية. والثاني هو أن مراكز البيانات وعروض الخدمات ظلت تعمل بالكامل. بالنسبة لشركة بيع بالتجزئة، قد يصف هذا الفرق بين الأنظمة الخلفية وأنظمة المقدمة. بالنسبة لمزود تعاون عالمي، هذا الفرق أثقل. إنه يسأل عما إذا كانت الأنظمة التي تستخدمها الشركة لتشغيل ودعم ومراقبة واتصال وفوترة وتنسيق المرافق منفصلة بشكل فعّال عن الأسطح التي يعتمد عليها العملاء للطاقة والمساحة والتبريد والوصول المادي والترابط والبنية التحتية المُدارة والدعم التشغيلي.

الإفصاح الأساسي مباشر بشكل غير معتاد. في بيانه عن الحادث الأمني في سبتمبر 2020 علىhttps://blog.equinix.com/blog/2020/09/09/equinix-statement-on-security-incident/قالت Equinix إنها تحقق في فدية على بعض الأنظمة الداخلية، واتخذت إجراءً، وأبلغت سلطات إنفاذ القانون، وتعتقد أن مراكز البيانات وعروض الخدمات ظلت تعمل. كما قال البيان إن معظم العملاء يديرون معداتهم الخاصة داخل مراكز بيانات Equinix وأن الحادث لم يؤثر على عمليات هؤلاء العملاء أو البيانات على معداتهم. أبلغت مركز بيانات Dynamics نفس الادعاء بالاستمرارية علىhttps://www.datacenterdynamics.com/en/news/equinixs-internal-systems-hit-ransomware-data-centers-remain-fully-operational/وأطرت الحدث حول الفصل بين الأنظمة الداخلية والمرافق. وأوضحت The Register نفس قضية العزل علىhttps://www.theregister.com/on-prem/2020/09/10/equinix-warns-its-infected-with-ransomware-promises-it-can-carry-on-regardless/1055338من خلال معاملة فصل معدات العملاء كادعاء ضمان مركزي.

لهذا السبب ليست هذه مجرد قصة برمجيات خبيثة. إنها قصة تبعية التعاون. العملاء لا يشترون مساحة أرضية فقط. إنهم يشترون ادعاء استمرارية: أن المشغل يمكنه الحفاظ على البيئة المادية والمجاورة للشبكة ثابتة بينما يدير كل عميل مجموعته الخاصة. وصف نموذج Equinix 10-K لعام 2020 علىhttps://www.sec.gov/Archives/edgar/data/1101239/000162828021002563/eqix-20201231.htmمنصة IBX لأكثر من 220 مركز بيانات تعاون محايد للبائعين وتأثيرات الشبكة الناتجة عن اتصال العملاء بالشبكات والسحب ومقدمي SaaS والشركاء وببعضهم البعض. سياق المنصة مهم. كلما كانت منصة الترابط أكبر، كلما أصبح الإفصاح عن الفدية اختبارًا لمعرفة ما إذا كان يمكن منع التسوية المؤسسية من التتالي إلى سطح استمرارية مشترك.

احتوى السجل العام أيضًا على ادعاءات خارج بيان Equinix الخاص. أبلغت BleepingComputer علىhttps://www.bleepingcomputer.com/news/security/equinix-data-center-giant-hit-by-netwalker-ransomware-45m-ransom/أن الفدية كانت NetWalker وأن الطلب كان 4.5 مليون دولار. كررت CRN تأطير NetWalker علىhttps://www.crn.com/news/security/equinix-ransomware-attack-hits-company-s-internal-systemsمع ملاحظة أن Equinix لم تؤكد تلك التفاصيل لـ CRN. أبلغت SecurityWeek عن الحادث علىhttps://www.securityweek.com/data-center-provider-equinix-hit-ransomware/وميزت بين إفصاح Equinix المؤكد والتقارير حول عائلة الفدية. حدود الأدلة مهمة. لا تعامل هذه المقالة كل تفاصيل الطرف الثالث كاعتراف من الشركة. إنها تعامل بيان الشركة كدليل أساسي لادعاء الاستمرارية، وسجل التقارير كدليل على كيفية اضطرار العملاء والمستثمرين وفرق الأمن لتفسير الحدث بينما كانت التفاصيل غير كاملة.

السؤال الخاضع للمساءلة عملي: من كان لديه السيطرة العملية على تجزئة أنظمة الشركة، استمرارية خدمة IBX، أدلة تأثير العملاء، الإفصاح عن الفدية، الاتصال بالحادث، وإثبات فصل عمليات التعاون عن البيئة المخترقة؟ لا يمكن الإجابة على هذا السؤال بقول إن العملاء يمتلكون معداتهم الخاصة فقط. المعدات المملوكة للعملاء تقلل فئة واحدة من التعرض، لكنها لا تلغي سيطرة المشغل على استمرارية المرفق، سير عمل الوصول، الأيدي عن بعد، اتصالات الحادث، بوابات الخدمة، تزويد الترابط، تصعيد الدعم، الخدمات المُدارة، وأدلة المنصة.

التعاون يحول التجزئة المؤسسية إلى استمرارية العميل

الدرس المركزي هو أن التجزئة في أعمال التعاون ليست مجرد تصميم أمني داخلي. إنها وعد باستمرارية العميل. إذا كانت الفدية محدودة بأنظمة الأعمال المؤسسية، فلا يزال على المشغل إثبات أن الحدود حقيقية. إذا استمرت عمليات المرفق وتسليم الخدمات ودعم العملاء، يجب على المشغل إظهار أنها تستمر لأن الحدود عملت، وليس لأن الجمهور لم ير فشلاً بعد. في أعمال بنية تحتية تعتمد على الثقة، الفرق بين "غير متأثر" و"لم يظهر تأثره بعد" هو مشكلة أدلة.

منصة Equinix تجعل مشكلة الأدلة أكثر أهمية. وصف ملفها السنوي لعام 2020 خدمات التعاون والترابط والبنية التحتية المُدارة كجزء من منصة بنية تحتية رقمية عالمية. تقدم صفحة الثقة والأمن الحالية لـ Equinix علىhttps://www.equinix.com/about/trust-securityالضمان الأمني كوظيفة ثقة موجهة للعملاء. هذا لا يثبت ما حدث خلال حادث 2020. إنه يظهر لماذا توقع العملاء بشكل معقول أن يكون لدى الشركة ملف أدلة ناضج للضوابط الأمنية وضوابط المرفق وحدود بيانات العملاء. عندما يقدم مزود نفسه كطبقة بنية تحتية للنظم البيئية الرقمية، لا يمكن أن يكون الاستجابة للفدية مجرد مسألة تقنية معلومات مؤسسية.

ادعاء الفصل له عدة طبقات. الأولى هي التجزئة المنطقية بين أنظمة الشركة الداخلية والتكنولوجيا التشغيلية أو أنظمة المرفق. الثانية هي التجزئة الإدارية بين بيانات اعتماد الأعمال وبيانات اعتماد المرفق المميزة أو إدارة الخدمة. الثالثة هي التجزئة الشبكية بين بيئات المكاتب وبوابات الخدمة وشبكات الخدمة المُدارة وشبكات التعاون للعملاء. الرابعة هي تجزئة العمليات بين الاستجابة الداخلية للحوادث وعمليات دعم العملاء. الخامسة هي تجزئة الأدلة: سجلات وجداول جرد وسجلات حالة تحتاج إلى إظهار الأصول المتأثرة وتلك غير المتأثرة.

لا يمكن للعملاء فحص تلك الحدود الكاملة أثناء الحادث. يمكن لعميل سحابي أو عميل تعاون مراقبة خدماته الخاصة، اختبار الوصول، وطلب تحديثات من فرق الحسابات. لا يمكنه بنفسه فحص جرد الأصول الداخلي لـ Equinix، ضوابط المجال، حالة النسخ الاحتياطي، أدوات إدارة المرفق، أو سجلات عمليات الأمن. هذا التفاوت يخلق عبء المساءلة. يجب على المزود الذي لديه السيطرة توفير ضمان عام وخاص كاف لتمكين العملاء من اتخاذ قرارات بشأن الاستمرارية، قبول المخاطر، التخطيط للطوارئ، والتزامات الإفصاح الخاصة بهم.

نشرت مركز بيانات Dynamics لاحقًا مقابلة مع قيادة الأمن في Equinix علىhttps://www.datacenterdynamics.com/en/analysis/michael-montoya-equinixs-ciso-a-year-on-from-its-2020-ransomware-incident/حيث نوقش الحادث كاختبار لمعرفة ما إذا كان الحركة الجانبية إلى مرافق IBX ممكنة. المقال ليس تقريرًا جنائيًا كاملاً، وهذا التحليل لا يعامله كواحد. إنه قيم لأنه يؤطر الحادث حول الاستثمار السابق في العزل والاستجابة. لا يزال سؤال الأدلة الخاضع للمساءلة قائمًا: ما القطع الأثرية التي أظهرت أن حدود المرفق صمدت، وما الأنظمة التي فُحصت، وما قيل للعملاء، وكيف تم التحقق من الاستنتاجات؟

ضمان الاستمرارية بقوة سلسلة الأدلة الخاصة به

أعطى بيان الشركة العملاء الجملة التي كانوا في أمس الحاجة لرؤيتها: العمليات لم تتأثر. لكن المساءلة الناضجة تتطلب أكثر من جملة. يحتاج ضمان الاستمرارية إلى سلسلة أدلة يمكن شرحها للعملاء دون كشف تفاصيل النظام الحساسة. بالنسبة لمشغل مركز بيانات، يجب أن تبدأ هذه السلسلة بنطاق الأصول. ما الأنظمة الداخلية التي تأثرت؟ ما مجالات الهوية، خوادم الملفات، أدوات التعاون، مكاتب الخدمة، أنظمة الفوترة، أدوات الإدارة عن بعد، أو بوابات الإدارة التي كانت ضمن النطاق؟ ما الأنظمة التشغيلية والمرفقية والموجهة للعملاء التي كانت خارج النطاق؟ ما الأدلة التي دعمت كل حدود؟

الحلقة الثانية هي أدلة حالة الخدمة. يجب أن يكون المزود قادرًا على إظهار ما إذا كانت الطاقة والتبريد والوصول المادي وأقفاص العملاء والخدمات المُدارة وخدمات الترابط وتذاكر الدعم والأيدي عن بعد وبوابات الخدمة استمرت ضمن النطاقات الطبيعية. "لا تأثير" لا يجب أن يعني فقط عدم وجود شكوى مؤكدة. يجب أن يعني أن المزود قارن القياسات عن بعد، سجلات التشغيل، حجم التذاكر، جسور الحوادث، سجلات المرفق، وتصعيدات العملاء مقابل استمرارية الخدمة المتوقعة. يجب أن يكون ادعاء الاستمرارية قابلاً للقياس.

الحلقة الثالثة هي أدلة حدود البيانات. ميز بيان Equinix بين معدات العملاء والبيانات في أنظمة Equinix. هذا التمييز مفيد، لكنه يترك أسئلة. هل أصبحت أي معلومات للعملاء في أنظمة الأعمال الداخلية معرضة للخطر؟ هل تمت مراجعة سجلات الدعم وتفاصيل الاتصال والعقود وتذاكر الخدمة وقوائم الوصول إلى الأقفاص وبيانات البوابة والمخططات الفنية ومعلومات الخدمة المُدارة؟ هل تم إخطار العملاء بشكل خاص عندما كانت سجلاتهم ضمن الأنظمة المتأثرة، حتى لو لم تتأثر معداتهم الخاصة؟ التقارير العامة لا تقدم كل تلك الإجابات. لهذا السبب حدود الأدلة مهمة.

الحلقة الرابعة هي أدلة الاتصال. كان المنشور العام في المدونة في الوقت المناسب وتم تحديثه ليومين متتاليين على الأقل. أبلغت MSSP Alert عن البيان علىhttps://www.msspalert.com/news/ransomware-attacks-equinix-data-centers-and-managed-services-not-impactedوسلطت الضوء على ما لم يُكشف عنه: نوع الفدية بالضبط وأي الأنظمة الداخلية أصيبت. قضية المساءلة ليست أن كل تفصيل تقني يجب أن يكون علنيًا فورًا. إنه أن الاتصال بالحادث يجب أن يفصل الحقائق المؤكدة، حدود التحقيق، أدلة تأثير العملاء، قيود إنفاذ القانون، وتوقعات التحديث التالي. يحتاج العملاء إلى يقين كافٍ للتصرف دون إجبار المزود على نشر دليل للمهاجمين.

الحلقة الخامسة هي أدلة الاسترداد. التعافي من الفدية لا يكتمل عند نشر البيان العام. يتطلب الاحتواء والاستئصال والاستعادة وتدوير بيانات الاعتماد والتحقق من النسخ الاحتياطي والمراجعة الجنائية والمراجعة القانونية وتحديد نطاق العميل والدروس المستفادة. دليل CISA #StopRansomware علىhttps://www.cisa.gov/stopransomware/ransomware-guideهو سياق مفيد لأنه يعامل الفدية كعمل وقائي واستجابة، بما في ذلك النسخ الاحتياطي والاستعادة والهوية وممارسات إدارة الحوادث. دليل NIST لمعالجة حوادث أمن الحاسوب علىhttps://csrc.nist.gov/pubs/sp/800/61/r2/finalيعطي مفردات محايدة للتحضير والكشف والتحليل والاحتواء والاستئصال والاسترداد. تلك المصادر لا تثبت الإجراءات الخاصة لـ Equinix. إنها تحدد ما يجب أن تغطيه سلسلة أدلة موثوقة عادةً.

الاستثمار في مراكز البيانات يرفع معيار أدلة الحوادث

غالبًا ما يُناقش الاستثمار في مراكز البيانات من خلال السعة والطاقة وعقود الإيجار والاستحواذ وطلب الترابط. تظهر ملفات Equinix ومواد المستثمرين لماذا الشركة مركزية في تلك المحادثة الاستثمارية. ولكن تكشف الحوادث الأمنية جانبًا آخر من استثمار البنية التحتية: قيمة المنصة تعتمد على اعتقاد العملاء بأن المشكلات المؤسسية الداخلية للمزود لا تتحول إلى حالات طوارئ تشغيلية لهم. كلما زاد تركيز العملاء على الاستضافة المادية والترابط والبنية التحتية المُدارة في مزود واحد، زادت أهمية إثبات أن التسوية الخاصة بالمزود لها نصف قطر انفجار محدود.

هذه ليست مجرد قضية مؤسسات. العديد من الشركات الصغيرة والمتوسطة تعتمد على مزودين أكبر مباشرة أو من خلال شركاء الخدمات المُدارة ومنصات SaaS ومزودي الاتصال والموزعين. قد لا يكون لدى المؤسسة الصغيرة أو المتوسطة فريق أمن خاص قادر على تفسير ادعاءات الفدية من مشغل مركز بيانات عالمي. قد تعتمد على مزودي الخدمة الذين يعتمدون هم أنفسهم على مرافق Equinix أو الترابط. عندما يقول مشغل التعاون إن المرافق غير متأثرة، يسافر الضمان عبر سلاسل التوريد. قد لا يعرف العميل النهائي حتى أي مرفق أو نسيج ترابط يدعم الخدمة التي يستخدمها.

لهذا السبب حجة "العميل يملك المعدات" ضرورية لكنها غير كافية. إذا كان العميل يملك خادمه في قفص Equinix، فبياناته على ذلك الخادم قد لا تُمس بفدية على أنظمة Equinix الداخلية. لكن استمرارية العميل لا تزال تعتمد على ضوابط الوصول للمزود، التذاكر، الطاقة، التبريد، الأيدي عن بعد، تزويد التوصيلات المتقاطعة، إخطار الحوادث، الأمن المادي، وعمليات الدعم. حادث فدية في الأنظمة المؤسسية قد يظل مهمًا إذا تداخل مع الدعم أو إذا كشف عن بيانات الاتصال بالعملاء وبيانات البنية التحتية. يجب أن يغطي ملف المساءلة أسطح التبعية التي تظل قائمة حتى عندما تكون معدات العملاء منفصلة.

سياق 2020 مهم أيضًا. كان مشغلو الفدية يدمجون بشكل متزايد التشفير مع سرقة البيانات والابتزاز. وصفت نشرة FBI عن NetWalker علىhttps://www.ic3.gov/CSA/2020/200929-2.pdfنشاط NetWalker ضد القطاعات الحكومية والتعليمية والخاصة والصحية. أعلنت وزارة العدل لاحقًا عن إجراء تعطيل لـ NetWalker علىhttps://www.justice.gov/archives/opa/pr/department-justice-launches-global-action-against-netwalker-ransomwareووصفت النظام البيئي الإجرامي الأوسع. تلك المصادر ليست نتائج جنائية لـ Equinix. إنها تشرح لماذا خلق الإفصاح عن الفدية في 2020 أسئلة فورية حول سرقة البيانات والابتزاز وطلبات الدفع ونطاق الإفصاح.

جعل تقرير BleepingComputer علىhttps://www.bleepingcomputer.com/news/security/equinix-data-center-giant-hit-by-netwalker-ransomware-45m-ransom/تلك الأسئلة ملموسة بالإبلاغ عن طلب فدية مزعوم وضغط سرقة بيانات مزعوم. لم تضع Equinix تلك التفاصيل في بيانها. لذلك يجب على التحليل المسؤول أن يمسك كلا الحقيقتين في آن واحد: التقارير العامة خلقت بيئة تفسيرية عالية المخاطر للعملاء، بينما البيان المؤكد للشركة حصر نفسه في الأنظمة الداخلية وإخطار إنفاذ القانون واستمرار العمليات والتحقيق الجاري. المساءلة لا تُخدم بالمبالغة في الادعاءات غير المؤكدة. إنها تُخدم بطرح السؤال عن الأدلة التي من شأنها تسوية الأسئلة للأشخاص الذين كان عليهم اتخاذ القرارات.

توقيت الإفصاح جزء من إدارة الاستمرارية

كان إفصاح مدونة Equinix قصيرًا، لكن توقيته كان مهمًا. حادث فدية في مشغل مركز بيانات يمكن أن يخلق سوق شائعات أسرع من أن يُغلق التحقيق الرسمي. قد يرى العملاء مقالات إخبارية وادعاءات من المهاجمين وشذوذًا في الخدمة وتأخيرًا في الدعم أو قلقًا تنفيذيًا داخليًا قبل الحصول على إجابات رسمية. مهمة الإفصاح للمزود هي تجنب فشلين في آن واحد. يجب ألا يخفي معلومات جوهرية عن العملاء الذين يحتاجونها. كما يجب ألا ينشر تخمينات ستنهار لاحقًا.

صفحة SEC لقاعدة الإفصاح عن الأمن السيبراني 2023 علىhttps://www.sec.gov/rules-regulations/2023/07/s7-09-22والبيان الصحفي علىhttps://www.sec.gov/intelligence team/press-releases/2023-139هما لاحقان لحادث Equinix، لذا فهما ليسا معيارًا قانونيًا لما كان على Equinix فعله في سبتمبر 2020. إنهما مفيدان لأنهما يظهران اتجاه سياسة إفصاح الشركات العامة: حوادث الأمن السيبراني، عمليات إدارة المخاطر، أدوار الإدارة، ورقابة مجلس الإدارة تكون ذات صلة بالمستثمرين عندما تكون جوهرية. بالنسبة لشركة بنية تحتية عامة، كانت قضية المساءلة الأساسية موجودة قبل القاعدة. كان المستثمرون والعملاء بحاجة إلى معرفة ما إذا كان الحادث أثر على العمليات أو المخاطر الجوهرية أو التكاليف المستقبلية.

أقوى إفصاح سيجعل أربعة تمييزات واضحة. أولاً، ما هو مؤكد؟ ثانياً، ما لا يزال قيد التحقيق؟ ثالثاً، ما الإجراء المطلوب من العميل الآن؟ رابعاً، ما التحديث المستقبلي أو عملية الإخطار الخاص الذي سيتبع؟ أجاب بيان Equinix على أجزاء من السؤالين الأول والثالث بقول إن العمليات ومعدات العملاء لم تتأثر وعدم توجيه العملاء لاتخاذ إجراء طارئ. ترك السؤالين الثاني والرابع مفتوحين جزئياً، وهو أمر شائع في بيانات الحوادث المبكرة. الاختبار الخاضع للمساءلة هو ما إذا كانت اتصالات العملاء الخاصة والتحديد اللاحق للنطاق سدت تلك الفجوات.

الإفصاح هو أيضًا مشكلة تحميل دعم. خلال حادث فدية، قد يواجه كل فريق حسابات عميل نفس الأسئلة. إذا لم يعد المزود أدلة متسقة، يتلقى العملاء إجابات غير متسقة. في أعمال التعاون، يمكن أن يخلق هذا التناقض خطر استمرارية لأن العملاء قد يبدأون بشكل مستقل في الترحيل، تجميد التغييرات، تعليق طلبات الوصول، أو التصعيد إلى الجهات التنظيمية الخاصة بهم. عملية اتصال حوادث ناضجة تعطي فرق الحسابات نصًا موثوقًا، مسار تصعيد، وحزمة أدلة تميز معدات العملاء والخدمات المُدارة وبيانات الأعمال الداخلية والمرافق التشغيلية.

مقال The Register علىhttps://www.theregister.com/on-prem/2020/09/10/equinix-warns-its-infected-with-ransomware-promises-it-can-carry-on-regardless/1055338شرح لماذا بدا الادعاء معقولاً للمراقبين الخارجيين: عزل معدات العملاء المختلفة متأصل في نموذج التعاون. لكن المعقول ليس هو نفسه المثبت. في حادث خطير، يجب أن يكون المزود قادرًا على إظهار أن الهندسة عملت في هذه الحالة بالذات. قد يشمل ذلك إحاطات غير عامة للعملاء، ضمان مستقل، تقارير استجابة للحوادث، أو إخطارات خاصة بالعقد.

الفصل التشغيلي يجب أن ينجو من اختراق الهوية

غالبًا ما تبدأ حوادث الفدية كحوادث هوية. يحصل المهاجمون على بيانات اعتماد، يرفعون الامتيازات، يتحركون جانبيًا، يطفئون الدفاعات، ينظمون البيانات، ويشفرون الأنظمة. حتى عندما لا يحدد سجل المصادر العامة مسار الاختراق الأولي، يجب أن يسأل تحليل المساءلة عما إذا كان التحكم في الهوية قويًا بما يكفي لدور التبعية للمزود. مشغل مركز بيانات يجب ألا يعتمد على دليل داخلي واحد، أو مسار وصول عن بعد واحد، أو مستوى بيانات اعتماد إداري واحد لكل من أنظمة الأعمال المؤسسية والاستمرارية التشغيلية.

NIST SP 800-53 Rev. 5 علىhttps://csrc.nist.gov/publications/detail/sp/800-53/rev-5/finalهو مفردات مفيدة هنا لأنه ينظم الضوابط حول التحكم في الوصول والتحديد والمصادقة وإدارة التكوين والتدقيق والتخطيط للطوارئ والاستجابة للحوادث وسلامة النظام ومخاطر سلسلة التوريد. إطار NIST للأمن السيبراني علىhttps://www.nist.gov/cyberframeworkيعطي بنية أوسع للتحديد والحماية والكشف والاستجابة والاسترداد. تلك المواد لا تقول ما فعلته Equinix داخلياً. إنها تساعد في تعريف الأدلة التي قد يتوقعها العملاء بشكل معقول من مزود تدعم مرافقه استمرارية شركات أخرى.

فصل الهوية مهم للأيدي عن بعد والخدمات المُدارة. إذا كان موظفو المزود بحاجة لدعم معدات العملاء أو البنية التحتية المُدارة أثناء حادث، يجب أن يعرف المزود أن حسابات الدعم ومضيفات القفز والموافقات على الوصول وسير عمل التذاكر وأنظمة الوصول إلى المرفق ليست تحت سيطرة البيئة المخترقة. وإلا فإن الاستجابة يمكن أن تخلق خطرًا من الدرجة الثانية: تحاول الشركة الاستمرار في دعم العملاء بينما غير متأكدة من أي الهويات الداخلية موثوقة.

نفس الشيء ينطبق على النسخ الاحتياطية والاستعادة. حادث فدية على الأنظمة الداخلية يختبر ما إذا كانت النسخ الاحتياطية معزولة عن مستوى الهوية المخترق. كما يختبر ما إذا كانت الأنظمة المستعادة يمكن الوثوق بها قبل إعادة توصيلها بسير العمل التشغيلي. دليل CISA للفدية علىhttps://www.cisa.gov/stopransomware/ransomware-guideيؤكد على ممارسات النسخ الاحتياطي والاستعادة لأن التعافي من الفدية يفشل عندما تكون النسخ الاحتياطية غير كاملة أو متصلة بنفس البيئة المخترقة أو غير مختبرة. في بيئة مركز البيانات، ضمان النسخ الاحتياطي ليس فقط حول الملفات المؤسسية. إنه حول أنظمة الأعمال التي تمكن المشغل من الاتصال والمصادقة والفواتير والإرسال والدعم.

الوضع القوي من حيث المساءلة هو أن يكون مقسمًا إلى أقسام. يمكن لأنظمة التعاون المؤسسية أن تفشل دون تعطيل عمليات المرفق. يمكن لمراقبة المرفق أن تستمر دون الاعتماد على أدلة الشركة المخترقة. يمكن عزل بوابات الخدمة أو وضعها في وضع الصيانة المتحكم به دون فقدان أدلة العملاء. يمكن لفرق الدعم العمل من قنوات استمرارية محصنة. يمكن توزيع إشعارات العملاء عبر مسارات اتصال موثقة. يجب أن يكون لكل طبقة سجلات تظهر أنها تصرفت كما صممت أثناء الحادث.

السجل العام يظهر ادعاء حدود، ليس تقريرًا جنائيًا كاملاً

أقوى دليل متاح للجمهور هو ادعاء الحدود. قالت Equinix إن الحادث شمل بعض الأنظمة الداخلية، وتم إخطار إنفاذ القانون، وأن مراكز البيانات وعروض الخدمات ظلت تعمل بالكامل، وأن عمليات العملاء وبياناتهم على معدات العملاء لم تتأثر. أبلغت DCD وSecurityWeek وThe Register وCRN وMSSP Alert عن ذلك الادعاء. ناقشت BleepingComputer وCRN إسناد NetWalker المزعوم وطلب الفدية، مع ملاحظة CRN أن Equinix رفضت التعليق على تلك التفاصيل. ربطت مقابلة DCD لعام 2021 لاحقًا الحدث باستثمار العزل واستجابة الفدية.

هذا السجل كافٍ لدعم تحليل المساءلة عن المخاطر، لكنه ليس كافياً لإعادة بناء الحادث بالكامل. الجمهور لا يملك قائمة أصول كاملة، جدول زمني للبرمجيات الخبيثة، جرد الأنظمة المتأثرة، نطاق اختراق الهوية، تحديد سرقة البيانات، مجموعة إشعارات العملاء، جدول زمني لإنفاذ القانون، سجل قرار الدفع، أدلة استعادة النسخ الاحتياطي، أو تقرير جنائي مستقل. لذلك لا تدعي هذه المقالة عدم لمس أي معلومات داخلية للعملاء ما لم يدعمها السجل العام. تقول إن بيان الشركة المتاح أكد عدم تأثير تشغيلي على العملاء أو معداتهم، ثم تسأل ما الدليل الذي يجب أن يحتفظ به المزود وراء هذا التأكيد.

التمييز ليس دقيقًا بشكل زائد. إنه يحمي كلا جانبي المساءلة. لا يجب أن يعامل العملاء بيانًا عامًا قصيرًا كتقرير فني كامل. لا يجب إجبار المزودين على كشف تفاصيل دفاعية حساسة علنًا بينما التحقيق نشط. الوسط المسؤول هو ضمان منظم. يمكن للمزود أن يكشف ما يكفي لتحديد الحدود، إعطاء العملاء توجيهات للعمل، الالتزام بإخطار خاص عند الحاجة، وتقديم أدلة أعمق لاحقًا للمدققين أو كبار العملاء أو الجهات التنظيمية.

كلما كانت التبعية أقوى، زادت مسؤولية الأدلة. مزود تبعية منخفضة يمكنه تقديم إشعار أساسي ومعالجة. مزود تعاون عالمي تستضيف مواقعه أعباء عمل مجاورة للسحابة ونظمًا بيئية للترابط يجب أن يتوقع مراجعة أعمق. قد يطلب العملاء تقارير الحوادث، تأكيدات الضوابط، استبيانات أمن محدثة، أدلة استمرارية الأعمال، والتزامات بشأن الإخطار المستقبلي. تلك الطلبات ليست بيروقراطية. إنها كيف يحول العملاء ادعاء استمرارية المزود إلى قرار المخاطر الخاص بهم.

حوكمة العملاء يجب أن تطلب الدليل قبل الحادث التالي

قضية Equinix تظهر أيضًا ضعفًا في جانب العميل. يعامل العديد من العملاء مزودي مراكز البيانات كبنية تحتية مستقرة ويراجعونها بشكل كبير أثناء الشراء الأولي، ثم بخفة أثناء التجديد. الإفصاح عن الفدية يجب أن يغير هذا الإيقاع. سؤال الحوكمة ذو الصلة ليس ما إذا كان المزود لا يزال مشغلًا ذا سمعة حسنة. إنه ما إذا كان العميل لديه أدلة كافية لفهم أي أجزاء من خطة الاستمرارية الخاصة به تعتمد على ضوابط الحوادث الداخلية للمزود.

بالنسبة لمؤسسة كبيرة، يجب أن يكون طلب الأدلة منظمًا. يجب أن يسأل العميل كيف يفصل المزود بين تقنية المعلومات المؤسسية، عمليات المرفق، إدارة الخدمة المُدارة، بوابات العملاء، سير عمل الدعم، وتزويد الترابط. يجب أن يسأل ما إذا كانت الهويات المميزة لتلك الوظائف معزولة ومراقبة. يجب أن يسأل كيف تُحدد تقديرات تأثير العملاء، ومن يوافق على إشعارات العملاء، وما المعلومات المتاحة خلال اليوم الأول من الحادث، وما مادة الضمان المقدمة بعد الاسترداد. لا يجب أن يطلب الطلب مخططات حساسة علنًا. يجب أن يطلب وسيلة موثوقة للتحقق من أن ادعاء الحدود ليس مجرد جملة علاقات عامة.

بالنسبة للعميل الصغير أو المتوسط، نفس الانضباط أصعب لكنه لا يزال ممكنًا. قد لا يكون للشركات الصغيرة والمتوسطة نفوذ مباشر على مزود عالمي، لكن يمكنها سؤال مزود الخدمة المُدارة أو وسيط السحابة أو موزع الاستضافة أو مزود الشبكة عن تبعية المصب الموجودة. إذا كان عبء عملها يعتمد على مرفق Equinix، يجب أن تعرف من يتلقى إشعارات الحوادث، كيف تُنقل تلك الإشعارات، ما بدائل الاستمرارية الموجودة، وما إذا كان الدعم يمكن أن يستمر إذا كانت أنظمة الشركة للمزود الرئيسي معطلة. مشكلة استمرارية الشركات الصغيرة والمتوسطة غالبًا ما تكون غير مباشرة. الشركة التي تعاني من الألم التشغيلي قد لا تكون الشركة التي تتلقى إشعار المزود الأصلي.

يجب على العملاء أيضًا فصل استمرارية الخدمة عن سرية البيانات. يمكن للمزود الحفاظ على تشغيل الطاقة وخدمات الشبكة بينما يحقق فيما إذا كانت الأنظمة المؤسسية تحتوي على بيانات اتصال العملاء أو تكوينات. لذلك يجب على فريق المخاطر في العميل طرح سؤالين. يسأل مسار العمليات عما إذا كانت أعباء العمل والوصول والترابط والدعم والتزويد استمرت. يسأل مسار السرية عما إذا كانت بيانات العملاء الوصفية والعقود وقوائم الوصول والتذاكر والمخططات أو سجلات الخدمة المُدارة كانت في الأنظمة المتأثرة. الجمع بين الاثنين يسمح للمزود بالإجابة عن "العمليات غير متأثرة" مع ترك سؤال البيانات دون حل. فصلهما ينتج ملف مساءلة أنظف.

يجب على فرق التأمين والتدقيق والمشتريات معاملة هذا كدليل حي. قد يسأل مؤمنو الأمن السيبراني ما إذا كان الموردون الحرجون قد اختبروا التعافي من الفدية والتجزئة. قد يسأل المدققون ما إذا كانت تقييمات مخاطر الطرف الثالث تشمل مراجعة تاريخ الحوادث. قد تطلب فرق المشتريات بنود حق التدقيق وجداول زمنية للإخطار وضمان ما بعد الحادث. قد تحدد فرق استمرارية الأعمال المواقع والتوصيلات المتقاطعة والناقلات ومنحدرات السحابة وجهات الدعم التي تعتمد على المزود. السؤال المفيد ليس "هل كان للمزود حادث فدية؟" العديد من المؤسسات الجادة سيكون لديها. السؤال المفيد هو "ماذا أثبت الحادث حول قدرة المزود على الحفاظ على حدود استمرارية العميل؟"

يجب أن يرحب المزود بهذا النوع من المراجعة إذا صمدت الحدود. يمكن لمشغل جيد الإدارة تحويل حادث إلى دليل على المرونة: تم احتواء الأنظمة المؤسسية؛ بقيت عمليات المرفق مستقرة؛ تم عزل معدات العملاء؛ استمرت قنوات الدعم؛ تم تحديد نطاق سجلات العملاء؛ تم إخطار إنفاذ القانون؛ تم الاحتفاظ بالقطع الأثرية للاسترداد؛ تم إجراء تحسينات في الضوابط. تلك القصة أقوى عندما تتضمن قطعًا أثرية وجداول زمنية ومقاييس وضمانًا مستقلاً. إنها أضعف عندما تعتمد فقط على ثقة العلامة التجارية.

هناك سبب تجاري للدقة. الاستثمار في مراكز البيانات يعتمد بشكل متزايد على وعود حول كثافة النظام البيئي والقرب من السحابة والبنية التحتية للذكاء الاصطناعي وأعباء العمل المنظمة والترابط. تلك الوعود تخلق تركيزًا. عندما يتجمع العديد من العملاء حول نفس المزود، تصبح ضوابط الحوادث للمزود جزءًا من المرونة المشتركة للسوق. حادث فدية لا يسبب انقطاعًا مرئيًا يمكن أن يكشف ما إذا كان المزود لديه انضباط الأدلة اللازم لهذا الدور. يجب على حوكمة العملاء أن تلتقط هذا الدرس قبل الحدث التالي الذي يفرض نفس الأسئلة تحت ضغط أكبر.

نفس انضباط الأدلة يجب أن يمتد إلى العمليات الإقليمية. عميل لديه معدات في مرفق واحد قد لا يزال يعتمد على فرق الدعم المؤسسية والتذاكر المركزية والوصول المشترك للبائعين وإدارة الهوية المشتركة وتزويد الشبكة عبر المناطق. إذا تضررت تلك الطبقات المشتركة، يمكن أن تظل قاعة البيانات محلية مزودة بالطاقة بينما تتدهور قدرة العميل على طلب التغييرات أو تأكيد الوصول أو تنسيق العمل الطارئ. لذلك يفصل ملف الاستمرارية الناضج أدلة حالة المرفق عن أدلة إدارة الخدمة. إنه يظهر ليس فقط أن الرفوف والطاقة والتبريد والترابط ظلت مستقرة، ولكن أيضًا أن العمليات التشغيلية المحيطة بها احتفظت باتصال موثوق وسجلات قرارات خاضعة للمساءلة.

ما يجب أن يثبته الإصلاح المستدام

الإصلاح المستدام بعد حادث فدية في مشغل تعاون يجب أن يثبت ستة أشياء. أولاً، يجب أن يثبت النطاق. يجب أن يعرف المزود أي الأنظمة تأثرت، وأيها فُحصت، وأيها كانت خارج البيئة المخترقة. يجب أن يستند النطاق إلى السجلات وأدلة نقاط النهاية وسجلات الهوية وقياس الشبكة والتحليل الجنائي، وليس على افتراضات حول ملكية وحدة الأعمال.

ثانيًا، يجب أن يثبت الاستمرارية التشغيلية. يجب أن يحتفظ المزود بسجلات تظهر أن عمليات المرفق وعروض الخدمات والخدمات المُدارة ودعم العملاء وخدمات الترابط استمرت أو إذا تدهور أي جزء، كيف تم قياس التدهور وإبلاغه. "تعمل بكامل طاقتها" يجب أن يكون قابلاً للتتبع لمقاييس تشغيلية. هذا لا يتطلب نشر كل مقياس. إنه يتطلب الحفاظ عليها.

ثالثًا، يجب أن يثبت حدود بيانات العملاء. في التعاون، قد تكون معدات العملاء خارج التسوية المؤسسية للمزود. لكن بيانات العملاء الوصفية في أنظمة المزود قد لا تزال مهمة. العقود وقوائم الاتصال وسجلات الوصول وتذاكر الخدمة وتفاصيل التوصيلات المتقاطعة ومخططات الشبكة وسجلات الفوترة وسجلات الخدمة المُدارة يمكن أن تخلق خطرًا إذا تم كشفها. يجب أن يشمل الإصلاح تحليل نطاق بيانات العملاء وسجل قرار الإخطار.

رابعًا، يجب أن يثبت إعادة تعيين الهوية واحتواء الامتياز. يجب مراجعة كل حساب مميز ومسار وصول عن بعد ومجموعة إدارية وحساب خدمة وبيانات اعتماد دعم متصلة بالبيئة المتأثرة. إذا كانت الأنظمة التشغيلية تستخدم مستويات هوية منفصلة، يجب أن يثبت الإصلاح أن الفصل صمد. إذا كان هناك أي جسر هوية، يجب أن يشرح الإصلاح كيف تم إغلاقه أو مراقبته.

خامسًا، يجب أن يثبت سلامة النسخ الاحتياطي والاستعادة. استعادة الأنظمة الداخلية بعد الفدية محفوفة بالمخاطر إذا لم تكن النسخ الاحتياطية نظيفة أو إذا أعيد توصيل الأنظمة المستعادة قبل فهم التسوية. يجب أن يحتفظ المزود بأدلة نقاط الاستعادة وفحوصات البرمجيات الخبيثة وتدوير بيانات الاعتماد وتصلب النظام والتحقق. الهدف ليس مجرد إعادة فتح الأنظمة. إنه إعادة فتحها مع ادعاء قابل للدفاع أن المهاجم لم يعد لديه سيطرة عملية.

سادسًا، يجب أن يثبت الحوكمة. القيادة العليا وقادة الأمن والفرق القانونية ومديري العمليات وفرق العملاء ومجلس الإدارة لكل منهم مواقف سيطرة مختلفة. قال بيان Equinix العام إن إنفاذ القانون تم إخطاره. ملف مساءلة كامل سيظهر أيضًا من قرر الإفصاح العام، ومن وافق على رسائل العملاء، ومن امتلك التحديد الجنائي، ومن راجع أدلة الاستمرارية، ومن قيم الجوهرية، ومن تحقق من المعالجة.

السيناريو البديل ليس عدم وجود فدية؛ إنه الاحتواء القابل للفحص

لا يجب أن يتوقع أي عميل بنية تحتية جاد أن مزودًا كبيرًا لن يواجه فدية أبدًا. السيناريو البديل الأفضل هو أن احتواء المزود قابل للفحص. هذا يعني أن المزود يمكنه إظهار، تحت الضغط، أن التسوية المؤسسية لا تمنح تلقائيًا الوصول إلى عمليات المرفق أو معدات العملاء أو مستويات التحكم في الخدمة المُدارة أو عمليات استمرارية الخدمة. كما يعني أن المزود يمكنه شرح تأثيرات العملاء دون انتظار المهاجمين أو الشائعات أو تقارير الطرف الثالث لتحديد السرد.

أكد بيان Equinix على نتيجة الاحتواء الأساسية. عدسة المساءلة تسأل عما إذا كانت أدلة الاحتواء قوية بما يكفي لدور التبعية. مزود ناضج كان سيعد لهذا السؤال بالضبط قبل الحادث. كان سيرسم خرائط لخدمات الأعمال الحرجة وسلاسل التبعية وحدود الهوية ومخازن بيانات العملاء ومستويات النسخ الاحتياطي ومسارات الاتصال بإنفاذ القانون والبيانات الإعلامية ونصوص فرق حسابات العملاء وعتبات التصعيد التنظيمي. كان سيتدرب ليس فقط على الاسترداد التقني ولكن أيضًا على إنتاج أدلة العملاء.

السيناريو البديل يشمل أيضًا استعداد جانب العميل. لا يجب أن يستعين عملاء التعاون بكل تفكير الاستمرارية لمزود المرفق. يجب أن يعرفوا أي أعباء العمل تعتمد على مرفق، وما مسارات الوصول البديلة الموجودة، وما تذاكر الدعم الحرجة، وما التوصيلات المتقاطعة التي تعتبر نقاط فشل فردية، وكيف سيستجيبون إذا تدهورت أنظمة دعم المزود. لكن العميل يمكنه فعل ذلك بشكل جيد فقط إذا قدم المزود معلومات واضحة وفي الوقت المناسب ومحددة تقنيًا أثناء الحوادث.

بالنسبة للشركات الصغيرة والمتوسطة، هذا صعب بشكل خاص. العملاء الأصغر قد يشترون من خلال شركاء وقد يفتقرون إلى النفوذ لطلب أدلة مفصلة. لهذا السبب جودة الإفصاح العام مهمة. بيان عام موجز ودقيق ومحدث يمكن أن يقلل من التصعيد القائم على الشائعات. حزمة ضمان العملاء اللاحقة يمكن أن تدعم قرارات الشراء والتجديد. استبيانات الأمن الموحدة وبوابات الثقة يمكن أن تساعد، لكن فقط إذا تم تحديثها بعد الحوادث الحقيقية بدلاً من البقاء عامة.

المساءلة تتبع السيطرة على سطح الاستمرارية المشترك

يجب أن يتبع التخصيص النهائي السيطرة العملية. سيطرت Equinix على أنظمتها الداخلية وعمليات المرفق وسير عمل دعم الخدمة واتصال العملاء وعملية الاستجابة للحوادث وإنتاج الأدلة. سيطر العملاء على معداتهم وتطبيقاتهم داخل بيئة التعاون. سيطر إنفاذ القانون على التحقيق الجنائي. سيطر مراسلو الطرف الثالث على التقارير العامة حول عائلة الفدية المزعومة وطلب الفدية. سيطر المستثمرون وفرق المشتريات على قرارات المخاطر الخاصة بهم، لكنهم اعتمدوا على الأدلة المقدمة من الطرف الأقرب إلى البيئة المخترقة.

هذا التخصيص لا يعني أن Equinix كانت مسؤولة عن كل تفسير لاحق محتمل للحادث. إنه يعني أن عبء الإثبات كان الأعلى على المشغل الذي يمكنه فحص الحدود. إذا صمدت الحدود، يجب أن يكون المشغل قادرًا على إثبات ذلك. إذا كانت بعض سجلات العملاء في الأنظمة الداخلية معرضة للخطر، يجب أن يكون المشغل قادرًا على تحديد النطاق والإخطار. إذا لم يكن هناك إجراء مطلوب من العميل، يجب أن يكون المشغل قادرًا على شرح السبب. إذا لم يمكن نشر التفاصيل الخاصة، يجب أن يوفر المشغل هيكلًا موثوقًا لضمان العملاء.

يبقى حادث Equinix لعام 2020 مهمًا لأنه لم يُذكر كتعطيل كبير للتعاون. هذا بالضبط لماذا هو مفيد. إنه يظهر أفضل مشكلة مساءلة: عندما يقول مزود إن الحادث لم يصل إلى سطح الاستمرارية المشترك، لا يزال العملاء بحاجة إلى دليل على الحدود. غياب الانقطاع المرئي ليس هو نفس المساءلة الكاملة. الدرس المستدام هو أن ثقة مركز البيانات تعتمد على أدلة على أن التسوية المؤسسية ومعدات العملاء وعمليات المرفق والخدمات المُدارة وقنوات الاتصال منفصلة في التصميم وفي الواقع.

بالنسبة للبنية التحتية الرقمية العالمية، الإفصاح عن الفدية هو بالتالي انضباط استمرارية. المزود يكسب الثقة ليس بقول إن الفدية كانت محدودة، ولكن بإظهار كيف تم اكتشاف التقييد وقياسه والحفاظ عليه وإبلاغه وإصلاحه.