ملخص
- اختراق SolarWinds Orion أعقبه استجابة حكومية وتحذيرات للعملاء ودعاوى قضائية للأوراق المالية وسجل إلغاء لاحق لا يزال يترك جودة الأدلة لبيانات الأمن العامة كمشكلة حوكمة.
- من كان لديه السيطرة العملية على بيانات المخاطر والأدلة الأمنية الداخلية وادعاءات المعالجة العامة وتحذيرات العملاء وتقارير مجلس الإدارة وإثبات أن لغة الأمن تطابق سجل سلامة الإصدار الفعلي؟
- قضية المساءلة ليست فقط أن نظام البناء تم اختراقه؛ بل ما إذا كانت أوصاف المخاطر وادعاءات التحكم وبيانات المعالجة مرتبطة بأدلة قابلة للتحقق بدلاً من لغة الثقة.
- العملاء والوكالات والمستثمرون ومشتري البرامج والمستجيبون للحوادث والمدراء وقادة الأمن يحتاجون إلى سجل يفصل الادعاءات والنتائج وادعاءات الشركة والأدلة التقنية المستقلة.
- المقال يحافظ على فصل الادعاءات وادعاءات الشركة وسجلات الجهات التنظيمية والنتائج التقنية والموقف القانوني والمجهولات المتبقية بحيث تستند المساءلة إلى الأدلة وليس إلى قوة السرد.
أصبحت لغة المخاطر جزءًا من سطح التحكم
إن القول بأن لغة المخاطر أصبحت جزءًا من سطح التحكم هو المكان المناسب للبدء، لأن قضية المساءلة ليست فقط أن نظام البناء تم اختراقه؛ بل ما إذا كانت أوصاف المخاطر وادعاءات التحكم وبيانات المعالجة مرتبطة بأدلة قابلة للتحقق بدلاً من لغة الثقة. اختراق SolarWinds Orion أعقبه استجابة حكومية وتحذيرات للعملاء ودعاوى قضائية للأوراق المالية وسجل إلغاء لاحق لا يزال يترك جودة الأدلة لبيانات الأمن العامة كمشكلة حوكمة. لذلك فإن سؤال المساءلة العامة ليس ما إذا كانت المنظمة قد عانت من حادث صعب؛ بل ما إذا كان الأشخاص خارج غرفة التحكم يمكنهم رؤية أدلة كافية لفهم ما تغير ومن سيطر على ذلك التغيير وما هي المخاطر التي بقيت مفتوحة.
بالنسبة لـ SolarWinds North America, Inc.، شمل سطح التحكم العملي بيانات المخاطر، والأدلة الأمنية الداخلية، وادعاءات SEC وموقف الإلغاء، وتحذيرات العملاء، وسلامة البناء، والتزامات Secure by Design، وتقارير مجلس الإدارة، وإثبات المعالجة العامة. هذه الكلمات تسمي فرقًا مختلفة وواجبات إثبات مختلفة. قد يحتفظ فريق الأمن بالسجلات، وقد يحتفظ فريق المنتج بأدلة الإصدار أو المنصة، وقد يتحكم الفريق القانوني في لغة الإشعارات، وقد يتحكم المالية في تقديرات الخسائر، وقد تتحكم الفرق المواجهة للعملاء في التفسيرات التي يمكن للأشخاص المتأثرين استخدامها فعليًا. تظهر المساءلة عندما يتم ضم هذه الأجزاء في سجل واحد بدلاً من تركها كذكريات مؤسسية منفصلة.
حد مصدر واحد لهذا القسم هو Mandiant / FireEye، 2020-12-13، تقرير المستجيب للحوادث الفني (https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/). إنه مفيد للسجل العام حول بيانات مخاطر الأمن من SolarWinds وسجل دعوى SEC وسجل المساءلة في الإفصاح عن الأدلة، لكنه لا يستطيع بنفسه الإجابة على كل سؤال رقابة داخلي، لذلك تعامل هذه المقالة معه كدليل على الادعاء الذي يمكنه دعمه فعليًا.
الحد مهم بقدر الحقيقة. تعامل المقالة سجل المحكمة وSEC كموقف قانوني وليس كتدقيق جنائي. لا ينبغي للقارئ أن يخمن ما إذا كانت الجملة تأتي من إفصاح شركة، أو جهة تنظيمية، أو محكمة، أو عميل، أو باحث تقني، أو معيار قطاعي. عندما يكون نوع المصدر واضحًا، يمكن للمقالة أن تقول بشكل أقل دراماتيكية ولكن بدقة أكبر: هذا ما يثبته السجل، وهذا ما يشير إليه، وهذا ما لا يزال غير مثبت.
نفس الانضباط يغير المعالجة. إذا كان الإصلاح الموعود الوحيد هو ضمان واسع، فلن يتمكن مجلس الإدارة أو العميل التالي من اختباره. إذا كان الإصلاح مرتبطًا بأدلة مصدرية، مثل SolarWinds، 2020-12-14، نموذج SEC 8-K (https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm) وNSA، 2020-12-17، استشارة الأمن السيبراني (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/)، فيمكن سؤال المنظمة عن التواريخ والنطاق والاستثناءات ونتائج الاختبار والتبعيات المتبقية. هذا هو الفرق بين التعافي السمعة والمساءلة في التعافي.
سجل الإلغاء لم يصدق على بيئة البناء
إن القول بأن سجل الإلغاء لم يصدق على بيئة البناء هو المكان المناسب للبدء، لأن قضية المساءلة ليست فقط أن نظام البناء تم اختراقه؛ بل ما إذا كانت أوصاف المخاطر وادعاءات التحكم وبيانات المعالجة مرتبطة بأدلة قابلة للتحقق بدلاً من لغة الثقة. اختراق SolarWinds Orion أعقبه استجابة حكومية وتحذيرات للعملاء ودعاوى قضائية للأوراق المالية وسجل إلغاء لاحق لا يزال يترك جودة الأدلة لبيانات الأمن العامة كمشكلة حوكمة. لذلك فإن سؤال المساءلة العامة ليس ما إذا كانت المنظمة قد عانت من حادث صعب؛ بل ما إذا كان الأشخاص خارج غرفة التحكم يمكنهم رؤية أدلة كافية لفهم ما تغير ومن سيطر على ذلك التغيير وما هي المخاطر التي بقيت مفتوحة.
بالنسبة لـ SolarWinds North America, Inc.، شمل سطح التحكم العملي بيانات المخاطر، والأدلة الأمنية الداخلية، وادعاءات SEC وموقف الإلغاء، وتحذيرات العملاء، وسلامة البناء، والتزامات Secure by Design، وتقارير مجلس الإدارة، وإثبات المعالجة العامة. هذه الكلمات تسمي فرقًا مختلفة وواجبات إثبات مختلفة. قد يحتفظ فريق الأمن بالسجلات، وقد يحتفظ فريق المنتج بأدلة الإصدار أو المنصة، وقد يتحكم الفريق القانوني في لغة الإشعارات، وقد يتحكم المالية في تقديرات الخسائر، وقد تتحكم الفرق المواجهة للعملاء في التفسيرات التي يمكن للأشخاص المتأثرين استخدامها فعليًا. تظهر المساءلة عندما يتم ضم هذه الأجزاء في سجل واحد بدلاً من تركها كذكريات مؤسسية منفصلة.
حد مصدر واحد لهذا القسم هو Mandiant / FireEye، 2020-12-24، تحليل البرامج الضارة (https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/). إنه مفيد للسجل العام حول بيانات مخاطر الأمن من SolarWinds وسجل دعوى SEC وسجل المساءلة في الإفصاح عن الأدلة، لكنه لا يستطيع بنفسه الإجابة على كل سؤال رقابة داخلي، لذلك تعامل هذه المقالة معه كدليل على الادعاء الذي يمكنه دعمه فعليًا.
الحد مهم بقدر الحقيقة. الفرق المهم هو بين الإصدارات المتأثرة والتركيبات والأهداف المختارة والاختراق التالي. لا ينبغي للقارئ أن يخمن ما إذا كانت الجملة تأتي من إفصاح شركة، أو جهة تنظيمية، أو محكمة، أو عميل، أو باحث تقني، أو معيار قطاعي. عندما يكون نوع المصدر واضحًا، يمكن للمقالة أن تقول بشكل أقل دراماتيكية ولكن بدقة أكبر: هذا ما يثبته السجل، وهذا ما يشير إليه، وهذا ما لا يزال غير مثبت.
نفس الانضباط يغير المعالجة. إذا كان الإصلاح الموعود الوحيد هو ضمان واسع، فلن يتمكن مجلس الإدارة أو العميل التالي من اختباره. إذا كان الإصلاح مرتبطًا بأدلة مصدرية، مثل SolarWinds، 2021-03-01، نموذج 10-K (https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm) وGAO، 2022-01-13، مراجعة فيدرالية (https://www.gao.gov/products/gao-22-104746)، فيمكن سؤال المنظمة عن التواريخ والنطاق والاستثناءات ونتائج الاختبار والتبعيات المتبقية. هذا هو الفرق بين التعافي السمعة والمساءلة في التعافي.
احتياج العملاء لتحذيرات تطابق التعرض التشغيلي
إن القول بأن العملاء احتاجوا لتحذيرات تطابق التعرض التشغيلي هو المكان المناسب للبدء، لأن قضية المساءلة ليست فقط أن نظام البناء تم اختراقه؛ بل ما إذا كانت أوصاف المخاطر وادعاءات التحكم وبيانات المعالجة مرتبطة بأدلة قابلة للتحقق بدلاً من لغة الثقة. اختراق SolarWinds Orion أعقبه استجابة حكومية وتحذيرات للعملاء ودعاوى قضائية للأوراق المالية وسجل إلغاء لاحق لا يزال يترك جودة الأدلة لبيانات الأمن العامة كمشكلة حوكمة. لذلك فإن سؤال المساءلة العامة ليس ما إذا كانت المنظمة قد عانت من حادث صعب؛ بل ما إذا كان الأشخاص خارج غرفة التحكم يمكنهم رؤية أدلة كافية لفهم ما تغير ومن سيطر على ذلك التغيير وما هي المخاطر التي بقيت مفتوحة.
بالنسبة لـ SolarWinds North America, Inc.، شمل سطح التحكم العملي بيانات المخاطر، والأدلة الأمنية الداخلية، وادعاءات SEC وموقف الإلغاء، وتحذيرات العملاء، وسلامة البناء، والتزامات Secure by Design، وتقارير مجلس الإدارة، وإثبات المعالجة العامة. هذه الكلمات تسمي فرقًا مختلفة وواجبات إثبات مختلفة. قد يحتفظ فريق الأمن بالسجلات، وقد يحتفظ فريق المنتج بأدلة الإصدار أو المنصة، وقد يتحكم الفريق القانوني في لغة الإشعارات، وقد يتحكم المالية في تقديرات الخسائر، وقد تتحكم الفرق المواجهة للعملاء في التفسيرات التي يمكن للأشخاص المتأثرين استخدامها فعليًا. تظهر المساءلة عندما يتم ضم هذه الأجزاء في سجل واحد بدلاً من تركها كذكريات مؤسسية منفصلة.
حد مصدر واحد لهذا القسم هو CrowdStrike، 2021-01-11، تحليل فني (https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/). إنه مفيد للسجل العام حول بيانات مخاطر الأمن من SolarWinds وسجل دعوى SEC وسجل المساءلة في الإفصاح عن الأدلة، لكنه لا يستطيع بنفسه الإجابة على كل سؤال رقابة داخلي، لذلك تعامل هذه المقالة معه كدليل على الادعاء الذي يمكنه دعمه فعليًا.
الحد مهم بقدر الحقيقة. ادعاءات التطوير الآمن يجب أن تكون مرتبطة بأدوات يمكن للمراقب الخارجي اختبارها أو على الأقل تدقيقها. لا ينبغي للقارئ أن يخمن ما إذا كانت الجملة تأتي من إفصاح شركة، أو جهة تنظيمية، أو محكمة، أو عميل، أو باحث تقني، أو معيار قطاعي. عندما يكون نوع المصدر واضحًا، يمكن للمقالة أن تقول بشكل أقل دراماتيكية ولكن بدقة أكبر: هذا ما يثبته السجل، وهذا ما يشير إليه، وهذا ما لا يزال غير مثبت.
نفس الانضباط يغير المعالجة. إذا كان الإصلاح الموعود الوحيد هو ضمان واسع، فلن يتمكن مجلس الإدارة أو العميل التالي من اختباره. إذا كان الإصلاح مرتبطًا بأدلة مصدرية، مثل CISA، 2020-12-13، تنبيه حكومي (https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software) وGAO، 2021-05-25، شهادة الكونغرس (https://www.gao.gov/products/gao-21-594t)، فيمكن سؤال المنظمة عن التواريخ والنطاق والاستثناءات ونتائج الاختبار والتبعيات المتبقية. هذا هو الفرق بين التعافي السمعة والمساءلة في التعافي.
الأدلة الداخلية كان عليها أن تنجو من إعادة السرد القانونية
إن القول بأن الأدلة الداخلية كان عليها أن تنجو من إعادة السرد القانونية هو المكان المناسب للبدء، لأن قضية المساءلة ليست فقط أن نظام البناء تم اختراقه؛ بل ما إذا كانت أوصاف المخاطر وادعاءات التحكم وبيانات المعالجة مرتبطة بأدلة قابلة للتحقق بدلاً من لغة الثقة. اختراق SolarWinds Orion أعقبه استجابة حكومية وتحذيرات للعملاء ودعاوى قضائية للأوراق المالية وسجل إلغاء لاحق لا يزال يترك جودة الأدلة لبيانات الأمن العامة كمشكلة حوكمة. لذلك فإن سؤال المساءلة العامة ليس ما إذا كانت المنظمة قد عانت من حادث صعب؛ بل ما إذا كان الأشخاص خارج غرفة التحكم يمكنهم رؤية أدلة كافية لفهم ما تغير ومن سيطر على ذلك التغيير وما هي المخاطر التي بقيت مفتوحة.
بالنسبة لـ SolarWinds North America, Inc.، شمل سطح التحكم العملي بيانات المخاطر، والأدلة الأمنية الداخلية، وادعاءات SEC وموقف الإلغاء، وتحذيرات العملاء، وسلامة البناء، والتزامات Secure by Design، وتقارير مجلس الإدارة، وإثبات المعالجة العامة. هذه الكلمات تسمي فرقًا مختلفة وواجبات إثبات مختلفة. قد يحتفظ فريق الأمن بالسجلات، وقد يحتفظ فريق المنتج بأدلة الإصدار أو المنصة، وقد يتحكم الفريق القانوني في لغة الإشعارات، وقد يتحكم المالية في تقديرات الخسائر، وقد تتحكم الفرق المواجهة للعملاء في التفسيرات التي يمكن للأشخاص المتأثرين استخدامها فعليًا. تظهر المساءلة عندما يتم ضم هذه الأجزاء في سجل واحد بدلاً من تركها كذكريات مؤسسية منفصلة.
حد مصدر واحد لهذا القسم هو SolarWinds، 2021-01-11، تحديث الشركة (https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst). إنه مفيد للسجل العام حول بيانات مخاطر الأمن من SolarWinds وسجل دعوى SEC وسجل المساءلة في الإفصاح عن الأدلة، لكنه لا يستطيع بنفسه الإجابة على كل سؤال رقابة داخلي، لذلك تعامل هذه المقالة معه كدليل على الادعاء الذي يمكنه دعمه فعليًا.
الحد مهم بقدر الحقيقة. الإفصاح عن المخاطر مفيد فقط عندما يعطي القراء أدلة كافية لفهم عدم اليقين. لا ينبغي للقارئ أن يخمن ما إذا كانت الجملة تأتي من إفصاح شركة، أو جهة تنظيمية، أو محكمة، أو عميل، أو باحث تقني، أو معيار قطاعي. عندما يكون نوع المصدر واضحًا، يمكن للمقالة أن تقول بشكل أقل دراماتيكية ولكن بدقة أكبر: هذا ما يثبته السجل، وهذا ما يشير إليه، وهذا ما لا يزال غير مثبت.
نفس الانضباط يغير المعالجة. إذا كان الإصلاح الموعود الوحيد هو ضمان واسع، فلن يتمكن مجلس الإدارة أو العميل التالي من اختباره. إذا كان الإصلاح مرتبطًا بأدلة مصدرية، مثل CISA، 2020-12-13 فصاعدًا، دليل الطوارئ (https://www.cisa.gov/news-events/directives) ووزارة العدل الأمريكية، 2021-01-06، بيان الوكالة (https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update)، فيمكن سؤال المنظمة عن التواريخ والنطاق والاستثناءات ونتائج الاختبار والتبعيات المتبقية. هذا هو الفرق بين التعافي السمعة والمساءلة في التعافي.
تقارير مجلس الإدارة تتطلب التتبع، وليس الشعارات
إن القول بأن تقارير مجلس الإدارة تتطلب التتبع، وليس الشعارات هو المكان المناسب للبدء، لأن قضية المساءلة ليست فقط أن نظام البناء تم اختراقه؛ بل ما إذا كانت أوصاف المخاطر وادعاءات التحكم وبيانات المعالجة مرتبطة بأدلة قابلة للتحقق بدلاً من لغة الثقة. اختراق SolarWinds Orion أعقبه استجابة حكومية وتحذيرات للعملاء ودعاوى قضائية للأوراق المالية وسجل إلغاء لاحق لا يزال يترك جودة الأدلة لبيانات الأمن العامة كمشكلة حوكمة. لذلك فإن سؤال المساءلة العامة ليس ما إذا كانت المنظمة قد عانت من حادث صعب؛ بل ما إذا كان الأشخاص خارج غرفة التحكم يمكنهم رؤية أدلة كافية لفهم ما تغير ومن سيطر على ذلك التغيير وما هي المخاطر التي بقيت مفتوحة.
بالنسبة لـ SolarWinds North America, Inc.، شمل سطح التحكم العملي بيانات المخاطر، والأدلة الأمنية الداخلية، وادعاءات SEC وموقف الإلغاء، وتحذيرات العملاء، وسلامة البناء، والتزامات Secure by Design، وتقارير مجلس الإدارة، وإثبات المعالجة العامة. هذه الكلمات تسمي فرقًا مختلفة وواجبات إثبات مختلفة. قد يحتفظ فريق الأمن بالسجلات، وقد يحتفظ فريق المنتج بأدلة الإصدار أو المنصة، وقد يتحكم الفريق القانوني في لغة الإشعارات، وقد يتحكم المالية في تقديرات الخسائر، وقد تتحكم الفرق المواجهة للعملاء في التفسيرات التي يمكن للأشخاص المتأثرين استخدامها فعليًا. تظهر المساءلة عندما يتم ضم هذه الأجزاء في سجل واحد بدلاً من تركها كذكريات مؤسسية منفصلة.
حد مصدر واحد لهذا القسم هو SolarWinds، 2021-05-07، تحديث الشركة (https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack). إنه مفيد للسجل العام حول بيانات مخاطر الأمن من SolarWinds وسجل دعوى SEC وسجل المساءلة في الإفصاح عن الأدلة، لكنه لا يستطيع بنفسه الإجابة على كل سؤال رقابة داخلي، لذلك تعامل هذه المقالة معه كدليل على الادعاء الذي يمكنه دعمه فعليًا.
الحد مهم بقدر الحقيقة. تعامل المقالة سجل المحكمة وSEC كموقف قانوني وليس كتدقيق جنائي. لا ينبغي للقارئ أن يخمن ما إذا كانت الجملة تأتي من إفصاح شركة، أو جهة تنظيمية، أو محكمة، أو عميل، أو باحث تقني، أو معيار قطاعي. عندما يكون نوع المصدر واضحًا، يمكن للمقالة أن تقول بشكل أقل دراماتيكية ولكن بدقة أكبر: هذا ما يثبته السجل، وهذا ما يشير إليه، وهذا ما لا يزال غير مثبت.
نفس الانضباط يغير المعالجة. إذا كان الإصلاح الموعود الوحيد هو ضمان واسع، فلن يتمكن مجلس الإدارة أو العميل التالي من اختباره. إذا كان الإصلاح مرتبطًا بأدلة مصدرية، مثل CISA، 2021-05-13، إرشادات التعافي (https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats) وFBI، 2021-03-18، شهادة مجلس الشيوخ (https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective)، فيمكن سؤال المنظمة عن التواريخ والنطاق والاستثناءات ونتائج الاختبار والتبعيات المتبقية. هذا هو الفرق بين التعافي السمعة والمساءلة في التعافي.
الاستجابة الحكومية وسعت جمهور المساءلة
إن القول بأن الاستجابة الحكومية وسعت جمهور المساءلة هو المكان المناسب للبدء، لأن قضية المساءلة ليست فقط أن نظام البناء تم اختراقه؛ بل ما إذا كانت أوصاف المخاطر وادعاءات التحكم وبيانات المعالجة مرتبطة بأدلة قابلة للتحقق بدلاً من لغة الثقة. اختراق SolarWinds Orion أعقبه استجابة حكومية وتحذيرات للعملاء ودعاوى قضائية للأوراق المالية وسجل إلغاء لاحق لا يزال يترك جودة الأدلة لبيانات الأمن العامة كمشكلة حوكمة. لذلك فإن سؤال المساءلة العامة ليس ما إذا كانت المنظمة قد عانت من حادث صعب؛ بل ما إذا كان الأشخاص خارج غرفة التحكم يمكنهم رؤية أدلة كافية لفهم ما تغير ومن سيطر على ذلك التغيير وما هي المخاطر التي بقيت مفتوحة.
بالنسبة لـ SolarWinds North America, Inc.، شمل سطح التحكم العملي بيانات المخاطر، والأدلة الأمنية الداخلية، وادعاءات SEC وموقف الإلغاء، وتحذيرات العملاء، وسلامة البناء، والتزامات Secure by Design، وتقارير مجلس الإدارة، وإثبات المعالجة العامة. هذه الكلمات تسمي فرقًا مختلفة وواجبات إثبات مختلفة. قد يحتفظ فريق الأمن بالسجلات، وقد يحتفظ فريق المنتج بأدلة الإصدار أو المنصة، وقد يتحكم الفريق القانوني في لغة الإشعارات، وقد يتحكم المالية في تقديرات الخسائر، وقد تتحكم الفرق المواجهة للعملاء في التفسيرات التي يمكن للأشخاص المتأثرين استخدامها فعليًا. تظهر المساءلة عندما يتم ضم هذه الأجزاء في سجل واحد بدلاً من تركها كذكريات مؤسسية منفصلة.
حد مصدر واحد لهذا القسم هو SolarWinds، 2020-12-14، نموذج SEC 8-K (https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm). إنه مفيد للسجل العام حول بيانات مخاطر الأمن من SolarWinds وسجل دعوى SEC وسجل المساءلة في الإفصاح عن الأدلة، لكنه لا يستطيع بنفسه الإجابة على كل سؤال رقابة داخلي، لذلك تعامل هذه المقالة معه كدليل على الادعاء الذي يمكنه دعمه فعليًا.
الحد مهم بقدر الحقيقة. الفرق المهم هو بين الإصدارات المتأثرة والتركيبات والأهداف المختارة والاختراق التالي. لا ينبغي للقارئ أن يخمن ما إذا كانت الجملة تأتي من إفصاح شركة، أو جهة تنظيمية، أو محكمة، أو عميل، أو باحث تقني، أو معيار قطاعي. عندما يكون نوع المصدر واضحًا، يمكن للمقالة أن تقول بشكل أقل دراماتيكية ولكن بدقة أكبر: هذا ما يثبته السجل، وهذا ما يشير إليه، وهذا ما لا يزال غير مثبت.
نفس الانضباط يغير المعالجة. إذا كان الإصلاح الموعود الوحيد هو ضمان واسع، فلن يتمكن مجلس الإدارة أو العميل التالي من اختباره. إذا كان الإصلاح مرتبطًا بأدلة مصدرية، مثل CISA وNSA وFBI، 2021-04-15، الإسناد والاستشارة (https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied) ولجنة الاستخبارات بمجلس الشيوخ الأمريكي، 2021-02-23، سجل الجلسة (https://www.intelligence.senate.gov/2021/02/18/hearings-open-hearing-hearing-hack-us-networks-foreign-adversary/)، فيمكن سؤال المنظمة عن التواريخ والنطاق والاستثناءات ونتائج الاختبار والتبعيات المتبقية. هذا هو الفرق بين التعافي السمعة والمساءلة في التعافي.
ضمان البرمجيات انتقل من الثقة إلى أدلة الأداة
إن القول بأن ضمان البرمجيات انتقل من الثقة إلى أدلة الأداة هو المكان المناسب للبدء، لأن قضية المساءلة ليست فقط أن نظام البناء تم اختراقه؛ بل ما إذا كانت أوصاف المخاطر وادعاءات التحكم وبيانات المعالجة مرتبطة بأدلة قابلة للتحقق بدلاً من لغة الثقة. اختراق SolarWinds Orion أعقبه استجابة حكومية وتحذيرات للعملاء ودعاوى قضائية للأوراق المالية وسجل إلغاء لاحق لا يزال يترك جودة الأدلة لبيانات الأمن العامة كمشكلة حوكمة. لذلك فإن سؤال المساءلة العامة ليس ما إذا كانت المنظمة قد عانت من حادث صعب؛ بل ما إذا كان الأشخاص خارج غرفة التحكم يمكنهم رؤية أدلة كافية لفهم ما تغير ومن سيطر على ذلك التغيير وما هي المخاطر التي بقيت مفتوحة.
بالنسبة لـ SolarWinds North America, Inc.، شمل سطح التحكم العملي بيانات المخاطر، والأدلة الأمنية الداخلية، وادعاءات SEC وموقف الإلغاء، وتحذيرات العملاء، وسلامة البناء، والتزامات Secure by Design، وتقارير مجلس الإدارة، وإثبات المعالجة العامة. هذه الكلمات تسمي فرقًا مختلفة وواجبات إثبات مختلفة. قد يحتفظ فريق الأمن بالسجلات، وقد يحتفظ فريق المنتج بأدلة الإصدار أو المنصة، وقد يتحكم الفريق القانوني في لغة الإشعارات، وقد يتحكم المالية في تقديرات الخسائر، وقد تتحكم الفرق المواجهة للعملاء في التفسيرات التي يمكن للأشخاص المتأثرين استخدامها فعليًا. تظهر المساءلة عندما يتم ضم هذه الأجزاء في سجل واحد بدلاً من تركها كذكريات مؤسسية منفصلة.
حد مصدر واحد لهذا القسم هو SolarWinds، 2021-03-01، نموذج 10-K (https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm). إنه مفيد للسجل العام حول بيانات مخاطر الأمن من SolarWinds وسجل دعوى SEC وسجل المساءلة في الإفصاح عن الأدلة، لكنه لا يستطيع بنفسه الإجابة على كل سؤال رقابة داخلي، لذلك تعامل هذه المقالة معه كدليل على الادعاء الذي يمكنه دعمه فعليًا.
الحد مهم بقدر الحقيقة. ادعاءات التطوير الآمن يجب أن تكون مرتبطة بأدوات يمكن للمراقب الخارجي اختبارها أو على الأقل تدقيقها. لا ينبغي للقارئ أن يخمن ما إذا كانت الجملة تأتي من إفصاح شركة، أو جهة تنظيمية، أو محكمة، أو عميل، أو باحث تقني، أو معيار قطاعي. عندما يكون نوع المصدر واضحًا، يمكن للمقالة أن تقول بشكل أقل دراماتيكية ولكن بدقة أكبر: هذا ما يثبته السجل، وهذا ما يشير إليه، وهذا ما لا يزال غير مثبت.
نفس الانضباط يغير المعالجة. إذا كان الإصلاح الموعود الوحيد هو ضمان واسع، فلن يتمكن مجلس الإدارة أو العميل التالي من اختباره. إذا كان الإصلاح مرتبطًا بأدلة مصدرية، مثل NSA، 2020-12-17، استشارة الأمن السيبراني (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/) وSudhakar Ramakrishna، 2021-02-23، شهادة مكتوبة (https://www.intelligence.senate.gov/wp-content/uploads/2024/08/sites-default-files-documents-os-sramakrishna-022321.pdf)، فيمكن سؤال المنظمة عن التواريخ والنطاق والاستثناءات ونتائج الاختبار والتبعيات المتبقية. هذا هو الفرق بين التعافي السمعة والمساءلة في التعافي.
الادعاءات العامة احتاجت إلى فصل المصادر
إن القول بأن الادعاءات العامة احتاجت إلى فصل المصادر هو المكان المناسب للبدء، لأن قضية المساءلة ليست فقط أن نظام البناء تم اختراقه؛ بل ما إذا كانت أوصاف المخاطر وادعاءات التحكم وبيانات المعالجة مرتبطة بأدلة قابلة للتحقق بدلاً من لغة الثقة. اختراق SolarWinds Orion أعقبه استجابة حكومية وتحذيرات للعملاء ودعاوى قضائية للأوراق المالية وسجل إلغاء لاحق لا يزال يترك جودة الأدلة لبيانات الأمن العامة كمشكلة حوكمة. لذلك فإن سؤال المساءلة العامة ليس ما إذا كانت المنظمة قد عانت من حادث صعب؛ بل ما إذا كان الأشخاص خارج غرفة التحكم يمكنهم رؤية أدلة كافية لفهم ما تغير ومن سيطر على ذلك التغيير وما هي المخاطر التي بقيت مفتوحة.
بالنسبة لـ SolarWinds North America, Inc.، شمل سطح التحكم العملي بيانات المخاطر، والأدلة الأمنية الداخلية، وادعاءات SEC وموقف الإلغاء، وتحذيرات العملاء، وسلامة البناء، والتزامات Secure by Design، وتقارير مجلس الإدارة، وإثبات المعالجة العامة. هذه الكلمات تسمي فرقًا مختلفة وواجبات إثبات مختلفة. قد يحتفظ فريق الأمن بالسجلات، وقد يحتفظ فريق المنتج بأدلة الإصدار أو المنصة، وقد يتحكم الفريق القانوني في لغة الإشعارات، وقد يتحكم المالية في تقديرات الخسائر، وقد تتحكم الفرق المواجهة للعملاء في التفسيرات التي يمكن للأشخاص المتأثرين استخدامها فعليًا. تظهر المساءلة عندما يتم ضم هذه الأجزاء في سجل واحد بدلاً من تركها كذكريات مؤسسية منفصلة.
حد مصدر واحد لهذا القسم هو CISA، 2020-12-13، تنبيه حكومي (https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software). إنه مفيد للسجل العام حول بيانات مخاطر الأمن من SolarWinds وسجل دعوى SEC وسجل المساءلة في الإفصاح عن الأدلة، لكنه لا يستطيع بنفسه الإجابة على كل سؤال رقابة داخلي، لذلك تعامل هذه المقالة معه كدليل على الادعاء الذي يمكنه دعمه فعليًا.
الحد مهم بقدر الحقيقة. الإفصاح عن المخاطر مفيد فقط عندما يعطي القراء أدلة كافية لفهم عدم اليقين. لا ينبغي للقارئ أن يخمن ما إذا كانت الجملة تأتي من إفصاح شركة، أو جهة تنظيمية، أو محكمة، أو عميل، أو باحث تقني، أو معيار قطاعي. عندما يكون نوع المصدر واضحًا، يمكن للمقالة أن تقول بشكل أقل دراماتيكية ولكن بدقة أكبر: هذا ما يثبته السجل، وهذا ما يشير إليه، وهذا ما لا يزال غير مثبت.
نفس الانضباط يغير المعالجة. إذا كان الإصلاح الموعود الوحيد هو ضمان واسع، فلن يتمكن مجلس الإدارة أو العميل التالي من اختباره. إذا كان الإصلاح مرتبطًا بأدلة مصدرية، مثل GAO، 2022-01-13، مراجعة فيدرالية (https://www.gao.gov/products/gao-22-104746) وMandiant / FireEye، 2020-12-13، تقرير المستجيب للحوادث الفني (https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/)، فيمكن سؤال المنظمة عن التواريخ والنطاق والاستثناءات ونتائج الاختبار والتبعيات المتبقية. هذا هو الفرق بين التعافي السمعة والمساءلة في التعافي.
ملف المستثمر كان عليه التمييز بين الادعاءات والحقائق
إن القول بأن ملف المستثمر كان عليه التمييز بين الادعاءات والحقائق هو المكان المناسب للبدء، لأن قضية المساءلة ليست فقط أن نظام البناء تم اختراقه؛ بل ما إذا كانت أوصاف المخاطر وادعاءات التحكم وبيانات المعالجة مرتبطة بأدلة قابلة للتحقق بدلاً من لغة الثقة. اختراق SolarWinds Orion أعقبه استجابة حكومية وتحذيرات للعملاء ودعاوى قضائية للأوراق المالية وسجل إلغاء لاحق لا يزال يترك جودة الأدلة لبيانات الأمن العامة كمشكلة حوكمة. لذلك فإن سؤال المساءلة العامة ليس ما إذا كانت المنظمة قد عانت من حادث صعب؛ بل ما إذا كان الأشخاص خارج غرفة التحكم يمكنهم رؤية أدلة كافية لفهم ما تغير ومن سيطر على ذلك التغيير وما هي المخاطر التي بقيت مفتوحة.
بالنسبة لـ SolarWinds North America, Inc.، شمل سطح التحكم العملي بيانات المخاطر، والأدلة الأمنية الداخلية، وادعاءات SEC وموقف الإلغاء، وتحذيرات العملاء، وسلامة البناء، والتزامات Secure by Design، وتقارير مجلس الإدارة، وإثبات المعالجة العامة. هذه الكلمات تسمي فرقًا مختلفة وواجبات إثبات مختلفة. قد يحتفظ فريق الأمن بالسجلات، وقد يحتفظ فريق المنتج بأدلة الإصدار أو المنصة، وقد يتحكم الفريق القانوني في لغة الإشعارات، وقد يتحكم المالية في تقديرات الخسائر، وقد تتحكم الفرق المواجهة للعملاء في التفسيرات التي يمكن للأشخاص المتأثرين استخدامها فعليًا. تظهر المساءلة عندما يتم ضم هذه الأجزاء في سجل واحد بدلاً من تركها كذكريات مؤسسية منفصلة.
حد مصدر واحد لهذا القسم هو CISA، 2020-12-13 فصاعدًا، دليل الطوارئ (https://www.cisa.gov/news-events/directives). إنه مفيد للسجل العام حول بيانات مخاطر الأمن من SolarWinds وسجل دعوى SEC وسجل المساءلة في الإفصاح عن الأدلة، لكنه لا يستطيع بنفسه الإجابة على كل سؤال رقابة داخلي، لذلك تعامل هذه المقالة معه كدليل على الادعاء الذي يمكنه دعمه فعليًا.
الحد مهم بقدر الحقيقة. تعامل المقالة سجل المحكمة وSEC كموقف قانوني وليس كتدقيق جنائي. لا ينبغي للقارئ أن يخمن ما إذا كانت الجملة تأتي من إفصاح شركة، أو جهة تنظيمية، أو محكمة، أو عميل، أو باحث تقني، أو معيار قطاعي. عندما يكون نوع المصدر واضحًا، يمكن للمقالة أن تقول بشكل أقل دراماتيكية ولكن بدقة أكبر: هذا ما يثبته السجل، وهذا ما يشير إليه، وهذا ما لا يزال غير مثبت.
نفس الانضباط يغير المعالجة. إذا كان الإصلاح الموعود الوحيد هو ضمان واسع، فلن يتمكن مجلس الإدارة أو العميل التالي من اختباره. إذا كان الإصلاح مرتبطًا بأدلة مصدرية، مثل GAO، 2021-05-25، شهادة الكونغرس (https://www.gao.gov/products/gao-21-594t) وMandiant / FireEye، 2020-12-24، تحليل البرامج الضارة (https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/)، فيمكن سؤال المنظمة عن التواريخ والنطاق والاستثناءات ونتائج الاختبار والتبعيات المتبقية. هذا هو الفرق بين التعافي السمعة والمساءلة في التعافي.
نظام إفصاح أفضل يحافظ على التناقضات
إن القول بأن نظام إفصاح أفضل يحافظ على التناقضات هو المكان المناسب للبدء، لأن قضية المساءلة ليست فقط أن نظام البناء تم اختراقه؛ بل ما إذا كانت أوصاف المخاطر وادعاءات التحكم وبيانات المعالجة مرتبطة بأدلة قابلة للتحقق بدلاً من لغة الثقة. اختراق SolarWinds Orion أعقبه استجابة حكومية وتحذيرات للعملاء ودعاوى قضائية للأوراق المالية وسجل إلغاء لاحق لا يزال يترك جودة الأدلة لبيانات الأمن العامة كمشكلة حوكمة. لذلك فإن سؤال المساءلة العامة ليس ما إذا كانت المنظمة قد عانت من حادث صعب؛ بل ما إذا كان الأشخاص خارج غرفة التحكم يمكنهم رؤية أدلة كافية لفهم ما تغير ومن سيطر على ذلك التغيير وما هي المخاطر التي بقيت مفتوحة.
بالنسبة لـ SolarWinds North America, Inc.، شمل سطح التحكم العملي بيانات المخاطر، والأدلة الأمنية الداخلية، وادعاءات SEC وموقف الإلغاء، وتحذيرات العملاء، وسلامة البناء، والتزامات Secure by Design، وتقارير مجلس الإدارة، وإثبات المعالجة العامة. هذه الكلمات تسمي فرقًا مختلفة وواجبات إثبات مختلفة. قد يحتفظ فريق الأمن بالسجلات، وقد يحتفظ فريق المنتج بأدلة الإصدار أو المنصة، وقد يتحكم الفريق القانوني في لغة الإشعارات، وقد يتحكم المالية في تقديرات الخسائر، وقد تتحكم الفرق المواجهة للعملاء في التفسيرات التي يمكن للأشخاص المتأثرين استخدامها فعليًا. تظهر المساءلة عندما يتم ضم هذه الأجزاء في سجل واحد بدلاً من تركها كذكريات مؤسسية منفصلة.
حد مصدر واحد لهذا القسم هو CISA، 2021-05-13، إرشادات التعافي (https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats). إنه مفيد للسجل العام حول بيانات مخاطر الأمن من SolarWinds وسجل دعوى SEC وسجل المساءلة في الإفصاح عن الأدلة، لكنه لا يستطيع بنفسه الإجابة على كل سؤال رقابة داخلي، لذلك تعامل هذه المقالة معه كدليل على الادعاء الذي يمكنه دعمه فعليًا.
الحد مهم بقدر الحقيقة. الفرق المهم هو بين الإصدارات المتأثرة والتركيبات والأهداف المختارة والاختراق التالي. لا ينبغي للقارئ أن يخمن ما إذا كانت الجملة تأتي من إفصاح شركة، أو جهة تنظيمية، أو محكمة، أو عميل، أو باحث تقني، أو معيار قطاعي. عندما يكون نوع المصدر واضحًا، يمكن للمقالة أن تقول بشكل أقل دراماتيكية ولكن بدقة أكبر: هذا ما يثبته السجل، وهذا ما يشير إليه، وهذا ما لا يزال غير مثبت.
نفس الانضباط يغير المعالجة. إذا كان الإصلاح الموعود الوحيد هو ضمان واسع، فلن يتمكن مجلس الإدارة أو العميل التالي من اختباره. إذا كان الإصلاح مرتبطًا بأدلة مصدرية، مثل وزارة العدل الأمريكية، 2021-01-06، بيان الوكالة (https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update) وCrowdStrike، 2021-01-11، تحليل فني (https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/)، فيمكن سؤال المنظمة عن التواريخ والنطاق والاستثناءات ونتائج الاختبار والتبعيات المتبقية. هذا هو الفرق بين التعافي السمعة والمساءلة في التعافي.
المجهولات المتبقية تحدد المراجعة التالية
إن القول بأن المجهولات المتبقية تحدد المراجعة التالية هو المكان المناسب للبدء، لأن قضية المساءلة ليست فقط أن نظام البناء تم اختراقه؛ بل ما إذا كانت أوصاف المخاطر وادعاءات التحكم وبيانات المعالجة مرتبطة بأدلة قابلة للتحقق بدلاً من لغة الثقة. اختراق SolarWinds Orion أعقبه استجابة حكومية وتحذيرات للعملاء ودعاوى قضائية للأوراق المالية وسجل إلغاء لاحق لا يزال يترك جودة الأدلة لبيانات الأمن العامة كمشكلة حوكمة. لذلك فإن سؤال المساءلة العامة ليس ما إذا كانت المنظمة قد عانت من حادث صعب؛ بل ما إذا كان الأشخاص خارج غرفة التحكم يمكنهم رؤية أدلة كافية لفهم ما تغير ومن سيطر على ذلك التغيير وما هي المخاطر التي بقيت مفتوحة.
بالنسبة لـ SolarWinds North America, Inc.، شمل سطح التحكم العملي بيانات المخاطر، والأدلة الأمنية الداخلية، وادعاءات SEC وموقف الإلغاء، وتحذيرات العملاء، وسلامة البناء، والتزامات Secure by Design، وتقارير مجلس الإدارة، وإثبات المعالجة العامة. هذه الكلمات تسمي فرقًا مختلفة وواجبات إثبات مختلفة. قد يحتفظ فريق الأمن بالسجلات، وقد يحتفظ فريق المنتج بأدلة الإصدار أو المنصة، وقد يتحكم الفريق القانوني في لغة الإشعارات، وقد يتحكم المالية في تقديرات الخسائر، وقد تتحكم الفرق المواجهة للعملاء في التفسيرات التي يمكن للأشخاص المتأثرين استخدامها فعليًا. تظهر المساءلة عندما يتم ضم هذه الأجزاء في سجل واحد بدلاً من تركها كذكريات مؤسسية منفصلة.
حد مصدر واحد لهذا القسم هو CISA وNSA وFBI، 2021-04-15، الإسناد والاستشارة (https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied). إنه مفيد للسجل العام حول بيانات مخاطر الأمن من SolarWinds وسجل دعوى SEC وسجل المساءلة في الإفصاح عن الأدلة، لكنه لا يستطيع بنفسه الإجابة على كل سؤال رقابة داخلي، لذلك تعامل هذه المقالة معه كدليل على الادعاء الذي يمكنه دعمه فعليًا.
الحد مهم بقدر الحقيقة. ادعاءات التطوير الآمن يجب أن تكون مرتبطة بأدوات يمكن للمراقب الخارجي اختبارها أو على الأقل تدقيقها. لا ينبغي للقارئ أن يخمن ما إذا كانت الجملة تأتي من إفصاح شركة، أو جهة تنظيمية، أو محكمة، أو عميل، أو باحث تقني، أو معيار قطاعي. عندما يكون نوع المصدر واضحًا، يمكن للمقالة أن تقول بشكل أقل دراماتيكية ولكن بدقة أكبر: هذا ما يثبته السجل، وهذا ما يشير إليه، وهذا ما لا يزال غير مثبت.
نفس الانضباط يغير المعالجة. إذا كان الإصلاح الموعود الوحيد هو ضمان واسع، فلن يتمكن مجلس الإدارة أو العميل التالي من اختباره. إذا كان الإصلاح مرتبطًا بأدلة مصدرية، مثل FBI، 2021-03-18، شهادة مجلس الشيوخ (https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective) وSolarWinds، 2021-01-11، تحديث الشركة (https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst)، فيمكن سؤال المنظمة عن التواريخ والنطاق والاستثناءات ونتائج الاختبار والتبعيات المتبقية. هذا هو الفرق بين التعافي السمعة والمساءلة في التعافي.
السجل المسؤول هو خريطة أدلة
إن القول بأن السجل المسؤول هو خريطة أدلة هو المكان المناسب للبدء، لأن قضية المساءلة ليست فقط أن نظام البناء تم اختراقه؛ بل ما إذا كانت أوصاف المخاطر وادعاءات التحكم وبيانات المعالجة مرتبطة بأدلة قابلة للتحقق بدلاً من لغة الثقة. اختراق SolarWinds Orion أعقبه استجابة حكومية وتحذيرات للعملاء ودعاوى قضائية للأوراق المالية وسجل إلغاء لاحق لا يزال يترك جودة الأدلة لبيانات الأمن العامة كمشكلة حوكمة. لذلك فإن سؤال المساءلة العامة ليس ما إذا كانت المنظمة قد عانت من حادث صعب؛ بل ما إذا كان الأشخاص خارج غرفة التحكم يمكنهم رؤية أدلة كافية لفهم ما تغير ومن سيطر على ذلك التغيير وما هي المخاطر التي بقيت مفتوحة.
بالنسبة لـ SolarWinds North America, Inc.، شمل سطح التحكم العملي بيانات المخاطر، والأدلة الأمنية الداخلية، وادعاءات SEC وموقف الإلغاء، وتحذيرات العملاء، وسلامة البناء، والتزامات Secure by Design، وتقارير مجلس الإدارة، وإثبات المعالجة العامة. هذه الكلمات تسمي فرقًا مختلفة وواجبات إثبات مختلفة. قد يحتفظ فريق الأمن بالسجلات، وقد يحتفظ فريق المنتج بأدلة الإصدار أو المنصة، وقد يتحكم الفريق القانوني في لغة الإشعارات، وقد يتحكم المالية في تقديرات الخسائر، وقد تتحكم الفرق المواجهة للعملاء في التفسيرات التي يمكن للأشخاص المتأثرين استخدامها فعليًا. تظهر المساءلة عندما يتم ضم هذه الأجزاء في سجل واحد بدلاً من تركها كذكريات مؤسسية منفصلة.
حد مصدر واحد لهذا القسم هو NSA، 2020-12-17، استشارة الأمن السيبراني (https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/). إنه مفيد للسجل العام حول بيانات مخاطر الأمن من SolarWinds وسجل دعوى SEC وسجل المساءلة في الإفصاح عن الأدلة، لكنه لا يستطيع بنفسه الإجابة على كل سؤال رقابة داخلي، لذلك تعامل هذه المقالة معه كدليل على الادعاء الذي يمكنه دعمه فعليًا.
الحد مهم بقدر الحقيقة. الإفصاح عن المخاطر مفيد فقط عندما يعطي القراء أدلة كافية لفهم عدم اليقين. لا ينبغي للقارئ أن يخمن ما إذا كانت الجملة تأتي من إفصاح شركة، أو جهة تنظيمية، أو محكمة، أو عميل، أو باحث تقني، أو معيار قطاعي. عندما يكون نوع المصدر واضحًا، يمكن للمقالة أن تقول بشكل أقل دراماتيكية ولكن بدقة أكبر: هذا ما يثبته السجل، وهذا ما يشير إليه، وهذا ما لا يزال غير مثبت.
نفس الانضباط يغير المعالجة. إذا كان الإصلاح الموعود الوحيد هو ضمان واسع، فلن يتمكن مجلس الإدارة أو العميل التالي من اختباره. إذا كان الإصلاح مرتبطًا بأدلة مصدرية، مثل لجنة الاستخبارات بمجلس الشيوخ الأمريكي، 2021-02-23، سجل الجلسة (https://www.intelligence.senate.gov/2021/02/18/hearings-open-hearing-hearing-hack-us-networks-foreign-adversary/) وSolarWinds، 2021-05-07، تحديث الشركة (https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack)، فيمكن سؤال المنظمة عن التواريخ والنطاق والاستثناءات ونتائج الاختبار والتبعيات المتبقية. هذا هو الفرق بين التعافي السمعة والمساءلة في التعافي.
ملف أدلة القارئ
تستخدم المقالة المصادر العامة التالية كملف قراءة لبيانات مخاطر الأمن من SolarWinds وسجل أدلة الإفصاح. يتم التعامل مع كل مصدر بحدود: بيانات الشركة تثبت ما قالته الشركة أو أبلغت عنه، سجلات المحكمة تثبت الموقف القانوني، سجلات الجهات التنظيمية تثبت الإجراء الرسمي أو الادعاء، المنشورات الفنية تثبت الآليات المرصودة ضمن نطاقها، ووثائق المعايير توفر معايير تحكم بدلاً من نتائج بأثر رجعي.
- Mandiant / FireEye، 2020-12-13، تقرير المستجيب للحوادث الفني:https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor/
- Mandiant / FireEye، 2020-12-24، تحليل البرامج الضارة:https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-details/
- CrowdStrike، 2021-01-11، تحليل فني:https://www.crowdstrike.com/en-us/blog/sunspot-malware-technical-analysis/
- SolarWinds، 2021-01-11، تحديث الشركة:https://www.solarwinds.com/blog/new-findings-from-our-investigation-of-sunburst
- SolarWinds، 2021-05-07، تحديث الشركة:https://www.solarwinds.com/blog/an-investigative-update-of-the-cyberattack
- SolarWinds، 2020-12-14، نموذج SEC 8-K:https://www.sec.gov/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm
- SolarWinds، 2021-03-01، نموذج 10-K:https://www.sec.gov/Archives/edgar/data/1739942/000173994221000043/swi-20201231.htm
- CISA، 2020-12-13، تنبيه حكومي:https://www.cisa.gov/news-events/alerts/2020/12/13/active-exploitation-solarwinds-software
- CISA، 2020-12-13 فصاعدًا، دليل الطوارئ:https://www.cisa.gov/news-events/directives
- CISA، 2021-05-13، إرشادات التعافي:https://www.cisa.gov/news-events/news/cisa-releases-eviction-guidance-help-organizations-remove-russian-state-sponsored-threats
- CISA وNSA وFBI، 2021-04-15، الإسناد والاستشارة:https://www.cisa.gov/news-events/alerts/2021/04/15/nsa-cisa-fbi-joint-advisory-russian-svr-targeting-us-and-allied
- NSA، 2020-12-17، استشارة الأمن السيبراني:https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2451159/nsa-cybersecurity-advisory-malicious-actors-abuse-authentication-mechanisms-to/
- GAO، 2022-01-13، مراجعة فيدرالية:https://www.gao.gov/products/gao-22-104746
- GAO، 2021-05-25، شهادة الكونغرس:https://www.gao.gov/products/gao-21-594t
- وزارة العدل الأمريكية، 2021-01-06، بيان الوكالة:https://www.justice.gov/archives/opa/pr/department-justice-statement-solarwinds-update
- FBI، 2021-03-18، شهادة مجلس الشيوخ:https://www.justice.gov/ola/understanding-and-responding-solar-winds-supply-chain-attack-federal-perspective
ملف الأدلة هذا أوسع عمدًا من إشعار خرق واحد لأن بيانات مخاطر الأمن من SolarWinds وسجل دعوى SEC وسجل المساءلة في الإفصاح عن الأدلة أثرت على أكثر من جمهور واحد. السجل العام يجب أن يدعم العملاء الذين يحتاجون إلى إجراء عملي، والمدراء الذين يحتاجون إلى خطة إصلاح، والجهات التنظيمية التي تحتاج إلى نطاق، والقراء الذين يحتاجون إلى معرفة أي الادعاءات لا تزال غير مؤكدة.
أسئلة مراجعة مجلس الإدارة
ملف المراجعة يجب أن يسمي المالك العملي لكل قرار، والتاريخ الذي اتخذ فيه القرار، والأدلة المستخدمة، والجمهور الذي اعتمد عليه. بدون هذا الهيكل، يمكن إعادة سرد نفس الحادث لاحقًا كعطل تقني، أو نزاع قانوني، أو مشكلة خدمة عملاء، أو مشكلة مالية دون أساس ثابت لتحديد أي رواية مكتملة.
سجل المساءلة المفيد يحافظ أيضًا على عدم اليقين. يجب أن يذكر ما هو معروف من بيانات الشركة، وما هو معروف من سجلات الحكومة أو المحكمة، وما هو معروف من المستجيبين الخارجيين للحوادث، وما لا يزال استنتاجيًا. هذا الفصل يحمي القراء من الدقة الزائفة ويحمي المنظمة من معالجة الثقة المبكرة كدليل.
التحكم المهم ليس استجابة بطولية بعد وقوع الحدث. إنه القدرة على إظهار، بينما لا يزال الحدث جاريًا، أي دليل سيغير قرارًا. إذا كان إشعار العميل، أو تقرير مجلس الإدارة، أو مطالبة التأمين، أو تحديث الجهة التنظيمية سيكون مختلفًا بعد مراجعة سجل إضافي، فيجب أن يكون هذا الاعتماد مرئيًا في السجل. لهذه الحالة المحددة، يجب أن تسأل مراجعة مجلس الإدارة عمن كان لديه السيطرة العملية على بيانات المخاطر والأدلة الأمنية الداخلية وادعاءات المعالجة العامة وتحذيرات العملاء وتقارير مجلس الإدارة وإثبات أن لغة الأمن تطابق سجل سلامة الإصدار الفعلي؟ يجب ألا تكون الإجابة سردًا فقط.
يجب أن تتضمن أدلة مؤرخة وأصحابًا مسمين وجمهورًا متأثرًا والتزامات موجهة للعملاء وقائمة بالحقائق التي لا تزال المنظمة غير قادرة على إثباتها عند إعداد السجل العام.

