WASHINGTON (Reuters) – Para eksekutif puncak di perusahaan perangkat lunak yang berbasis di Texas SolarWinds Corp, Microsoft Corp dan perusahaan cybersecurity FireEye Inc dan CrowdStrike Holdings Inc membela perilaku mereka dalam pelanggaran yang disalahkan pada peretas Rusia dan berusaha mengalihkan tanggung jawab ke tempat lain dalam kesaksian kepada panel Senat AS pada Selasa (23 Februari).
Keempatnya adalah korban dalam salah satu peretasan terburuk yang pernah ditemukan, mempengaruhi sekitar 100 perusahaan AS dan sembilan agen federal. Program SolarWinds dan Microsoft digunakan untuk menyerang orang lain.
Para eksekutif berpendapat untuk transparansi yang lebih besar dan berbagi informasi tentang pelanggaran, dengan perlindungan kewajiban dan sistem yang tidak menghukum mereka yang maju, mirip dengan investigasi bencana maskapai penerbangan.
Presiden Microsoft Brad Smith dan yang lainnya mengatakan kepada Komite Intelijen Senat AS bahwa ruang lingkup sebenarnya dari gangguan terbaru masih belum diketahui, karena sebagian besar korban tidak diharuskan secara hukum untuk mengungkapkan serangan kecuali mereka melibatkan informasi sensitif tentang individu.
Juga bersaksi adalah Chief Executive FireEye Kevin Mandia, yang perusahaannya adalah yang pertama menemukan peretas, Chief Executive SolarWinds Sudhakar Ramakrishna, yang perangkat lunak perusahaannya dibajak oleh mata-mata untuk masuk ke sejumlah organisasi lain, dan Chief Executive CrowdStrike George Kurtz, yang perusahaannya membantu SolarWinds pulih dari pelanggaran tersebut.
“Sangat penting bagi bangsa yang kita dorong dan kadang-kadang bahkan membutuhkan berbagi informasi yang lebih baik tentang serangan cyber,” kata Smith.
Smith mengatakan banyak teknik yang digunakan oleh peretas belum terungkap dan bahwa “penyerang mungkin telah menggunakan hingga selusin cara berbeda untuk masuk ke jaringan korban selama setahun terakhir.”
Microsoft mengungkapkan pekan lalu bahwa para peretas telah dapat membaca kode sumber perusahaan yang dijaga ketat untuk bagaimana programnya mengotentikasi pengguna. Pada banyak korban, para peretas memanipulasi program-program tersebut untuk mengakses area baru di dalam target mereka.
Smith menekankan bahwa gerakan seperti itu bukan karena kesalahan pemrograman di pihak Microsoft tetapi pada konfigurasi yang buruk dan kontrol lain di pihak pelanggan, termasuk kasus-kasus “di mana kunci brankas dan mobil ditinggalkan di tempat terbuka.”
Dalam kasus CrowdStrike, peretas menggunakan vendor pihak ketiga dari perangkat lunak Microsoft, yang memiliki akses ke sistem CrowdStrike, dan mencoba tetapi gagal masuk ke email perusahaan.
Kurtz dari CrowdStrike menyalahkan Microsoft karena arsitekturnya yang rumit, yang disebutnya “kuno.”
“Aktor ancaman mengambil keuntungan dari kelemahan sistemik dalam arsitektur otentikasi Windows, memungkinkannya untuk bergerak secara lateral di dalam jaringan” dan mencapai lingkungan cloud sambil melewati otentikasi multifaktor, kata pernyataan yang disiapkan Kurtz.
Di mana Smith meminta bantuan pemerintah dalam memberikan instruksi perbaikan untuk pengguna cloud, Kurtz mengatakan Microsoft harus melihat ke rumahnya sendiri dan memperbaiki masalah dengan Active Directory dan Azure yang banyak digunakan.
“Jika Microsoft mengatasi keterbatasan arsitektur otentikasi di sekitar Active Directory dan Azure Active Directory, atau beralih ke metodologi yang berbeda sepenuhnya, vektor ancaman yang cukup besar akan sepenuhnya dihilangkan dari salah satu platform otentikasi yang paling banyak digunakan di dunia,” kata Kurtz.
Alex Stamos, mantan kepala keamanan Facebook dan Yahoo yang sekarang berkonsultasi untuk SolarWinds, setuju dengan Microsoft bahwa pelanggan yang membagi sumber daya mereka antara tempat mereka sendiri dan cloud Microsoft sangat berisiko, karena peretas yang terampil dapat bergerak bolak-balik, dan harus pindah sepenuhnya ke cloud.
Namun dia menambahkan dalam sebuah wawancara, “Juga terlalu sulit untuk menjalankan (perangkat lunak cloud) Azure ID dengan aman, dan kompleksitas produk menciptakan banyak peluang bagi penyerang untuk meningkatkan hak istimewa atau menyembunyikan akses.”