Güvenlik şefi, havza siber saldırılarının olumlu mirasları arasında yeni yapı sistemini ve daha fazla istihbarat paylaşımını sayıyor
Kötü şöhretli NotPetya kampanyasından CCleaner arka kapısına kadar, dönüm noktası bilgi güvenliği anları nadir değildir, ancak SolarWinds tedarik zinciri saldırısı özellikle sonuç olarak öne çıkıyor.
BT performans izleme sistemi Orion için bir yazılım güncellemesine yerleştirilmiş bir arka kapıdan yararlanan sözde ‘Sunburst’ saldırısı, saldırganlara 2020’de 18.000 SolarWinds müşterisine erişim sağladı. Bunların arasında Microsoft, NASA, güvenlik firması FireEye ve ABD adaleti vardı. ve devlet daireleri.
Etkilenenler için son derece stresli bir deneyim, özellikle SolarWinds’in olay müdahalesini yönetmekle görevli adam için. Ancak, Teksas merkezli şirketin bilgi güvenliği şefi (CISO) Tim Brown’ın The Daily Swig’e söylediği gibi, sonrasında sıhhatli faydalar olmadı.
Avantajların yalnızca SolarWinds’in kendisine değil – kuruluş çapında bir ‘tasarımla güvenli’ paradigmaya dönüş yoluyla – aynı zamanda genel olarak siber dayanıklılığa yönelik tutumlara da tahakkuk ettiğine inanıyor.
‘Film dışında’
“Pek çok insan, bu düzeyde bir ulus-devlet saldırısının – çok sabırlı, çok gizli, çok sessiz, çok görev merkezli – olduğuna inanıyordu. [like something] SolarWinds’e 2017 yılında güvenlikten sorumlu başkan yardımcısı olarak katılan Brown, bunun gerçek olmadığını söylüyor.
Ancak Rus devlet bağlantılı hack grubu APT29’a (Cozy Bear veya Nobelium olarak da bilinir) atfedilen saldırı fazlasıyla gerçekti ve birçok kuruluş derslere kulak vermeye hazırdı.
ÖNERİLEN ‘Hala son on yılın savaşını veriyoruz’ – Sonatype CTO’su Brian Fox, ihmal edilen yazılım tedarik zincirini güvence altına alma mücadelesi üzerine
Brown, “Buna karşı savunmanız gerekiyor – ve sadece ulus devletlerden değil” diyor. “Siber suçlu türleri, fidye yazılımı türleri, [Sunburst] ‘Pekala, 5 milyon dolar yatırırsam 50 milyon dolar alırım – bu iyi bir yatırım getirisi’ diyerek.
“Dünyanın dört bir yanındaki CISO’lar bütçelerine yardım ettiğim için bana teşekkür ettiler, çünkü yönetim kurulları ‘Bu bizim başımıza gelebilir mi? Ve elbette CISO diyor ki: ‘Evet, buraya, buraya ve buraya yatırım yapmalıyız’. Bu yüzden genel ekosisteme çok fazla güvenlik enjekte ettik.”
Olay ABD hükümetini de harekete geçirdi. Devlet yazılım tedarik uygulamalarının elden geçirilmesi ve yazılım tedarik zincirini güvence altına almak için bir seferberlik planı da dahil olmak üzere bir dizi girişim, Randori’nin Aaron Portnoy ve Sonatype’ın Brian Fox gibilerinden temkinli onaylar aldı.
Codecov ve Kaseya VSA’ya yönelik daha büyük ölçekli tedarik zinciri saldırıları ve neredeyse her yerde bulunan açık kaynak kitaplığı Log4j’deki güvenlik açığı, yalnızca gönül rahatlığından uzak durmaya hizmet etti.
‘İnsan tarafı’
Daha önce Dell’de baş teknoloji sorumlusu (CTO) olan Brown, Sunburst’ün teknik ayrıntılarının artık “iyi anlaşıldığını”, insanların artık “içeriden, kişisel olarak benim için nasıl olduğunu bilmek istediklerini – gerçekte ne olduğunu” söylüyor. perde arkası gibi mi?”
Muhtemelen “insan tarafına” olan bu ilgi, ne kadar güvenli olursa olsun hiçbir organizasyonun bu tür karmaşık, hedefli ve gizli saldırılardan tamamen bağışık olmadığı endişesini kısmen yansıtıyor.
En son yazılım tedarik zinciri saldırı haberlerini yakalayın
Brown, “Bu kolay bir iş değil” diyor. “Sanırım saklanmama görevimiz var, riski ticari terimlerle açıklamak ve risk duruşumuzu buna yükseltmek görevimiz. Bu, kendi stresimizi yönetmemize ve şirket için riskleri yönetmemize yardımcı olur, aynı zamanda bunu herkes için doğru bağlama yerleştirmemize yardımcı olur.”
Ağ ve altyapı izleme araçları genellikle hassas verilere ayrıcalıklı erişim gerektiren SolarWinds gibi satıcılar, yalnızca küçük bir risk iştahına sahip olabilir.
Brown, “İnsanların anlaması gereken, kritik akışlar, kritik altyapı ve tedarik zincirleri içinde nereye oturduklarıdır” diyor. “Buna dayanarak, risk toleransınızı tanımlayabilirsiniz.
“Yani, bileşeniniz okyanusun dibinde çitle çevriliyse ve bir girdi ve bir çıktı alıyorsa ve tek yaptığınız buysa, karşı karşıya olduğunuz risk seviyesi oldukça düşük, değil mi? Ancak bir nükleer santralin ortasında oturuyorsanız, riskiniz çok daha yüksek olur.”
Geçici yapı ortamları
Brown, SolarWinds’in Sunburst sonrası yenilemesinin “mühendislik etkileri, güvenlik etkileri, süreç ve prosedür etkileri var” diyor. “Yaptığımız her şey için süreci mümkün olduğunca erken bir zamanda düşünce sürecimizin içine güvenlik koymak için bir şemsiye olarak düşünün.”
SolarWinds, diğer şeylerin yanı sıra, çoğu çalışana YubiKeys verdi ve şimdi çevrede görünürlük kazanmak için üç güvenlik operasyon merkezine (SOC) sahip.
Revizyonun merkezinde, dört ilkeyle desteklenen, Haziran ayında açıklanan yeni bir yazılım geliştirme süreci yer alıyor. Bunlar, belirli görevleri tamamladıktan sonra kendi kendini imha eden, yani “saldırıya uğrayabilecek statik bir şeyiniz yok” anlamına gelen geçici yapı ortamlarını içerir.
SolarWinds, yazılım geliştirme sürecini güvenli tasarım ilkelerine göre elden geçirdi
İkinci sütun, yan ürünlerin her zaman aynı, güvenli bileşenlere sahip olacağı deterministik olarak oluşturulmuş ürünlerdir.
Brown, farklı zamanlardan dolayı iki özdeş yapının normalde ikili olarak uyumlu olmadığını, ancak SolarWinds’in ikili olarak karşılaştırılabilecek deterministik yapılar elde ettiğini açıklıyor.
Üçüncü sütun, paralel olarak birden çok derleme işlem hattı (hızlı bir geliştirici derlemesi, güvenlik derlemesi ve daha yavaş doğrulama derlemesi) oluşturmakla ilgilidir.
Brown, “Bu boru hattında veya ilgili tedarik zincirinde hiçbir şeyin değişmediğine dair güvence için sonuçları karşılaştırıyorum” diye açıklıyor. “Hiç kimsenin üçüne de erişimi yok. Yapı sistemini etkilemek için birden fazla kişi arasında gizli anlaşmaya ihtiyacımız var.”
Son sütun, tam izlenebilirlik ve kalıcı kayıt kanıtı için izleme yazılımı oluşturma adımlarını içerir.
Paylaşmak önemsemektir
SolarWinds, en iyi uygulamaları paylaşmanın sözde ruhu içinde yeni yapı sisteminin bileşenlerini açık kaynak olarak kullanıyor.
“Düşmanlarımız iyi iş birliği yapıyor, paylaşmakta sorun yaşamıyorlar” diye belirtiyor, ancak Sunburst’un hem devlet destekli paylaşımı hem de “özel ve özel sektör arasında taban paylaşımını teşvik ettiğini” söylüyor. [entities]”.
Bu, özellikle, sektöre özel ISAC’lerin katkılarını onaylayarak alıntılayarak, saldırganların “belirli sektörlerin peşinden gitmek için ne yaptıklarına” dair içgörülerin paylaşılmasını içeriyor.
OKUMAYI UNUTMAYIN ABD hükümeti, ‘Endemik’ Log4j hatasının en az on yıl boyunca vahşi doğada devam edeceği konusunda uyardı
Microsoft, Fire Eye’ın Mandiant’ı ve çok sayıda güvenlik araştırmacısı, Sunburst’un ardından “paylaşılanların sınırlarını zorladı”.
Ayrıca, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) “gerçeği art niyet olmadan yayma” konusunda kredi verirken, Birleşik Krallık’ın NCSC’si “insanların karşılaştıkları riskleri ve ne yapmaları gerektiğini anlamalarına yardımcı oldu”.
‘Yaşananlara sahip çıkmak’
Brown’ın saldırının ardından binlerce müşteriyle konuşma deneyimi, bu arada, müşteri katılımına empatik bir yaklaşımın öneminin reklamını yaptı.
“Açık ve şeffaf olmak ve sorularını yanıtlamak önemlidir” diyor.
“Oldukça kötü birkaç ay geçirdik, ancak müşterilerimiz de yaşadı. Noel’di ve dünyanın dört bir yanındaki binlerce müşteri ve BT departmanı, bunun kendilerini etkileyip etkilemediğini anlamak zorunda kaldı. Bu yüzden müşterilerinizi asla unutmayın, onların acılarını asla unutmayın.”
Brown’a göre, empati ve şeffaflık SolarWinds’in itibarının iyileşmesini destekledi.
“Hiç kimse bir olaydan bu kadar açık, şeffaf ve gelecek vaat etmemişti” diyor. “Sektöre gösterebileceğimiz en büyük derslerden biri, yaşananlara sahip çıkarak saygı duymanız ve ardından iyileşmenizdir. Saklanmana gerek yok.”
Bununla birlikte, medya kapsamının kısa ve orta vadede kaçınılmaz olarak zarar verdiğini kabul ediyor. “İlk birkaç ay boyunca, genel olarak daha büyük şirketlerdeki ve hükümetlerdeki CISO’lar, ‘Bu herkesin başına gelebilir, anlıyoruz ki [this was a] sofistike aktör. Sahip olduğun için teşekkürler [the situation]’.
“Basın çok daha uzun sürdü” diye ekliyor. “Kötü haberler satma eğilimindedir. Ancak yol gösterici ışığınız müşterilere yardımcı oluyorsa, sonunda insanlar sizin iyi bir yanıt verdiğinizi fark edecekleri noktaya kadar döner.”
Brown, olayların ardından “açık, dürüst ve alçakgönüllü” olmanın yanı sıra, satıcıların “müşterilerin sevdiği harika ürünler” oluşturmanın önemini göz ardı etmemesi gerektiği sonucuna varıyor; aksi takdirde, “ne olursa olsun” ürünleri değiştirmek onlar için kolaydır. siz yapıyorsunuz”.
İLİŞKİLİ IBM raporuna göre, yazılım tedarik zincirinin tehlikeye girmesi nedeniyle her beş veri ihlalinden biri