FireEye den 8. december 2020 annoncerede opdagelsen af et brud i SolarWinds Orion-softwaren, mens den undersøgte et nationalstatsangreb på dets Red Team-værktøjssæt. Fem dage senere, den 13. december 2020, SolarWinds udgivet på Twitter, der beder "alle kunder om straks at opgradere til Orion Platform version 2020.2.1 HF 1 for at løse en sikkerhedssårbarhed." Det var klart: SolarWinds - det Texas-baserede firma, der bygger software til styring og beskyttelse af netværk, systemer og it-infrastruktur - var blevet hacket.
Mere bekymrende var det, at angriberne, som amerikanske myndigheder nu har sat i forbindelse med russisk efterretningstjeneste, havde fundet bagdøren, hvorigennem de infiltrerede virksomhedens system cirka 14 måneder før hacket blev annonceret. SolarWinds-hacket er nu næsten 3 år gammelt, men dets eftervirkninger fortsætter med at give genlyd i hele sikkerhedsverdenen.
Lad os se det i øjnene: Virksomheden er konstant truet - enten fra ondsindede aktører som angriber for økonomiske gevinster eller hærdede cyberkriminelle, der udvinder og bevæbner datakronjuveler i nationalstatsangreb. Forsyningskædeangreb bliver dog mere almindelige i dag, da trusselsaktører fortsætter med at udnytte tredjepartssystemer og -agenter til at målrette organisationer og bryde igennem deres sikkerhedsværn. Gartner forudser, at i 2025, "45 % af organisationer på verdensplan vil have oplevet angreb på deres softwareforsyningskæder,” en forudsigelse, der har skabt en bølge på tværs af cybersikkerhedsverdenen og fået flere virksomheder til at begynde at prioritere digital forsyningskæde risikostyring.
Selvom dette er den rigtige retning for virksomheder, hænger spørgsmålet stadig: Hvilke erfaringer har organisationer lært af et cyberangreb, der gik på tværs af gangen for at tage ud store virksomheder og centrale statslige agenturer med vidtrækkende konsekvenser selv i lande uden for USA?
For bedre at forstå, hvad der skete med angrebet, og hvordan organisationer kan forberede sig på eventualiteter som SolarWinds-hacket, sluttede Dark Reading sig til SolarWinds CISO Tim Brown for et dybere dyk ned i hændelsen og erfaringer tre år efter.
1. Samarbejde er afgørende for cybersikkerhed
Brown indrømmer, at selve navnet SolarWinds tjener som en påmindelse for andre om at gøre det bedre, rette sårbarheder og styrke hele deres sikkerhedsarkitektur. Velvidende, at alle systemer er sårbare, er samarbejde en integreret del af cybersikkerhedsindsatsen.
"Hvis man ser på de forsyningskædesamtaler, der er kommet op, fokuserer de nu på de regler, vi bør indføre, og hvordan offentlige og private aktører bedre kan samarbejde for at stoppe modstandere," siger han. "Vores hændelse viser, at forskersamfundet kunne samles, fordi der sker så meget der."
Efter at have stået i frontlinjen af det måske største sikkerhedsbrud i de senere år, forstår Brown, at samarbejde er afgørende for alle cybersikkerhedsindsatser.
"Mange samtaler har været i gang omkring tillid mellem enkeltpersoner, regering og andre," siger han. "Vores modstandere deler information - og vi er nødt til at gøre det samme."
2. Mål risiko og invester i kontroller
Ingen organisation er 100 % sikker 100 % af tiden, som SolarWinds-hændelsen demonstrerede. For at styrke sikkerheden og forsvare deres perimeter råder Brown organisationer til at vedtage en ny tilgang, der ser CISO-rollen bevæge sig ud over at være en forretningspartner til at blive en risikoansvarlig. CISO skal måle risiko på en måde, der er "ærlig, troværdig og åben" og være i stand til at tale om de risici, de står over for, og hvordan de kompenserer for dem.
Organisationer kan blive mere proaktive og besejre fælder, før de udspringer ved at bruge kunstig intelligens (AI), machine learning (ML) og data mining, forklarer Brown. Men mens organisationer kan udnytte AI til at automatisere detektion, advarer Brown om, at der er behov for at kontekstualisere AI korrekt.
"Nogle af projekterne derude mislykkes, fordi de forsøger at blive for store," siger han. "De forsøger at gå uden kontekst og stiller ikke de rigtige spørgsmål: Hvad gør vi manuelt, og hvordan kan vi gøre det bedre? Tværtimod siger de, 'Åh, vi kunne gøre alt det med dataene' - og det er ikke, hvad du nødvendigvis har brug for."
Ledere skal forstå detaljerne i problemet, hvilket resultat de håber på, og se om de kan bevise det rigtigt, ifølge Brown.
"Vi skal bare komme til det punkt, hvor vi kan bruge modellerne på den rigtige dag for at få os et sted, hvor vi ikke har været før," siger han.
3. Forbliv kampklar
IT-ledere skal være et skridt foran modstanderne. Det er dog ikke alt sammen undergang og dysterhed. SolarWinds-hacket var en katalysator for så meget fantastisk arbejde, der skete på tværs af cybersikkerhedspanelet, siger Brown.
"Der er mange applikationer, der bygges i forsyningskæden lige nu, som kan føre et katalog over alle dine aktiver, så hvis der opstår en sårbarhed i en del af byggestenen, vil du vide det, så du kan vurdere, om du blev påvirket eller ej ," han siger.
Denne bevidsthed, tilføjer Brown, kan hjælpe med at opbygge et system, der tenderer mod perfektion, hvor organisationer kan identificere sårbarheder hurtigere og håndtere dem beslutsomt, før ondsindede aktører kan udnytte dem. Det er også en vigtig målestok, da virksomheder rykker tættere på nul-tillid modenhedsmodel foreskrevet af Cybersecurity and Infrastructure Security Agency (CISA).
Brown siger, at han håber, at disse erfaringer fra SolarWinds-hacket vil hjælpe virksomhedsledere i deres søgen efter at sikre deres pipelines og forblive kampklar i den stadigt udviklende cybersikkerhedskrig.
