FireEye 8. desember 2020 annonsert oppdagelsen av et brudd i SolarWinds Orion-programvaren mens den undersøkte et nasjonalstatsangrep på Red Team-verktøysettet. Fem dager senere, 13. desember 2020, SolarWinds postet på Twitter, og ber "alle kunder om å oppgradere umiddelbart til Orion Platform versjon 2020.2.1 HF 1 for å løse et sikkerhetsproblem." Det var klart: SolarWinds – det Texas-baserte selskapet som bygger programvare for å administrere og beskytte nettverk, systemer og IT-infrastruktur – hadde blitt hacket.
Mer bekymringsfullt var det faktum at angriperne, som amerikanske myndigheter nå har knyttet til russisk etterretning, hadde funnet bakdøren som de infiltrerte selskapets system gjennom rundt 14 måneder før hacket ble annonsert. SolarWinds-hacket er nå nesten 3 år gammelt, men ettervirkningene fortsetter å gi gjenlyd over hele sikkerhetsverdenen.
La oss innse det: Bedriften er konstant truet - enten fra ondsinnede aktører som angriper for økonomiske gevinster eller hardbarkede nettkriminelle som trekker ut og bevæpner datakronjuveler i nasjonalstatsangrep. Imidlertid blir forsyningskjedeangrep mer vanlig i dag, ettersom trusselaktører fortsetter å utnytte tredjepartssystemer og agenter for å målrette organisasjoner og bryte gjennom sikkerhetsrekkverkene deres. Gartner spår at innen 2025, "45 % av organisasjoner over hele verden vil ha opplevd angrep på deres programvareforsyningskjeder», en spådom som har skapt en krusning over cybersikkerhetsverdenen og fått flere selskaper til å begynne å prioritere risikostyring i digital forsyningskjede.
Selv om dette er riktig retning for bedrifter, gjenstår spørsmålet fortsatt: Hvilken lærdom har organisasjoner lært av et nettangrep som gikk over midtgangen for å ta ut store selskaper og sentrale offentlige etater med vidtrekkende konsekvenser selv i land utenfor USA?
For bedre å forstå hva som skjedde med angrepet og hvordan organisasjoner kan forberede seg på hendelser som SolarWinds-hacket, koblet Dark Reading seg til SolarWinds CISO Tim Brown for et dypere dykk inn i hendelsen og lærdommen tre år senere.
1. Samarbeid er kritisk for cybersikkerhet
Brown innrømmer at selve navnet SolarWinds fungerer som en påminnelse for andre om å gjøre det bedre, fikse sårbarheter og styrke hele sikkerhetsarkitekturen deres. Når vi vet at alle systemer er sårbare, er samarbeid en integrert del av cybersikkerhetsarbeidet.
"Hvis du ser på leverandørkjedesamtalene som har kommet opp, fokuserer de nå på regelverket vi bør få på plass og hvordan offentlige og private aktører bedre kan samarbeide for å stoppe motstandere," sier han. "Hendelsen vår viser at forskningsmiljøet kan komme sammen fordi det er så mye som skjer der."
Etter å ha stått i frontlinjen av kanskje det største sikkerhetsbruddet de siste årene, forstår Brown at samarbeid er avgjørende for all cybersikkerhetsinnsats.
"Mange samtaler har pågått rundt tillit mellom enkeltpersoner, myndigheter og andre," sier han. "Våre motstandere deler informasjon - og vi må gjøre det samme."
2. Mål risiko og invester i kontroller
Ingen organisasjon er det 100 % sikker 100 % av tiden, som SolarWinds-hendelsen demonstrerte. For å styrke sikkerheten og forsvare sine omkretser, råder Brown organisasjoner til å ta i bruk en ny tilnærming som ser at CISO-rollen går fra å være en forretningspartner til å bli en risikoansvarlig. CISO må måle risiko på en måte som er "ærlig, pålitelig og åpen" og være i stand til å snakke om risikoen de står overfor og hvordan de kompenserer for dem.
Organisasjoner kan bli mer proaktive og beseire feller før de blir sprunget ved å bruke kunstig intelligens (AI), maskinlæring (ML) og datautvinning, forklarer Brown. Men mens organisasjoner kan utnytte AI for å automatisere deteksjon, advarer Brown at det er behov for å kontekstualisere AI på riktig måte.
"Noen av prosjektene der ute mislykkes fordi de prøver å bli for store," sier han. "De prøver å gå uten kontekst og stiller ikke de riktige spørsmålene: Hva gjør vi manuelt og hvordan kan vi gjøre det bedre? Snarere sier de: 'Å, vi kan gjøre alt det med dataene' - og det er ikke det du nødvendigvis trenger.»
Ledere må forstå detaljene i problemet, hvilket utfall de håper på, og se om de kan bevise at det er riktig, ifølge Brown.
"Vi må bare komme til det punktet hvor vi kan bruke modellene på riktig dag for å få oss et sted vi ikke har vært før," sier han.
3. Forbli kampklar
IT-ledere må ligge et skritt foran motstanderne. Det er imidlertid ikke alt undergang og dysterhet. SolarWinds-hacket var en katalysator for så mye flott arbeid som skjedde over hele cybersikkerhetsstyret, sier Brown.
"Det bygges mange applikasjoner i forsyningskjeden akkurat nå som kan føre en katalog over alle eiendelene dine slik at hvis det oppstår en sårbarhet i en del av byggeblokken, vil du vite det, slik at du kan vurdere om du ble påvirket eller ikke ," han sier.
Denne bevisstheten, legger Brown til, kan hjelpe til med å bygge et system som tenderer mot perfeksjon, der organisasjoner kan identifisere sårbarheter raskere og håndtere dem på avgjørende måte før ondsinnede aktører kan utnytte dem. Det er også en viktig beregning ettersom bedrifter kommer nærmere null-tillit modenhetsmodell foreskrevet av Cybersecurity and Infrastructure Security Agency (CISA).
Brown sier at han håper at disse leksjonene fra SolarWinds-hacket vil hjelpe bedriftsledere i deres søken etter å sikre rørledningene deres og forbli kampklare i den stadig utviklende cybersikkerhetskrigen.
