Prawie 3 lata później CISO SolarWinds dzieli się 3 lekcjami z niesławnego ataku

W dniu 8 grudnia 2020 r. FireEye ogłosił odkrycie luki w oprogramowaniu SolarWinds Orion podczas badania ataku państwa narodowego na zestaw narzędzi Red Team. Pięć dni później, 13 grudnia 2020 r., SolarWinds opublikowane na Twitterze, prosząc „wszystkich klientów o natychmiastową aktualizację do Orion Platform w wersji 2020.2.1 HF 1 w celu usunięcia luki w zabezpieczeniach”. Było jasne: SolarWinds — firma z Teksasu, która tworzy oprogramowanie do zarządzania i ochrony sieci, systemów i infrastruktury IT — została zhakowana.

Bardziej niepokojący był fakt, że napastnicy, których władze USA powiązały teraz z rosyjskim wywiadem, znaleźli backdoor, przez który przeniknęli do systemu firmy około 14 miesięcy przed ogłoszeniem włamania. Hack SolarWinds ma już prawie 3 lata, ale jego następstwa nadal odbijają się echem w świecie bezpieczeństwa.

Spójrzmy prawdzie w oczy: przedsiębiorstwo jest stale zagrożone — albo ze strony złośliwi aktorzy którzy atakują dla korzyści finansowych lub zatwardziałych cyberprzestępców, którzy wydobywają dane i zamieniają je w broń w atakach na państwa narodowe. Jednak ataki na łańcuchy dostaw stają się dziś coraz bardziej powszechne, ponieważ cyberprzestępcy nadal wykorzystują systemy i agentów stron trzecich, aby atakować organizacje i przełamywać bariery bezpieczeństwa. Gartner przewiduje, że do 2025 r.45% organizacji na całym świecie doświadczą ataków na swoje łańcuchy dostaw oprogramowania”, prognoza, która wywołała falę w świecie cyberbezpieczeństwa i skłoniła więcej firm do nadania priorytetu cyfrowe zarządzanie ryzykiem łańcucha dostaw.

Chociaż jest to właściwy kierunek dla przedsiębiorstw, wciąż pozostaje pytanie: jakie wnioski wyciągnęły organizacje z cyberataku, który przeszedł przez korytarz, aby wyeliminować Duże korporacje i kluczowych agencji rządowych o dalekosiężnych konsekwencjach nawet w krajach poza Stanami Zjednoczonymi?

Aby lepiej zrozumieć, co stało się z atakiem i jak organizacje mogą przygotować się na ewentualności, takie jak włamanie do SolarWinds, Dark Reading połączyło się z Timem Brownem, CISO SolarWinds, aby dokładniej przyjrzeć się incydentowi i wyciągnąć wnioski trzy lata później.

1. Współpraca ma kluczowe znaczenie dla cyberbezpieczeństwa

Brown przyznaje, że sama nazwa SolarWinds służy jako przypomnienie dla innych, aby działali lepiej, naprawiali luki i wzmacniali całą architekturę bezpieczeństwa. Wiedząc, że wszystkie systemy są podatne na ataki, współpraca jest integralną częścią działań na rzecz bezpieczeństwa cybernetycznego.

„Jeśli spojrzysz na rozmowy dotyczące łańcucha dostaw, które się pojawiły, koncentrują się one teraz na przepisach, które powinniśmy wprowadzić, oraz na tym, jak podmioty publiczne i prywatne mogą lepiej współpracować, aby powstrzymać przeciwników” – mówi. „Nasz incydent pokazuje, że społeczność naukowa może się zjednoczyć, ponieważ tak wiele się tam dzieje”.

Stojąc na pierwszej linii frontu prawdopodobnie największego naruszenia bezpieczeństwa w ostatnich latach, Brown rozumie, że współpraca ma kluczowe znaczenie dla wszystkich działań związanych z cyberbezpieczeństwem.

„Trwa wiele rozmów na temat zaufania między osobami fizycznymi, rządem i innymi osobami” – mówi. „Nasi przeciwnicy dzielą się informacjami — i my musimy zrobić to samo”.

2. Mierz ryzyko i inwestuj w kontrole

Żadna organizacja nie jest 100% bezpieczeństwa przez 100% czasu, jak pokazał incydent SolarWinds. Aby wzmocnić bezpieczeństwo i chronić swoje granice, Brown radzi organizacjom przyjęcie nowego podejścia, w ramach którego rola CISO wykracza poza rolę partnera biznesowego i staje się oficerem ds. ryzyka. CISO musi mierzyć ryzyko w sposób „uczciwy, godny zaufania i otwarty” oraz umieć mówić o ryzyku, na jakie jest narażony, i o tym, jak je rekompensuje.

Organizacje mogą stać się bardziej proaktywne i pokonywać pułapki, zanim zostaną uruchomione sztuczna inteligencja (AI), uczenie maszynowe (ML) i eksploracja danych, wyjaśnia Brown. Jednak chociaż organizacje mogą wykorzystywać sztuczną inteligencję do automatyzacji wykrywania, Brown ostrzega, że ​​istnieje potrzeba odpowiedniego kontekstualizacji sztucznej inteligencji.

„Niektóre projekty kończą się niepowodzeniem, ponieważ starają się być zbyt duże”, mówi. „Próbują wyjść poza kontekst i nie zadają właściwych pytań: Co robimy ręcznie i jak możemy to robić lepiej? Mówią raczej: „Och, moglibyśmy to wszystko zrobić z danymi” — a niekoniecznie jest to coś, czego potrzebujesz”.

Według Browna liderzy muszą zrozumieć szczegóły problemu, na jaki wynik mają nadzieję, i zobaczyć, czy mogą to udowodnić.

„Musimy po prostu dojść do punktu, w którym będziemy mogli wykorzystać modele we właściwy dzień, aby dostać się tam, gdzie jeszcze nie byliśmy” — mówi.

3. Pozostań gotowy do walki

Liderzy IT muszą być o krok przed przeciwnikami. Jednak to nie wszystko jest zgubą i mrokiem. Włamanie do SolarWinds było katalizatorem tak wielu wspaniałych prac, które miały miejsce w całym zarządzie ds. cyberbezpieczeństwa, mówi Brown.

„Obecnie w łańcuchu dostaw powstaje wiele aplikacji, które mogą prowadzić katalog wszystkich Twoich zasobów, dzięki czemu będziesz wiedzieć, czy w części bloku konstrukcyjnego wystąpi luka, co pozwoli Ci ocenić, czy zostałeś dotknięty, czy nie. ," on mówi.

Ta świadomość, dodaje Brown, może pomóc w zbudowaniu systemu dążącego do doskonałości, w którym organizacje mogą szybciej identyfikować luki w zabezpieczeniach i zdecydowanie sobie z nimi radzić, zanim złośliwi aktorzy będą mogli je wykorzystać. Jest to również ważny wskaźnik, ponieważ przedsiębiorstwa zbliżają się do model dojrzałości o zerowym zaufaniu określone przez Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA).

Brown mówi, że ma nadzieję, że wnioski z włamania do SolarWinds pomogą liderom przedsiębiorstw w ich dążeniu do zabezpieczenia swoich rurociągów i pozostania gotowym do walki w stale rozwijającej się wojnie o cyberbezpieczeństwo.