安全负责人计算新的构建系统,并在分水岭网络攻击的积极遗产中更大的英特尔共享
来自臭名昭著的NotPetya运动ccleaner后门,流域Infosec时刻并不是很少见的,但是Solarwinds供应链攻击尤其重要。
所谓的“朝阳”攻击它利用植入IT性能监控系统的软件更新中的后门,使攻击者在2020年访问了18,000个Solarwinds客户。其中包括微软,NASA,安全公司FireEeye以及美国正义和国家部门。
对于受影响的人来说,这是一个极大的压力经历,尤其是负责Solarwinds的事件反应的人。但是,正如得克萨斯州总部的首席信息安全官(CISO)蒂姆·布朗(CISO)告诉《每日斯威格》时,后果并非没有有益的福利。beplay2018官网
他认为,优势不仅是为了使本身太阳 - 通过枢轴整个组织的“安全”范式- 但总体上对网络弥补也有态度。
“看电影”
布朗说:“许多人认为,这一水平的民族国家攻击 - 非常耐心,非常隐形,非常安静,以任务为中心 - 就像是一部电影,这不是真实的。”2017年加入Solarwinds担任安全副总裁。
但是这次袭击归因于俄罗斯与国家联系的黑客小组APT29(又名舒适的熊或诺贝尔),太真实了 - 许多组织都准备好听取课程。
推荐的“我们仍在战斗上十年的战斗” - Sonatype CTO Brian Fox为确保被忽视的软件供应链的努力
布朗说:“这是您需要捍卫的事情,而不仅仅是民族国家。”“网络犯罪类型,勒索软件类型,正在研究[Sunburst]说,‘好吧,如果我投资500万美元,我将获得5000万美元 - 这是我的投资回报良好。”
“世界各地的CISO感谢我的预算,因为他们的董事会问:‘这会发生在我们身上'吗?
当然,CISO说:“是的,我们需要在这里,这里和这里进行投资。”因此,我们实际上向整个生态系统注入了大量的安全性。”
该事件也激发了美国政府。一系列倡议,包括大修政府软件采购实践并制定了确保软件供应链的动员计划,从Randori的Aaron Portnoy和Sonatype的Brian Fox。
进一步的大规模供应链攻击Codecov和Kaseya VSA,以及近乎普遍的开源库中的脆弱性log4j,只能使自满状态保持自满。
“人类方面”
Brown, who has previously been chief technology officer (CTO) at Dell, says that with the technical details of Sunburst now “well understood”, people now “want to know what was it like from the inside, for me personally – what’s it really like behind the scenes?”
蒂姆·布朗
可以说,这种对“人类”的兴趣部分反映出一种焦虑,即无论有多安全,都没有任何组织完全不受这种复杂,有针对性和隐形攻击的影响。
布朗说:“这不是一件容易的事。”“我认为我们有责任不隐藏,这是在商业角度解释风险的责任,并提高了我们的风险姿势。这有助于我们管理自己的压力并管理公司的风险,同时也将其置于每个人的正确背景下。”
像Solarwinds这样的供应商(他们的网络和基础架构监视工具)通常需要特权访问敏感数据,只能承受小风险的胃口。
“人们需要了解的是他们适合关键流的位置,关键基础设施和供应链,”布朗说。“基于此,您可以定义风险承受能力。
“因此,如果您的组件在海洋底部被围起来,并采用输入和输出,这就是您所做的,您面临的风险水平很小,对吗?但是,如果您坐在核电站的中间,那么您的风险最终会更高。”
短暂的构建环境
布朗说,Solarwinds的爆发后修改“具有工程意义,安全含义,过程和程序的影响”。“将其视为伞,以尽早在我们所做的一切过程中尽早将安全放入我们的思维过程中。”
Solarwinds拥有大多数员工Yubikeys,现在拥有三个安全操作中心(SOC),以在整个环境中获得可见性。
大修的核心是一个新的软件开发过程公开6月,以四个原则为基础。其中包括在完成特定任务后自我毁灭的短暂构建环境,这意味着“您没有可以攻击的静态事物”。
Solarwinds根据安全性原则大修了其软件开发过程
第二个支柱是确定性构造的产品,副产品始终具有相同的安全组件。
布朗解释说,两种相同的构建通常是由于时间分歧而不是双手兼容的,但是Solarwinds已经实现了可以进行双手比较的确定性构建。
第三个支柱围绕着创建多个构建管道(快速开发人员构建,安全构建和较慢的验证构建),并并行。
布朗解释说:“我比较了保证的结果,即该管道或相关供应链中没有任何变化。”“没有人可以访问这三个。我们需要在多人之间勾结来影响构建系统。”
最终的支柱涉及跟踪软件建立步骤,以完全可追溯和永久记录证明。
分享很关心
Solarwinds是开源其新构建系统的组成部分以共享最佳实践的精神为生。
他指出:“我们的对手合作良好,他们没有问题。”但Sunburst鼓励了更多政府赞助的共享和“私人和私人[实体]之间的基层共享”。
他说,这显着包括分享关于哪些攻击者“追求某些行业”的见解。ISACS认可。
不要忘记阅读美国政府警告说,“流行” log4j错误至少要在野外持续至少十年。
Microsoft,Fire Eye的Mandiant和许多安全研究人员“推动了Sunburst的信封”。
他还赞扬美国网络安全和基础设施安全局(CISA)“在没有别有用心的情况下放大真理”,而英国的NCSC“帮助人们了解他们面临的风险以及应做什么。”
“拥有发生的事情”
与此同时,布朗与成千上万的客户交谈的经验在宣传了一种善解人意的方法在客户参与方面的重要性。
他说:“保持开放和透明并回答他们的问题很重要。”
“我们的几个月很糟糕,但是我们的客户也这样做了。那是圣诞节和数千个客户,世界各地的IT部门都必须弄清楚它是否正在影响他们。因此,永远不要忘记您的客户,永远不要忘记他们的痛苦。”
据布朗说,同理心和透明度为Solarwinds的声誉恢复提供了基础。
他声称:“没有人真正开放,透明和即将到来的事件。”“我们可以向行业展示的最大的教训之一是,您可以从拥有发生的事情然后恢复中获得尊重。你不需要隐藏。”
尽管如此,他承认,在短期到中期,媒体的报道不可避免地破坏了。“在最初的几个月中,大型公司和政府的CISO就像,‘这可能发生在任何人身上,我们知道这是一位成熟的演员。感谢您拥有[情况]。
他补充说:“媒体花了更长的时间。”“坏消息往往会出售。但是,如果您的指导灯正在帮助客户,那么最终它会转过身,以至于人们意识到您做得很好。”
As well as being “open, honest, and humble” in the wake of incidents, concludes Brown, vendors must not overlook the importance of building “great products that customers love” – otherwise it’s easy for them to switch products, “no matter what you do”.
有关的IBM报告警告
