[[434588]]
SolarWinds公司的Orion软件数据泄露事件改变了该公司的安全策略和方法。该公司首席信息安全官Tim Brown共享了一些相关首席信息安全官和软件供应商如何为供应链波折作念好准备的建议。
旧年年底,一个名为Cozy Bear(APT29)的集结波折组织到手入侵了SolarWinds公司的Orion更新软件,将其酿成了坏心软件的传播用具。这一集结监控用具使该公司快要100名客户受到侵害,其中包括一些政府部门和集结安全做事商FireEye公司。
集结波折者拜谒和波折SolarWinds公司的IT基础设施,并对Orion软件植入木马要领。首先发现这种软件供应链波折的FireEye公司暗意,它需要集结波折者用心筹划和交互。
研究东说念主员以为需要十分爱重这次集结波折,SolarWinds公司也作念了积极地支吾,该公司连忙引入了外部匡助,不仅处分了濒临的危急,还匡助审查了他们的安全运营设施,并制定了安全策略,以更好地谢却往时的软件供应链波折。SolarWinds公司已公开了该事件的细节以及为改善其安全态势而选用的设施。
行业媒体为此采访了SolarWinds公司首席信息安全官兼安全副总裁Tim Brown,就这次事件如何更动该公司的安全设施和方法进行了探讨。Brown主要肃肃该公司的家具和里面安全。
在这次集结波折发生后,您的责任变装发生了哪些变化?
Brown:在这次集结波折发生之前,我的职责并不单是包括首席信息安全官的职责,还关注公司的安全运营和家具安全策略。咱们的主义是家具和运营的谈论。咱们需要肃肃运营安全,并主要委用家具,因此让咱们的安全团队参与其中十分遑急。
在这次集结波折事件发生之后, SolarWinds公司决定如何支吾和处理?Brown:在窥伺时候,咱们领先引入了安全厂商Crowd Strike公司对咱们的业务进行宏不雅检查。他们的职工与咱们整个责任了大致五个月,深入研究了每个责任站、每个做事器的统共细节。
与此同期,咱们还得回了毕马威公司取证团队的匡助,因为咱们需要一些不同的手段组合,需要有东说念主专注于工程和开荒环境,然后进行微不雅检查。
为了提高成果,咱们让Crowd Strike公司专注于宏不雅环境,毕马威公司专注于微不雅环境。在窥伺中的前一两个月,咱们每天齐与他们会面,并得到一个列出统共事项的清单。
在窥伺中还有一件遑急的事是,咱们需要更好地了解整个环境。在事件发生之前,咱们运行了我方的安全运营中心(SOC),这个安全运营中心(SOC)具有庸碌的褪色鸿沟。责任站和做事器现时弃取CrowdStrike Falcon进行监控。
然后,SecureWorks从CrowdStrike获取咱们的AWS信息、防火墙信息、Azure信息、Microsoft 365以及咱们的统共责任站和做事器信息,这增强了SOC的可见性。这种可见性对咱们大要看到一切十分灵验。
另一个变化是成立全职“红队”。 红队的任务是从对抗性的角度检察企业的手脚和业务职能,以改善企业的安全情状。在集结安全事件发生之前,咱们的红队是兼职的。成立全职红队让咱们的团队成员不错担任几个变装。一种是基础设施的里面红队,测试咱们实施的收敛设施,并确保安全运营中心(SOC)作念正确的事情。
咱们按期对每个处分有研究进行里面渗入测试,然后也在外部进行渗入测试。这为咱们提供了一种互补的方法。它还与工程环境密切相关,这也要进行我方的里面安全测试。
这种测试增多了三倍,这种多方的安全测试包括:外部测试、安全团队里面测试和开荒团队里面测试。
对于您的团队和整个业务来说,安全不雅念发生了若何的变化?Brown:有东说念主告诉我,他们试图让路发东说念主员改变或让路发东说念主员谈判安全性方面遭受的问题。对于这一安全事件,咱们的社区和用户十分不安。因为有东说念主闯入他们的集结和系统,并改变了他们的运营环境。
确保安全性的撑抓之一是创造安全文化,这是一个抓续的旅程。咱们进行安全培训,饱读舞敷陈,并让统共职工参与。
从咱们的实行交流层来看,咱们公司的首席实行官Sudhakar Ramakrishna在召开举座会议时每次齐会褒贬安全问题。各个层面齐在褒贬安全性。
另一撑抓是销售团队的心态。咱们的客户现时最存眷的是安全问题。是以,这不单是是一个里面的事情,亦然鼓动业务发展的要道。软件开荒商以及安全行业除外的公司如今齐在褒贬他们的安全功能。
咱们看到客户就咱们的安全进程建议了更复杂、更精采的问题。我以为这很好。这将使企业在安全方面走上正确的轨说念,并领导他们需要在意什么事项。
您为客户提供了哪些率领或用具来匡助减弱供应链阻碍?Brown:咱们在不同的场所齐有安全的建设信息。在集结波折事件发生之后,咱们将其吞并到一个文档和一个区域中,这是以安全形态实施的方法。
至极是对于里面部署处分有研究,这是一种招引关系。咱们需要他们大要选用正确的行动,并以正确的形态进行建设。但咱们并不老是对他们的建设形态有深入的了解。在某些情况下,他们并不和咱们沟通和交流。他们只需装置家具即可。他们需要妥当安全地建设、监控和管制家具,这一设施十分遑急。
您是否提供了对公司的生态系统和正在使用的做事的更多可见性?Brown:咱们将公开和共享咱们使用的用具。咱们会告诉他们,“咱们用Checkmarx作念静态代码分析。咱们使用WhiteSource来检察开源用具。”
咱们将更多地盘算推算咱们的安全开荒生命周期(SDL)进程以及咱们在环境中实施的保护设施。事实上,就像集结波折事件发生之前的大多半供应商相通,那么他们确实存眷咱们如何保护和竖立吗?现时每个东说念主齐在这么作念。我和其他首席信息安全官进行了沟通和交流,他们暗意濒临的问题越来越难,条目愈加绽放。这对各行业发展齐有刚正。
你提到了一些正在进行的责任,举例家具和里面审计的最低特权拜谒模子。你有这些责任的时候表吗?Brown:咱们的里面审计是对从代码行一直到家具的统共实质的里面审计,将在2022年第一季度完成。家具的最低特权模子照旧从文档和初步实施运行。
这是一个运行。咱们照旧对代理和其他实质进行了改革,以匡助客户了解应该如何建设,并从代理集结数据。咱们照旧作念了一些事情,举例使警报系统在不同的帐户下运行,况且不错指定具有妥当权限的帐户。
下一步是与权限管制系统的集成,这么咱们就无须在家具中使用密码,不错将它们从已批准的密码管制系统中移除。许多东说念主运行关注咱们是如何作念到的,并领有了所需的最低特权,但仍然大要实施咱们正在实行的功能。
这对于莫得严格拜谒收敛收敛的客户有匡助吗?Brown:信得过地说,它只会为这些客户提供妥当级别的保险。在这起事件中,咱们与招引伙伴开展了Orion挽回规划。咱们的招引伙伴将匡助客户进行升级,并匡助考证建设以确保它们是合适的。
软件行业应该作念些什么来更好地保护每个东说念主免受供应链波折?Brown:领先,企业确保我方的运营环境整齐整齐,确保为支吾集结波折作念好准备。若是如实发生波折事件,那么需要实施照旧制定的规划,并陆续完成事件反应进程。
其次,对于客户来说,应该让其家具对不妥当的建设更有弹性,对一般的集结波折更有弹性。不管是对于如何建设的指南,不管是用具,照旧建设匡助,这一切齐归结为匡助客户在其环境中进行妥当建设以提高弹性。
从行业的角度来看,将会增多可见性,这将会愈加透明。它关注于软件和材料,关注在家具中使用的统共组件,并使它们愈加公开。这将了解并提供相关开荒框架和开荒周期的更多信息。
从透明度的角度来看,这是正确的标的。软件行业应该汲取这一本质,不仅要作念基础责任,还要匡助IT部门作念到这少许,以便咱们公开的框架和信息如实有助于保护环境,并使其更具抵挡波折的才智。
对于可能成为集结波折主义的企业,其他首席信息安全官应该作念的最遑急的责任是什么?
Brown:每个东说念主齐应该清醒到的一个教会是阻碍手脚者的级别。那些使他们难以发现和对抗的事情等于现时边临的集结波折者,他们运行转向有组织的违纪。
若是不了解集结波折者将会追求什么,需要从了解环境运行,从了解他们将要作念什么运行。了解环境,这么就不错随时不雅察一切,并确保领有整个环境的庸碌可见性。
确保在环境中选用了保护设施。从开荒东说念主员的角度来看,确保了解正在管制的症结、我方知说念的症结、第三方知说念的症结,并弃取妥当的进程妥当地管制它们。
其中一个教会是,不管如何锻练事件反应,它齐会有所不同。当这种级别的集结波折事情发生时,企业只需要为进程和要领作念好准备。
东说念主们不成我方作念统共的事情。从音书传递、反应、窥伺的角度来看,统共这些事情齐需要有阅历丰富的东说念主员参与。
大致在这次网终波折事件的前一年,咱们就制定了一个进程,对于每个安全症结,不管是外部记载的、咱们的用具记载的照旧其他场所记载的,齐会成为Jira记载单,就像旧例症结相通,但它会得回一个安全标签。咱们的安全团队将监控这些事项。若是不顺应咱们的里面品级做事公约(SLA)处分有研究,他们将经过咱们的风险评估表(RAF)进程,我必须在风险评估表上署名,工程肃肃东说念主也要署名。这将处理家具中的症结水平普及到一个妥当的级别,以决定某个问题是否得到处分。
制定进程以确保在症结方面取得发达,因为不一定是阻碍手脚者参加企业的环境并改革代码,就像他们在咱们的运营环境中所作念的那样。另外,阻碍手脚者可能发现了家具中的零日症结并哄骗这些症结。因此,需要确保在这两个范畴齐有褪色。