[ad_1]
Sudhakar Ramakrishna estava sentado para uma refeição de aniversário com sua família quando recebeu a ligação: a SolarWinds havia sofrido um ataque cibernético em grande escala. A knowledge generation 12 de dezembro de 2020 e Ramakrishna deveria começar como CEO em algumas semanas.
O alcance e a gravidade do incidente não ficaram imediatamente aparentes, mas ele ainda ficou com uma decisão a tomar. Abandonaria o navio, que havia vazado sob a direção do capitão anterior, ou pegaria um balde e começaria a desembarcar?
Vários confidentes próximos aconselharam Ramakrishna a abandonar o posto, enquanto outros sugeriram seu conjunto de habilidades e experiência em cíber segurança fez dele a pessoa preferrred para presidir a recuperação.
Embora ele tenha demorado para considerar suas opções, a decisão de manter o curso foi no ultimate simples, disse Ramakrishna. Tech Radar Professional. O conselho foi informado de que ele recuaria se fosse decidido que a SolarWinds se beneficiaria da continuidade, mas que ele estava preparado para pilotar a empresa durante a crise.
Nas semanas que se seguiram, Ramakrishna começou a colaborar com a equipe executiva nos bastidores. A primeira prioridade generation descobrir exatamente o que havia acontecido e como, e a segunda generation formular um plano de ação que a SolarWinds pudesse trazer para seus clientes, parceiros e imprensa.
“A ideia de que um ataque pode acontecer com qualquer pessoa tornou-se mais prevalente, mas isso não o absolve do fato de ter acontecido com você”, disse ele. “Toda empresa terá uma crise ou duas, mas o que importa é como a administração reage.”
Um começo rochoso
O ataque em si havia começado muitos meses antes, em setembro de 2019, quando um grupo sofisticado de cibercriminosos com suspeitas de ligações com o estado russo obteve acesso à rede SolarWinds.
Os agentes de ameaças demonstraram uma paciência notável, escondendo-se à vista de todos enquanto construíam uma imagem abrangente da infraestrutura da SolarWinds e do processo de desenvolvimento de produtos da empresa.
Entre os vários produtos da SolarWinds, os invasores estavam particularmente interessados em um serviço de monitoramento de desempenho de TI chamado Orion, que precisa de acesso privilegiado aos sistemas do cliente para funcionar conforme projetado.
Após um teste inicial, os hackers injetaram um malware cepa conhecida como SUNBURST em uma atualização do tool Orion em algum momento entre março e junho de 2020. correção foi entregue a cerca de 18.000 clientes da SolarWinds, dando aos invasores acesso praticamente irrestrito às redes de agências governamentais, empresas de segurança e empresas multinacionais no processo.
“O setor não é novo em questões de segurança, mas cada um vem com sua própria reviravolta e significado – e isso foi significativo à sua maneira”, disse Ramakrishna.
“O tradecraft usado para criar a violação não generation comum, generation um ataque à cadeia de suprimentos. Este é um conceito bem conhecido no espaço de segurança, mas não bem exercido.”
O que torna um ataque desse tipo tão difícil de detectar, explicou ele, é que o agente da ameaça precisa apenas modificar um dos muitos milhares de arquivos para conduzir com sucesso um ataque que resulta no comprometimento de um grande número de alvos.
No ultimate, o grupo optou por se infiltrar apenas em um subconjunto das organizações comprometidas – incluindo Microsoft, Cisco, VMware, Intel e várias agências federais dos EUA – mas o ataque foi descrito como um dos mais significativos da história.
Quando a SolarWinds foi alertada sobre o incidente pela empresa de segurança FireEye, que detectou atividade incomum em sua própria rede, a empresa entrou em modo de crise. E foi nesse clima que Ramakrishna atravessou as portas em seu primeiro dia oficial no shipment.
No entanto, embora o ethical da equipe estivesse previsivelmente baixo e as conversas com clientes irritados muitas vezes difíceis, a crise pelo menos forneceu uma plataforma sobre a qual Ramakrishna poderia construir.
“De certa forma, fazer mudanças em meio a uma crise é mais fácil”, ele nos disse. “Quando tudo está perfeito, há muita resistência, mas quando uma empresa está em estado de choque, as pessoas são receptivas a novas ideias.”
Em 7 de janeiro de 2021, Ramakrishna publicou um postagem do weblog que delineou o que havia sido aprendido sobre o ataque até agora, propôs etapas imediatas para ajudar os clientes a lidar com o incidente e estabeleceu uma nova estrutura para evitar que um ataque semelhante se repita no futuro.
O enigma da cadeia de suprimentos
Embora a SolarWinds tenha conseguido se corrigir nos últimos doze meses, com a retenção de clientes agora retornando aproximadamente aos níveis pré-ataque, o incidente teve graves efeitos nos resultados da empresa.
Em vez de canalizar recursos para o desenvolvimento de produtos, vendas e geração de demanda como faria um negócio customary, a empresa foi forçada a entrar no modo de recuperação, com sua reputação em frangalhos.
Ramakrishna e sua equipe executiva dividiram a lista de clientes e começaram a se reunir com muitos deles individualmente, tanto para pedir desculpas e explicar o que havia acontecido, quanto para ajudá-los a investigar se suas próprias redes haviam sido violadas.
Ele descreveu isso como uma parte altamente desconfortável, mas essencial, do “processo de cura” que acabou abrindo caminho para o retorno às operações comerciais normais.
No entanto, apesar das consequências para a SolarWinds, há evidências que sugerem que as lições certas não foram aprendidas pelo setor de segurança cibernética em geral. Desde o ataque, vários incidentes semelhantes de alto nível ocorreram, como o Kaseya ataque, Log4j e, ainda mais recentemente, a Violação de Okta-Lapsus$.
Questionado sobre por que ele acha que os ataques à cadeia de suprimentos continuam ocorrendo, Ramakrishna explicou que a natureza desarticulada da defesa coletiva dá uma vantagem significativa ao invasor desde o início.
“Esta não é apenas uma questão de tecnologia, há muito mais do que isso”, disse ele. “Cada um de nós está se defendendo de um atacante. Mas de um lado está um exército coordenado com um propósito singular, atacar, e do outro está um conjunto de soldados fragmentados.”
Ramakrishna também criticou a cultura de vergonha das vítimas, que ele acredita contribuir para a falta de vontade das empresas de compartilhar informações vitais.
“Ainda há muita vergonha da vítima que acontece, então as empresas muitas vezes acabam corrigindo os problemas sem dizer nada sobre eles. Há definitivamente hesitação em falar”, ele nos disse.
“No caso de um incidente, é importante aproveitar a ajuda da comunidade. Precisamos conscientizar as pessoas sobre os problemas mais rapidamente; essa mentalidade precisa se estabelecer na segurança de tool.”
Para evitar que um ataque à cadeia de suprimentos dessa escala aconteça novamente, Ramakrishna também acredita que as empresas precisam adotar uma nova estrutura de segurança, que ele chama de “segura por design”.
Existem três componentes no modelo: segurança da infraestrutura, segurança do sistema de compilação e o design do próprio sistema de compilação. Mas a ideia geral é continuar modificando a superfície de ataque, para não fornecer ao invasor um alvo fixo e minimizar a janela de oportunidade.
Com esse objetivo em mente, a SolarWinds criou um “sistema de compilação paralela” pelo qual seu tool é construído em três locais separados, que podem ser alterados dinamicamente. O resultado de cada construção particular person é então cruzado com os outros para eliminar inconsistências que possam trair um ataque.
Para se infiltrar com sucesso em um patch de tool, portanto, um intruso teria que lançar três ataques simultaneamente, exatamente no mesmo momento e usando exatamente a mesma técnica.
“Isso é uma coisa muito difícil de fazer, mesmo para o cibercriminoso mais persistente”, disse Ramakrishna.
O novo visible SolarWinds
Ironicamente, foi sugerido que a SolarWinds agora pode ser considerada a empresa mais segura do mundo. Afinal, nenhuma outra organização passou pelo mesmo nível de escrutínio no período desde que o ataque foi descoberto.
Ramakrisha se recusou a comentar se acredita ou não que essa caracterização seja precisa, mas disse que é algo que a empresa está “determinada a tornar realidade”.
Operando sob sua estrutura de design seguro, a SolarWinds agora buscará construir suas bases em monitoramento de TI e evoluir para uma empresa que possa atender às necessidades híbridas dos clientes, tanto no nuvem e no native.
Ramakrishna prometeu um nível elevado de automação e recursos superiores de visualização e correção que, juntos, ajudarão a resolver os tipos de problemas criados pela transformação virtual. O objetivo é “reduzir a complexidade, melhorar a produtividade e cortar custos” para os clientes, nos disseram.
Com alguns raios de sol começando a espreitar através da nuvem que paira sobre a empresa, Ramakrishna está ansioso para voltar seu foco para esses objetivos centrais. Mas quando nossa conversa chegou ao fim, ele também aproveitou para alertar contra a complacência:
“Nenhuma empresa, por mais que faça, deve acreditar que está imune a ataques, porque isso é uma falácia”, disse ele.
[ad_2]
Fonte da Notícia
