SolarWinds公司首席信息安全官的建議:了解對手及其想要什么,并關(guān)注一切

責(zé)任編輯:cres

作者:Michael Nadeau

2021-11-11 13:39:18

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

SolarWinds公司的Orion軟件數(shù)據(jù)泄露事件改變了該公司的安全策略和方法。該公司首席信息安全官Tim Brown分享了一些有關(guān)首席信息安全官和軟件供應(yīng)商如何為供應(yīng)鏈攻擊做好準(zhǔn)備的建議。

SolarWinds公司的Orion軟件數(shù)據(jù)泄露事件改變了該公司的安全策略和方法。該公司首席信息安全官Tim Brown分享了一些有關(guān)首席信息安全官和軟件供應(yīng)商如何為供應(yīng)鏈攻擊做好準(zhǔn)備的建議。
 
去年年底,一個名為Cozy Bear(APT29)的網(wǎng)絡(luò)攻擊組織成功入侵了SolarWinds公司的Orion更新軟件,將其變成了惡意軟件的傳播工具。這一網(wǎng)絡(luò)監(jiān)控工具使該公司將近100名客戶受到侵害,其中包括一些政府部門和網(wǎng)絡(luò)安全服務(wù)商FireEye公司。
 
網(wǎng)絡(luò)攻擊者訪問和攻擊SolarWinds公司的IT基礎(chǔ)設(shè)施,并對Orion軟件植入木馬程序。最先發(fā)現(xiàn)這種軟件供應(yīng)鏈攻擊的FireEye公司表示,它需要網(wǎng)絡(luò)攻擊者精心策劃和交互。
 
研究人員認(rèn)為需要十分重視這次網(wǎng)絡(luò)攻擊,SolarWinds公司也做了積極地應(yīng)對,該公司迅速引入了外部幫助,不僅解決了面臨的危機(jī),還幫助審查了他們的安全運(yùn)營措施,并制定了安全戰(zhàn)略,以更好地防范未來的軟件供應(yīng)鏈攻擊。SolarWinds公司已公開了該事件的細(xì)節(jié)以及為改善其安全態(tài)勢而采取的措施。
 
行業(yè)媒體為此采訪了SolarWinds公司首席信息安全官兼安全副總裁Tim Brown,就此次事件如何改進(jìn)該公司的安全措施和方法進(jìn)行了探討。Brown主要負(fù)責(zé)該公司的產(chǎn)品和內(nèi)部安全。
 
在這次網(wǎng)絡(luò)攻擊發(fā)生后,您的工作角色發(fā)生了哪些變化?
 
Brown:在這次網(wǎng)絡(luò)攻擊發(fā)生之前,我的職責(zé)并不只是包括首席信息安全官的職責(zé),還關(guān)注公司的安全運(yùn)營和產(chǎn)品安全戰(zhàn)略。我們的目標(biāo)是產(chǎn)品和運(yùn)營的結(jié)合。我們需要負(fù)責(zé)運(yùn)營安全,并主要交付產(chǎn)品,因此讓我們的安全團(tuán)隊參與其中非常重要。
 
在此次網(wǎng)絡(luò)攻擊事件發(fā)生之后, SolarWinds公司決定如何應(yīng)對和處理?
 
Brown:在調(diào)查期間,我們首先引入了安全廠商Crowd Strike公司對我們的業(yè)務(wù)進(jìn)行宏觀檢查。他們的員工與我們一起工作了大約五個月,深入研究了每個工作站、每個服務(wù)器的所有細(xì)節(jié)。
 
與此同時,我們還獲得了畢馬威公司取證團(tuán)隊的幫助,因為我們需要一些不同的技能組合,需要有人專注于工程和開發(fā)環(huán)境,然后進(jìn)行微觀檢查。
 
為了提高效率,我們讓Crowd Strike公司專注于宏觀環(huán)境,畢馬威公司專注于微觀環(huán)境。在調(diào)查中的前一兩個月,我們每天都與他們會面,并得到一個列出所有事項的清單。
 
在調(diào)查中還有一件重要的事是,我們需要更好地了解整個環(huán)境。在事件發(fā)生之前,我們運(yùn)行了自己的安全運(yùn)營中心(SOC),這個安全運(yùn)營中心(SOC)具有廣泛的覆蓋范圍。工作站和服務(wù)器現(xiàn)在采用CrowdStrike Falcon進(jìn)行監(jiān)控。
 
然后,SecureWorks從CrowdStrike獲取我們的AWS信息、防火墻信息、Azure信息、Microsoft 365以及我們的所有工作站和服務(wù)器信息,這增強(qiáng)了SOC的可見性。這種可見性對我們能夠看到一切非常有效。
 
另一個變化是成立全職“紅隊”。 紅隊的任務(wù)是從對抗性的角度查看企業(yè)的行為和業(yè)務(wù)職能,以改善企業(yè)的安全狀況。在網(wǎng)絡(luò)安全事件發(fā)生之前,我們的紅隊是兼職的。成立全職紅隊讓我們的團(tuán)隊成員可以擔(dān)任幾個角色。一種是基礎(chǔ)設(shè)施的內(nèi)部紅隊,測試我們實(shí)施的控制措施,并確保安全運(yùn)營中心(SOC)做正確的事情。
 
我們定期對每個解決方案進(jìn)行內(nèi)部滲透測試,然后也在外部進(jìn)行滲透測試。這為我們提供了一種互補(bǔ)的方法。它還與工程環(huán)境密切相關(guān),這也要進(jìn)行自己的內(nèi)部安全測試。
 
這種測試增加了三倍,這種多方的安全測試包括:外部測試、安全團(tuán)隊內(nèi)部測試和開發(fā)團(tuán)隊內(nèi)部測試。
 
對于您的團(tuán)隊和整個業(yè)務(wù)來說,安全觀念發(fā)生了怎樣的變化?
 
Brown:有人告訴我,他們試圖讓開發(fā)人員改變或讓開發(fā)人員考慮安全性方面遇到的問題。對于這一安全事件,我們的社區(qū)和用戶非常不安。因為有人闖入他們的網(wǎng)絡(luò)和系統(tǒng),并改變了他們的運(yùn)營環(huán)境。
 
確保安全性的支柱之一是創(chuàng)造安全文化,這是一個持續(xù)的旅程。我們進(jìn)行安全培訓(xùn),鼓勵報告,并讓所有員工參與。
 
從我們的執(zhí)行領(lǐng)導(dǎo)層來看,我們公司的首席執(zhí)行官Sudhakar Ramakrishna在召開全體會議時每次都會談?wù)摪踩珕栴}。各個層面都在談?wù)摪踩浴?/div>
 
另一支柱是銷售團(tuán)隊的心態(tài)。我們的客戶現(xiàn)在最關(guān)心的是安全問題。所以,這不僅僅是一個內(nèi)部的事情,也是推動業(yè)務(wù)發(fā)展的關(guān)鍵。軟件開發(fā)商以及安全行業(yè)之外的公司如今都在談?wù)撍麄兊陌踩δ堋?/div>
 
我們看到客戶就我們的安全流程提出了更復(fù)雜、更詳細(xì)的問題。我認(rèn)為這很好。這將使企業(yè)在安全方面走上正確的軌道,并提醒他們需要注意什么事項。
 
您為客戶提供了哪些指導(dǎo)或工具來幫助減輕供應(yīng)鏈威脅?
 
Brown:我們在不同的地方都有安全的配置信息。在網(wǎng)絡(luò)攻擊事件發(fā)生之后,我們將其合并到一個文檔和一個區(qū)域中,這是以安全方式實(shí)施的方法。
 
特別是對于內(nèi)部部署解決方案,這是一種合作關(guān)系。我們需要他們能夠采取正確的行動,并以正確的方式進(jìn)行配置。但我們并不總是對他們的配置方式有深刻的了解。在某些情況下,他們并不和我們溝通和交流。他們只需安裝產(chǎn)品即可。他們需要適當(dāng)安全地配置、監(jiān)控和管理產(chǎn)品,這一措施非常重要。
 
您是否提供了對公司的生態(tài)系統(tǒng)和正在使用的服務(wù)的更多可見性?
 
Brown:我們將公開和分享我們使用的工具。我們會告訴他們,“我們用Checkmarx做靜態(tài)代碼分析。我們使用WhiteSource來查看開源工具。”
 
我們將更多地討論我們的安全開發(fā)生命周期(SDL)流程以及我們在環(huán)境中實(shí)施的保護(hù)措施。事實(shí)上,就像網(wǎng)絡(luò)攻擊事件發(fā)生之前的大多數(shù)供應(yīng)商一樣,那么他們真的關(guān)心我們?nèi)绾伪Wo(hù)和建設(shè)嗎?現(xiàn)在每個人都在這樣做。我和其他首席信息安全官進(jìn)行了溝通和交流,他們表示面臨的問題越來越難,要求更加開放。這對各行業(yè)發(fā)展都有好處。
 
你提到了一些正在進(jìn)行的工作,例如產(chǎn)品和內(nèi)部審計的最低特權(quán)訪問模型。你有這些工作的時間表嗎?
 
Brown:我們的內(nèi)部審計是對從代碼行一直到產(chǎn)品的所有內(nèi)容的內(nèi)部審計,將在2022年第一季度完成。產(chǎn)品的最低特權(quán)模型已經(jīng)從文檔和初步實(shí)施開始。
 
這是一個開始。我們已經(jīng)對代理和其他內(nèi)容進(jìn)行了更改,以幫助客戶了解應(yīng)該如何配置,并從代理收集數(shù)據(jù)。我們已經(jīng)做了一些事情,例如使警報系統(tǒng)在不同的帳戶下運(yùn)行,并且可以指定具有適當(dāng)權(quán)限的帳戶。
 
下一步是與權(quán)限管理系統(tǒng)的集成,這樣我們就不必在產(chǎn)品中使用密碼,可以將它們從已批準(zhǔn)的密碼管理系統(tǒng)中移除。很多人開始關(guān)注我們是如何做到的,并擁有了所需的最低特權(quán),但仍然能夠?qū)嵤┪覀冋趫?zhí)行的功能。
 
這對于沒有嚴(yán)格訪問控制控制的客戶有幫助嗎?
 
Brown:確切地說,它只會為這些客戶提供適當(dāng)級別的保障。在這起事件中,我們與合作伙伴開展了Orion援助計劃。我們的合作伙伴將幫助客戶進(jìn)行升級,并幫助驗證配置以確保它們是合適的。
 
軟件行業(yè)應(yīng)該做些什么來更好地保護(hù)每個人免受供應(yīng)鏈攻擊?
 
Brown:首先,企業(yè)確保自己的運(yùn)營環(huán)境井然有序,確保為應(yīng)對網(wǎng)絡(luò)攻擊做好準(zhǔn)備。如果確實(shí)發(fā)生攻擊事件,那么需要實(shí)施已經(jīng)制定的計劃,并繼續(xù)完成事件響應(yīng)流程。
 
其次,對于客戶來說,應(yīng)該讓其產(chǎn)品對不適當(dāng)?shù)呐渲酶袕椥?,對一般的網(wǎng)絡(luò)攻擊更有彈性。無論是關(guān)于如何配置的指南,無論是工具,還是配置幫助,這一切都?xì)w結(jié)為幫助客戶在其環(huán)境中進(jìn)行適當(dāng)配置以提高彈性。
 
從行業(yè)的角度來看,將會增加可見性,這將會更加透明。它關(guān)注于軟件和材料,關(guān)注在產(chǎn)品中使用的所有組件,并使它們更加公開。這將了解并提供有關(guān)開發(fā)框架和開發(fā)周期的更多信息。
 
從透明度的角度來看,這是正確的方向。軟件行業(yè)應(yīng)該接受這一現(xiàn)實(shí),不僅要做基礎(chǔ)工作,還要幫助IT部門做到這一點(diǎn),以便我們公開的框架和信息確實(shí)有助于保護(hù)環(huán)境,并使其更具抵御攻擊的能力。
 
對于可能成為網(wǎng)絡(luò)攻擊目標(biāo)的企業(yè),其他首席信息安全官應(yīng)該做的最重要的工作是什么?
 
Brown:每個人都應(yīng)該意識到的一個教訓(xùn)是威脅行為者的級別。那些使他們難以發(fā)現(xiàn)和對抗的事情就是現(xiàn)在面臨的網(wǎng)絡(luò)攻擊者,他們開始轉(zhuǎn)向有組織的犯罪。
 
如果不了解網(wǎng)絡(luò)攻擊者將會追求什么,需要從了解環(huán)境開始,從了解他們將要做什么開始。了解環(huán)境,這樣就可以隨時觀察一切,并確保擁有整個環(huán)境的廣泛可見性。
 
確保在環(huán)境中采取了保護(hù)措施。從開發(fā)人員的角度來看,確保了解正在管理的漏洞、自己知道的漏洞、第三方知道的漏洞,并采用適當(dāng)?shù)牧鞒踢m當(dāng)?shù)毓芾硭鼈儭?/div>
 
其中一個教訓(xùn)是,無論如何練習(xí)事件響應(yīng),它都會有所不同。當(dāng)這種級別的網(wǎng)絡(luò)攻擊事情發(fā)生時,企業(yè)只需要為流程和程序做好準(zhǔn)備。
 
人們不能自己做所有的事情。從消息傳遞、響應(yīng)、調(diào)查的角度來看,所有這些事情都需要有經(jīng)驗豐富的人員參與。
 
大約在此次網(wǎng)終攻擊事件的前一年,我們就制定了一個流程,對于每個安全漏洞,無論是外部記錄的、我們的工具記錄的還是其他地方記錄的,都會成為Jira記錄單,就像常規(guī)漏洞一樣,但它會獲得一個安全標(biāo)簽。我們的安全團(tuán)隊將監(jiān)控這些事項。如果不符合我們的內(nèi)部等級服務(wù)協(xié)議(SLA)解決方案,他們將經(jīng)過我們的風(fēng)險評估表(RAF)流程,我必須在風(fēng)險評估表上簽字,工程負(fù)責(zé)人也要簽字。這將處理產(chǎn)品中的漏洞水平提升到一個適當(dāng)?shù)募墑e,以決定某個問題是否得到解決。
 
制定流程以確保在漏洞方面取得進(jìn)展,因為不一定是威脅行為者進(jìn)入企業(yè)的環(huán)境并更改代碼,就像他們在我們的運(yùn)營環(huán)境中所做的那樣。另外,威脅行為者可能發(fā)現(xiàn)了產(chǎn)品中的零日漏洞并利用這些漏洞。因此,需要確保在這兩個領(lǐng)域都有覆蓋。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號