SolarWinds的Orion软件数据泄露改变了公司的安全策略和方法。该公司的CISOTimBrown就CISO和软件供应商如何为供应链攻击做好准备分享了一些建议。去年年底,一个名为CozyBear(APT29)的网络攻击组织成功入侵了SolarWinds的Orion更新软件,将其变成了恶意软件分发工具。该网络监控工具危害了该公司近100家客户,包括政府机构和网络安全服务FireEye。网络攻击者访问并攻击了SolarWinds的IT基础设施,并在Orion软件上植入了木马程序。最先发现这种软件供应链攻击的公司FireEye表示,这需要网络攻击者仔细规划和互动。研究人员认为,此次网络攻击事件需要引起重视,SolarWinds也积极应对。该公司迅速引进外部帮助,不仅解决了它面临的危机,还帮助审查了他们的安全操作并制定了安全策略,以更好地防范未来的软件供应链攻击。SolarWinds已发布事件的详细信息以及为改善其安全状况所采取的措施。行业媒体采访了SolarWinds首席信息安全官兼安全副总裁TimBrown,讨论该事件如何改进公司的安全措施和方法。布朗主要负责公司的产品和内部安全。自这次网络攻击以来,您的工作角色发生了怎样的变化?布朗:在这次网络攻击之前,我的职责不仅包括首席信息安全官的角色,还专注于公司的安全运营和产品安全战略。我们的目标是产品和运营的结合。我们需要负责运营安全,主要是交付产品,所以让我们的安全团队参与进来很重要。网络攻击发生后,SolarWinds是如何决定应对和应对的?Brown:在调查的过程中,我们首先请来了安全厂商CrowdStrike,对我们的业务进行宏观考察。他们的人与我们一起工作了大约五个月,深入研究每个工作站、每台服务器的每个细节。同时,我们还寻求毕马威取证团队的帮助,因为我们需要一些不同的技能,有人会专注于工程和开发环境,然后进行微观检查。为了提高效率,我们让CrowdStrike关注宏观环境,让KPMG关注微观环境。在调查的头一两个月里,我们每天都会与他们会面,并得到一份所有内容的清单。调查中还有一个重要的事情是我们需要更好地了解整体环境。在事件发生之前,我们运行了自己的安全运营中心(SOC),该中心的覆盖范围很广。现在使用CrowdStrikeFalcon监控工作站和服务器。SecureWorks然后从CrowdStrike中提取我们的AWS信息、防火墙信息、Azure信息、Microsoft365以及我们所有的工作站和服务器信息,这增强了SOC的可见性。这种可见性对我们能够看到一切非常有效。另一个变化是创建了一个全职的“红队”。红队的任务是从对抗的角度审视组织的行为和业务功能,以改善组织的安全态势。在发生网络安全事件之前,我们的红队是一名兼职人员。组建一个全职的红队可以让我们的团队成员担任多个角色。一个是基础设施的内部红队,测试我们现有的控制措施并确保安全运营中心(SOC)正在做正确的事情。我们定期在内部和外部对每个解决方案进行渗透测试。这为我们提供了一种互补的方法。它还与工程环境紧密相关,工程环境也进行自己的内部安全测试。这种测试增加了三倍,这种多方安全测试包括:外部测试、安全团队内部测试、开发团队内部测试。您的团队和整个企业对安全的看法发生了怎样的变化?布朗:有人告诉我,他们试图让开发人员做出改变或让开发人员考虑安全问题。我们的社区和用户对这次安全事件感到非常不安。因为有人侵入了他们的网络和系统,改变了他们的运行环境。确保安全的支柱之一是创建安全文化,这是一个持续的过程。我们进行安全培训,鼓励报告,并让所有员工参与进来。在我们的执行领导层中,我们公司的首席执行官SudhakarRamakrishna每次召开全体会议时都会谈论安全问题。每个级别都在谈论安全性。另一个支柱是销售人员的心态。我们的客户现在最关心的是安全问题。所以,这不仅仅是内部的事情,它是推动业务向前发展的关键。这些天,软件开发商以及安全行业以外的公司都在谈论他们的安全能力。我们看到客户就我们的安全流程提出了更复杂、更详细的问题。我认为那很好。这将使企业在安全方面走上正轨,并提醒他们需要注意的事项。您为客户提供哪些指导或工具来帮助减轻供应链威胁?布朗:我们在各个地方都有安全的配置信息。网络攻击事件发生后,我们将其整合为一个文件和一个区域,这是我们安全实施的方式。特别是对于本地解决方案,这是一种合作伙伴关系。我们需要他们能够采取正确的行动并以正确的方式进行配置。但是我们并不总是对它们的配置方式有深刻的了解。在某些情况下,他们不与我们交流和沟通。他们只是安装产品。他们正确、安全地配置、监控和管理产品非常重要。您是否提供了对公司生态系统和正在使用的服务的更多可见性?布朗:我们将开放并共享我们使用的工具。我们会告诉他们,“我们使用Checkmarx进行静态代码分析。我们使用WhiteSource查看开源工具。”我们将更多地讨论我们的安全开发生命周期(SDL)流程以及我们在环境中实施的保护措施。事实上,就像网络攻击之前的大多数供应商一样,他们真的关心我们如何保护和构建吗?现在每个人都这样做。我已经与其他CISO进行了交谈和交流,他们说问题越来越难,他们要求更加开放。这有利于各行各业的发展。您提到了一些正在进行的工作,例如产品和内部审计的最小权限访问模型。你有这些努力的时间表吗?Brown:我们的内部审计,是对从代码行一直到产品的所有内容的内部审计,将在2022年第一季度完成。产品的最小权限模型??已经从文档和初始实施开始。这是一个开始。我们对代理和其他内容进行了更改,以帮助客户了解应如何配置它们,并从代理收集数据。我们已经做了一些事情,比如让警报系统在不同的帐户下运行,并且可以指定一个具有适当权限的帐户。下一步是与权限管理系统集成,这样我们就不必在产品中使用密码,它们可以从已批准的密码管理系统中删除。很多人开始研究我们是如何做到的,并且拥有所需的最少特权,并且仍然能够实现我们正在做的功能。这对没有严格访问控制的客户有帮助吗?Brown:相反,它只会为这些客户提供适当级别的保证。在此事件中,我们与我们的合作伙伴合作开展了猎户座援助计划。我们的合作伙伴将协助客户进行升级并帮助验证配置以确保它们适用。软件行业应该怎么做才能更好地保护每个人免受供应链攻击?布朗:首先,企业要确保他们的运营环境是为了确保他们为网络攻击做好准备。如果确实发生了攻击,请实施您已有的计划并继续执行事件响应流程。其次,对于客户而言,它应该使他们的产品对不适当的配置更具弹性,并且对一般的网络攻击更具弹性。无论是有关如何配置的指南、工具还是配置帮助,都归结为帮助客户在其环境中正确配置以实现弹性。从行业的角度来看,知名度会提高,会更透明。它专注于软件和材料,产品中使用的所有组件,并使它们更加公开。这将了解并提供有关开发框架和开发周期的更多信息。从透明度的角度来看,这是正确的方向。软件行业应该接受这一现实,不仅要做好基础工作,还要帮助IT这样做,以便我们公开的框架和信息确实有助于保护环境并使其更能抵御攻击。对于可能成为网络攻击目标的组织,其他CISO应该做的最重要的工作是什么?布朗:每个人都应该意识到的一个教训是威胁行为者的级别。那些使他们更难被发现和打击的事情正是网络攻击者现在所面临的,他们正在转向有组织的犯罪。如果您不了解网络攻击者的目的是什么,则需要从了解环境开始,从了解他们将要做什么开始。了解你的环境,这样你就可以随时看到一切,并确保你对整个环境有广泛的了解。确保在环境中采取保护措施。从开发人员的角度来看,确保您了解您正在管理的漏洞、您知道的漏洞、第三方知道的漏洞,并制定适当的流程来适当地管理它们。其中一个教训是,无论您如何练习事件响应,都会有所作为。当这种级别的网络攻击发生时,企业只需要准备好流程和程序。人们不能自己做所有事情。从消息传递、响应、调查的角度来看,所有这些事情都需要有经验的人参与。大约在这次黑客攻击发生前一年,我们建立了一个流程,每个安全漏洞,无论是在外部、由我们的工具还是在其他地方记录的,都将成为一张Jira票,这就像一个普通的漏洞利用,但它有一个安全标签。我们的安全团队将监控这些问题。如果他们不符合我们的内部SLA决议,他们将通过我们的风险评估表(RAF)流程,我必须在该流程上签字,工程主管也是如此。这将处理产品中的漏洞级别提高到适当级别,以决定问题是否已修复。制定流程以确保在漏洞方面取得进展,因为进入企业环境并更改代码的不一定是威胁参与者,就像他们在我们的操作环境中所做的那样。或者,威胁行为者可能已经发现产品中的零日漏洞并加以利用。因此,需要确保这两个领域的覆盖。
