SolarWinds公司的Orion软件数据泄露事件改变了该公司的安全策略和方法。该公司首席信息安全官Tim Brown分享了一些有关首席信息安全官和软件供应商如何为供应链攻击做好准备的建议。
去年年底,一个名为Cozy Bear(APT29)的网络攻击组织成功入侵了SolarWinds公司的Orion更新软件,将其变成了恶意软件的传播工具。这一网络监控工具使该公司将近100名客户受到侵害,其中包括一些政府部门和网络安全服务商FireEye公司。
网络攻击者访问和攻击SolarWinds公司的IT基础设施,并对Orion软件植入木马程序。最先发现这种软件供应链攻击的FireEye公司表示,它需要网络攻击者精心策划和交互。
研究人员认为需要十分重视这次网络攻击,SolarWinds公司也做了积极地应对,该公司迅速引入了外部帮助,不仅解决了面临的危机,还帮助审查了他们的安全运营措施,并制定了安全战略,以更好地防范未来的软件供应链攻击。SolarWinds公司已公开了该事件的细节以及为改善其安全态势而采取的措施。
行业媒体为此采访了SolarWinds公司首席信息安全官兼安全副总裁Tim Brown,就此次事件如何改进该公司的安全措施和方法进行了探讨。Brown主要负责该公司的产品和内部安全。
在这次网络攻击发生后,您的工作角色发生了哪些变化?
Brown:在这次网络攻击发生之前,我的职责并不只是包括首席信息安全官的职责,还关注公司的安全运营和产品安全战略。我们的目标是产品和运营的结合。我们需要负责运营安全,并主要交付产品,因此让我们的安全团队参与其中非常重要。
在此次网络攻击事件发生之后, SolarWinds公司决定如何应对和处理?
Brown:在调查期间,我们首先引入了安全厂商Crowd Strike公司对我们的业务进行宏观检查。他们的员工与我们一起工作了大约五个月,深入研究了每个工作站、每个服务器的所有细节。
与此同时,我们还获得了毕马威公司取证团队的帮助,因为我们需要一些不同的技能组合,需要有人专注于工程和开发环境,然后进行微观检查。
为了提高效率,我们让Crowd Strike公司专注于宏观环境,毕马威公司专注于微观环境。在调查中的前一两个月,我们每天都与他们会面,并得到一个列出所有事项的清单。
在调查中还有一件重要的事是,我们需要更好地了解整个环境。在事件发生之前,我们运行了自己的安全运营中心(SOC),这个安全运营中心(SOC)具有广泛的覆盖范围。工作站和服务器现在采用CrowdStrike Falcon进行监控。
然后,SecureWorks从CrowdStrike获取我们的AWS信息、防火墙信息、Azure信息、Microsoft 365以及我们的所有工作站和服务器信息,这增强了SOC的可见性。这种可见性对我们能够看到一切非常有效。
另一个变化是成立全职“红队”。 红队的任务是从对抗性的角度查看企业的行为和业务职能,以改善企业的安全状况。在网络安全事件发生之前,我们的红队是兼职的。成立全职红队让我们的团队成员可以担任几个角色。一种是基础设施的内部红队,测试我们实施的控制措施,并确保安全运营中心(SOC)做正确的事情。
我们定期对每个解决方案进行内部渗透测试,然后也在外部进行渗透测试。这为我们提供了一种互补的方法。它还与工程环境密切相关,这也要进行自己的内部安全测试。
这种测试增加了三倍,这种多方的安全测试包括:外部测试、安全团队内部测试和开发团队内部测试。
对于您的团队和整个业务来说,安全观念发生了怎样的变化?
Brown:有人告诉我,他们试图让开发人员改变或让开发人员考虑安全性方面遇到的问题。对于这一安全事件,我们的社区和用户非常不安。因为有人闯入他们的网络和系统,并改变了他们的运营环境。
确保安全性的支柱之一是创造安全文化,这是一个持续的旅程。我们进行安全培训,鼓励报告,并让所有员工参与。
从我们的执行领导层来看,我们公司的首席执行官Sudhakar Ramakrishna在召开全体会议时每次都会谈论安全问题。各个层面都在谈论安全性。
另一支柱是销售团队的心态。我们的客户现在最关心的是安全问题。所以,这不仅仅是一个内部的事情,也是推动业务发展的关键。软件开发商以及安全行业之外的公司如今都在谈论他们的安全功能。
我们看到客户就我们的安全流程提出了更复杂、更详细的问题。我认为这很好。这将使企业在安全方面走上正确的轨道,并提醒他们需要注意什么事项。
您为客户提供了哪些指导或工具来帮助减轻供应链威胁?
Brown:我们在不同的地方都有安全的配置信息。在网络攻击事件发生之后,我们将其合并到一个文档和一个区域中,这是以安全方式实施的方法。
特别是对于内部部署解决方案,这是一种合作关系。我们需要他们能够采取正确的行动,并以正确的方式进行配置。但我们并不总是对他们的配置方式有深刻的了解。在某些情况下,他们并不和我们沟通和交流。他们只需安装产品即可。他们需要适当安全地配置、监控和管理产品,这一措施非常重要。
您是否提供了对公司的生态系统和正在使用的服务的更多可见性?
Brown:我们将公开和分享我们使用的工具。我们会告诉他们,“我们用Checkmarx做静态代码分析。我们使用WhiteSource来查看开源工具。”
我们将更多地讨论我们的安全开发生命周期(SDL)流程以及我们在环境中实施的保护措施。事实上,就像网络攻击事件发生之前的大多数供应商一样,那么他们真的关心我们如何保护和建设吗?现在每个人都在这样做。我和其他首席信息安全官进行了沟通和交流,他们表示面临的问题越来越难,要求更加开放。这对各行业发展都有好处。
你提到了一些正在进行的工作,例如产品和内部审计的最低特权访问模型。你有这些工作的时间表吗?
Brown:我们的内部审计是对从代码行一直到产品的所有内容的内部审计,将在2022年第一季度完成。产品的最低特权模型已经从文档和初步实施开始。
这是一个开始。我们已经对代理和其他内容进行了更改,以帮助客户了解应该如何配置,并从代理收集数据。我们已经做了一些事情,例如使警报系统在不同的帐户下运行,并且可以指定具有适当权限的帐户。
下一步是与权限管理系统的集成,这样我们就不必在产品中使用密码,可以将它们从已批准的密码管理系统中移除。很多人开始关注我们是如何做到的,并拥有了所需的最低特权,但仍然能够实施我们正在执行的功能。
这对于没有严格访问控制控制的客户有帮助吗?
Brown:确切地说,它只会为这些客户提供适当级别的保障。在这起事件中,我们与合作伙伴开展了Orion援助计划。我们的合作伙伴将帮助客户进行升级,并帮助验证配置以确保它们是合适的。
软件行业应该做些什么来更好地保护每个人免受供应链攻击?
Brown:首先,企业确保自己的运营环境井然有序,确保为应对网络攻击做好准备。如果确实发生攻击事件,那么需要实施已经制定的计划,并继续完成事件响应流程。
其次,对于客户来说,应该让其产品对不适当的配置更有弹性,对一般的网络攻击更有弹性。无论是关于如何配置的指南,无论是工具,还是配置帮助,这一切都归结为帮助客户在其环境中进行适当配置以提高弹性。
从行业的角度来看,将会增加可见性,这将会更加透明。它关注于软件和材料,关注在产品中使用的所有组件,并使它们更加公开。这将了解并提供有关开发框架和开发周期的更多信息。
从透明度的角度来看,这是正确的方向。软件行业应该接受这一现实,不仅要做基础工作,还要帮助IT部门做到这一点,以便我们公开的框架和信息确实有助于保护环境,并使其更具抵御攻击的能力。
对于可能成为网络攻击目标的企业,其他首席信息安全官应该做的最重要的工作是什么?
Brown:每个人都应该意识到的一个教训是威胁行为者的级别。那些使他们难以发现和对抗的事情就是现在面临的网络攻击者,他们开始转向有组织的犯罪。
如果不了解网络攻击者将会追求什么,需要从了解环境开始,从了解他们将要做什么开始。了解环境,这样就可以随时观察一切,并确保拥有整个环境的广泛可见性。
确保在环境中采取了保护措施。从开发人员的角度来看,确保了解正在管理的漏洞、自己知道的漏洞、第三方知道的漏洞,并采用适当的流程适当地管理它们。
其中一个教训是,无论如何练习事件响应,它都会有所不同。当这种级别的网络攻击事情发生时,企业只需要为流程和程序做好准备。
人们不能自己做所有的事情。从消息传递、响应、调查的角度来看,所有这些事情都需要有经验丰富的人员参与。
大约在此次网终攻击事件的前一年,我们就制定了一个流程,对于每个安全漏洞,无论是外部记录的、我们的工具记录的还是其他地方记录的,都会成为Jira记录单,就像常规漏洞一样,但它会获得一个安全标签。我们的安全团队将监控这些事项。如果不符合我们的内部等级服务协议(SLA)解决方案,他们将经过我们的风险评估表(RAF)流程,我必须在风险评估表上签字,工程负责人也要签字。这将处理产品中的漏洞水平提升到一个适当的级别,以决定某个问题是否得到解决。
制定流程以确保在漏洞方面取得进展,因为不一定是威胁行为者进入企业的环境并更改代码,就像他们在我们的运营环境中所做的那样。另外,威胁行为者可能发现了产品中的零日漏洞并利用这些漏洞。因此,需要确保在这两个领域都有覆盖。