Sudhakar Ramakrishna siedział z rodziną na urodzinowym posiłku, kiedy odebrał telefon: Firma SolarWinds padła ofiarą cyberataku na dużą skalę. Był to 12 grudnia 2020 r. i oczekiwano, że Ramakrishna zostanie dyrektorem generalnym za kilka tygodni.
Rozmiar i powaga zdarzenia nie były od razu widoczne, ale decyzja nie została jeszcze podjęta. Czy porzuci statek, który za poprzedniego kapitana spowodował wyciek, czy też chwyci za wiadro i zacznie go ratować?
Kilku bliskich powierników poradziło Ramakrysznie, aby ustąpił, podczas gdy inni sugerowali, że jego umiejętności i doświadczenie w zakresie cyberbezpieczeństwa uczyniły go idealną osobą do przewodniczenia przejęciu.
Ramakrishna powiedziała TechRadar Pro, że choć rozważenie opcji zajęło trochę czasu, decyzja o utrzymaniu kursu była ostatecznie prosta. Powiedziano zarządowi, że wycofa się, jeśli zostanie zdecydowane, że SolarWinds skorzysta na ciągłości, ale poza tym była gotowa przeprowadzić firmę przez kryzys.
W następnych tygodniach Ramakrishna rozpoczął za kulisami współpracę z zespołem zarządzającym. Pierwszym priorytetem było ustalenie, co dokładnie się wydarzyło i jak, a drugim sformułowanie planu działania, który SolarWinds mogłaby przedstawić swoim klientom, partnerom i prasie.
„Pomysł, że napad może przydarzyć się każdemu, stał się bardziej powszechny, ale to nie zwalnia cię z faktu, że ci się to przydarzyło” – powiedział. „Każda firma doświadczy kryzysu lub dwóch, ale liczy się reakcja kierownictwa”.
Burzliwy początek
Sam atak rozpoczął się kilka miesięcy wcześniej, we wrześniu 2019 r., kiedy wyrafinowana grupa cyberprzestępców podejrzanych o powiązania z państwem rosyjskim po raz pierwszy uzyskała dostęp do sieci SolarWinds.
Przestępcy wykazali się niezwykłą cierpliwością, ukrywając się na widoku, tworząc pełny obraz infrastruktury SolarWinds i procesu rozwoju produktów firmy.
Spośród różnych produktów SolarWinds osoby atakujące były szczególnie zainteresowane usługą monitorowania wydajności komputera o nazwie Orion, która do prawidłowego działania wymaga uprzywilejowanego dostępu do systemów klienta.
Po wstępnym teście hakerzy wstrzyknęli odmianę złośliwego oprogramowania znaną jako SUNBURST do aktualizacji oprogramowania Orion w okresie od marca do czerwca 2020 r. Trująca łatka została dostarczona około 18 000 klientów SolarWinds, zapewniając atakującym praktycznie nieograniczony dostęp do sieci agencji rządowych. firmy ochroniarskie i międzynarodowe korporacje w tym procesie.
„Branża nie jest nowa w kwestiach bezpieczeństwa, ale każdy z nich ma swój własny zwrot i znaczenie, a to było ważne na swój sposób” – powiedział Ramakrishna.
„Sztuka wykorzystana do stworzenia włamania nie była trywialna, był to atak na łańcuch dostaw. Jest to koncepcja dobrze znana w dziedzinie bezpieczeństwa, ale nie jest dobrze praktykowana.
Wyjaśnił, że tak trudny do wykrycia taki atak sprawia, że atakujący musi zmodyfikować jedynie jeden z tysięcy plików, aby przeprowadzić atak, co skutkuje naruszeniem bezpieczeństwa dużej liczby plików.
Ostatecznie grupa zdecydowała się zinfiltrować tylko część zaatakowanych organizacji, w tym Microsoft, Cisco, VMware, Intel i kilka amerykańskich agencji federalnych, ale atak został opisany jako jeden z największych w historii.
Kiedy firma SolarWinds została zaalarmowana o incydencie przez firmę zajmującą się bezpieczeństwem FireEye, która wykryła nietypową aktywność we własnej sieci, firma przeszła w tryb kryzysowy. I w takim klimacie Ramakryszna przekroczył te drzwi pierwszego oficjalnego dnia urzędowania.
Jednakże, chociaż morale personelu było zgodne z oczekiwaniami, a rozmowy z wściekłymi klientami były często trudne, kryzys przynajmniej zapewnił Ramakrysznie platformę, na której mógł się oprzeć.
„W pewnym sensie łatwiej jest wprowadzać zmiany w środku kryzysu” – powiedział nam. „Kiedy wszystko jest idealne, jest duży opór, ale kiedy firma jest w szoku, ludzie są otwarci na nowe pomysły”.
7 stycznia 2021 r. Ramakrishna opublikował post na blogu, w którym opisał, czego do tej pory dowiedzieliśmy się o ataku, oferując natychmiastowe kroki, które pomogą klientom poradzić sobie z incydentem i określając nowe ramy, aby zapobiec „podobnemu atakowi nie powtórzy się w przyszły.
Zagadka łańcucha dostaw
Chociaż w ciągu ostatnich dwunastu miesięcy SolarWinds udało się odzyskać siły, a utrzymanie klientów powróciło do poziomu sprzed ataku, incydent miał poważny wpływ na wyniki firmy.
Zamiast skierować zasoby na rozwój produktów, sprzedaż i generowanie popytu, jak zrobiłby to normalny biznes, firma zmuszona była się zmienić, a jej reputacja legła w gruzach.
Ramakrishna i jego zespół zarządzający podzielili listę klientów i zaczęli spotykać się z wieloma z nich indywidualnie, aby przeprosić i wyjaśnić, co się stało, a także pomóc im ustalić, czy ich własne sieci zostały zhakowane.
Opisał to jako bardzo niewygodną, ale istotną część „procesu uzdrawiania”, który ostatecznie utorował drogę do powrotu do normalnej działalności biznesowej.
Jednak pomimo konsekwencji dla SolarWinds istnieją dowody sugerujące, że branża cyberbezpieczeństwa jako całość nie wyciągnęła właściwych wniosków. Od czasu ataku miało miejsce wiele podobnych głośnych incydentów, takich jak atak Kaseya, Log4j, a jeszcze niedawno włamanie Okta-Lapsus€.
Zapytany, dlaczego według niego ataki na łańcuch dostaw nadal mają miejsce, Ramakrishna wyjaśnił, że chaotyczny charakter obrony zbiorowej daje atakującemu od samego początku znaczną przewagę.
„To nie tylko problem technologiczny, jest o wiele więcej” – powiedział. „Każdy z nas broni się przed agresorem. Ale z jednej strony mamy skoordynowaną armię, której jedynym celem jest atak, az drugiej zbiór podzielonych żołnierzy.
Ramakrishna skrytykował także kulturę zawstydzania ofiar, która jego zdaniem przyczynia się do niechęci firm do dzielenia się istotnymi informacjami.
„Ofiary wciąż odczuwają wstyd, więc firmy często rozwiązują problemy, nic o tym nie mówiąc. Zdecydowanie niechęć do mówienia” – powiedział nam.
„W razie wypadku ważne jest, aby uzyskać pomoc od społeczności. Musimy szybciej uświadamiać ludzi o problemach; Ten stan umysłu musi dominować w bezpieczeństwie oprogramowania.
Aby zapobiec powtórzeniu się ataku na łańcuch dostaw na taką skalę, Ramakrishna uważa również, że firmy muszą przyjąć nowe ramy bezpieczeństwa, które nazywa „bezpiecznymi z założenia”.
Model składa się z trzech elementów: bezpieczeństwa infrastruktury, bezpieczeństwa systemu budynku i projektu samego systemu budynku. Ogólną ideą jest jednak ciągłe zmienianie powierzchni ataku, tak aby nie zapewniać atakującemu stałego celu i minimalizować okno możliwości.
Mając to na uwadze, SolarWinds stworzył „równoległy system kompilacji”, w którym jego oprogramowanie jest budowane w trzech oddzielnych lokalizacjach, które można dynamicznie zmieniać. Wynik każdej indywidualnej konfiguracji jest następnie porównywany z innymi, aby wyeliminować wszelkie niespójności, które mogłyby zdradzić atak.
Aby skutecznie przedostać się do łatki, intruz musiałby przeprowadzić trzy ataki jednocześnie, dokładnie w tym samym czasie i przy użyciu dokładnie tej samej techniki.
„To bardzo trudna rzecz do zrobienia, nawet dla najbardziej wytrwałych cyberprzestępców” – powiedział Ramakryszna.
Nowy wygląd SolarWinds
Jak na ironię, zasugerowano, że SolarWinds można obecnie uznać za najbezpieczniejszą firmę na świecie. W końcu od czasu wykrycia ataku żadna inna organizacja nie została poddana takiemu poziomowi kontroli.
Ramakrisha odmówił komentarza na temat tego, czy uważa, że charakterystyka jest dokładna, ale powiedział, że jest to coś, co firma „jest zdeterminowana, aby się stało”.
Działając w ramach swojej bezpiecznej konstrukcji, SolarWinds będzie teraz starał się wykorzystać swoje podstawy monitorowania IT i przekształcić się w firmę, która będzie w stanie wspierać hybrydowe potrzeby klientów, zarówno w chmurze, jak i lokalnie.
Ramakrishna obiecał wyższy poziom automatyzacji oraz doskonałe możliwości wizualizacji i korekcji, które razem pomogą rozwiązać problemy powstałe w wyniku transformacji cyfrowej. Celem jest „zmniejszenie złożoności, poprawa produktywności i zmniejszenie kosztów” dla klientów, powiedzieli nam.
Teraz, gdy promienie słońca zaczynają przebijać się przez chmury wiszące nad firmą, Ramakrishna pragnie skupić się na tych kluczowych celach. Ale gdy nasza rozmowa dobiegła końca, poświęcił chwilę, aby przestrzec przed samozadowoleniem:
„Żadna firma, niezależnie od tego, czym się zajmuje, nie powinna wierzyć, że jest odporna na ataki, ponieważ jest to błąd” – stwierdził.