Seguridad
Desarrollo
DevOps

SolarWinds lanza un nuevo sistema de creación de software tras el ataque Sunburst

Las lecciones aprendidas de la violación de la cadena de suministro de software conducen a un esquema de desarrollo innovador y seguro.

programación desarrollo ordenador

SolarWinds se convirtió el año pasado en el ejemplo de los ataques a las cadenas de suministro de software, cuando un grupo de actores de amenazas inyectó un código malicioso conocido como Sunburst en el sistema de desarrollo de software de la empresa. Posteriormente se distribuyó a través de una actualización de su producto Orion a miles de clientes gubernamentales y empresariales de todo el mundo.

SolarWinds aprendió de la experiencia y ha introducido nuevas prácticas de desarrollo de software y tecnología para reforzar la integridad de su entorno de construcción. Esto incluye lo que, según SolarWinds, es el primer proceso de "compilación paralela" de su clase, en el que el desarrollo de software tiene lugar a través de múltiples rutas duplicadas altamente seguras, para establecer una base para las comprobaciones de integridad.

"Si un sistema de compilación carece de comprobaciones de integridad que garanticen que los binarios compilados coinciden con el código fuente utilizado para crearlos, este enfoque supone una notable mejora", afirma Daniel Kennedy, director de investigación de seguridad de la información y redes de 451 Research. "El nuevo sistema se ha desarrollado con un calendario acelerado, por lo que no hay garantía de que el sistema sea totalmente seguro desde el principio, pero parece que el nuevo sistema también permite actuar de forma más rápida y dinámica, si surgen nuevas amenazas. El nuevo sistema también tiene más transparencia en su diseño, lo que permite una mejora, un mantenimiento y un desarrollo más rápidos y fiables".

"Todo el enfoque de la tubería de CI/CD para AppDev no sólo es lineal, sino que se basa esencialmente en una sola línea, por lo que la introducción de líneas paralelas, tal vez con un equipo que comprueba el trabajo del otro, suena como un enfoque para lograr más de un entorno seguro por diseño", añade Rik Turner, un analista principal de ciberseguridad en Omdia, una empresa de asesoramiento tecnológico.

 

Los nuevos procesos de desarrollo podrían haber evitado el ataque

"Si el nuevo esquema de construcción hubiera estado en marcha en marzo de 2020, es probable que el ataque se hubiera podido evitar o abordar más rápidamente", dice Shital Thekdi, profesor asociado de análisis y operaciones en la Universidad de Richmond.

"El nuevo esquema de construcción habría reducido en gran medida las posibilidades de que los hackers tuvieran la capacidad de manipular el sistema de construcción sin ser observados", añade Ken Arora, ingeniero distinguido en la Oficina del CTO de F5, un proveedor de seguridad de aplicaciones y herramientas industriales. "Incluso si los atacantes tuvieran algún éxito, el compromiso habría sido de corta duración debido a la estrategia de operación dinámica y al enfoque autodestructivo".

 

La colaboración es clave para proteger la infraestructura compartida

El nuevo sistema de construcción de SolarWinds está construido en torno a cuatro principios de seguridad por diseño:

  • Las operaciones son dinámicas y utilizan entornos de construcción de software a corto plazo que se autodestruyen tras completar una tarea específica.
  • Los productos se construyen de forma sistemática, garantizando que los productos construidos se puedan realizar de forma determinista, de modo que cualquier subproducto recién creado tenga siempre componentes idénticos y seguros.
  • Los procesos contienen construcciones simultáneas para que los subproductos del desarrollo de software, como los modelos de datos, puedan crearse en paralelo para establecer una base para detectar modificaciones inesperadas en los productos.
  • Se mantienen registros detallados para que cada paso de construcción de software sea rastreado para una completa trazabilidad y una prueba permanente de registro.

Dado que el proceso de creación de software que SolarWinds utilizó en el momento del ataque Sunburst es de uso común en el sector, la empresa está poniendo a disposición del público algunos componentes de su nuevo sistema de creación como software de código abierto. El director general y presidente de SolarWinds, Sudhakar Ramakrishna, afirma: "Comunicar de forma transparente y colaborar dentro de la industria es la única forma de proteger eficazmente nuestra ciberinfraestructura compartida de las amenazas en evolución".



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper