"La industria del software necesita más seguridad y transparencia"

Tim Brown, CISO de SolarWinds, habla de cómo ha mejorado la seguridad de su organización tras el popular ataque que llegó a afectar a la administración pública de Estados Unidos.

CISO SolarWinds

A finales de 2020, un grupo de ciberdelincuentes que se estima procedente de Rusia, y de nombre Cozy Bear, comprometió con éxito el software de actualización Orion de SolarWinds, convirtiéndolo en un vehículo de distribución de malware. Casi 100 clientes de la popular herramienta de monitorización de red se vieron afectados, incluidas entidades gubernamentales en Estados Unidos y la empresa de ciberseguridad FirEye, en el que ha sido uno de los ataques más populares de los últimos años.

Los atacantes pudieron acceder a la infraestructura TI de SolarWinds para producir actualizaciones ‘troyanizadas’ de Orion. La respuesta de la compañía también es digna de mención; trajo ayuda externa capaz no solo de abordar la crisis inmediata, sino también para ayudar a revisar sus operaciones de seguridad y diseñar una estrategia para protegerse mejor contra futuros ataques a la cadena de suministro. CSO ha hablado con Tim Brown, CISO de la organización.

¿Cómo ha cambiado su rol desde el ataque?

Antes del ataque, no necesariamente me llamaba CISO porque estaba enfocado tanto en las operaciones de seguridad como en la estrategia y protección del producto. Mi objetivo siempre ha sido una mezcla entre producto y operación. Eso es importante cuando hay un entorno de desarrollo de soluciones que tiene esa combinación. Pero también asumimos los aspectos de seguridad de una operación.

Una vez que se descubrió el incidente, ¿cuál fue su proceso para decidir los pasos a seguir?

El primer paso fue durante la investigación, contratamos a CrowdStrike para realizar inspecciones macro de todo. Trabajaron con nosotros durante unos cinco meses, profundizando realmente en todos los detalles de cada estación de trabajo, de cada servidor. Al mismo tiempo, incorporamos al equipo forense de KPMG porque necesitábamos un conjunto de habilidades diferentes. Necesitábamos a alguien que se centrara en los entornos de ingeniería y desarrollo y luego hiciera microinspecciones. Para ganar eficiencia, CrowdStrike se enfocaba en macro y KPMG en micro. Una de las cosas que surgió durante la investigación es que necesitábamos una mejor visibilidad en todo el entorno. Antes del incidente, dirigía mi propio equipo SOC, con muy buena cobertura. Las estaciones de trabajo y los servidores ahora se basan en CrowdStrike para la monitorización.

Otro cambio fue tener un red team a tiempo completo, ya que antes era parcial. Esto nos permite ahora controlar todos los controles que implementamos y asegurarnos de que son suficientes y de que nuestro SOC detecta en la dirección correcta. Estamos en una cadencia regular para probar internamente cada solución, pero también realizamos pruebas externas. Esto nos da un enfoque complementario. También hemos conectado estrechamente con el entorno de ingeniería, que estaba realizando sus propias pruebas de seguridad internas.

¿Cómo ha cambiado la mentalidad de seguridad de la empresa?

La gente me dice que suele tener problemas para hacer que los desarrolladores cambien y piensen en la seguridad. Con este incidente, nuestra comunidad de ingenieros estaba muy disgustada; alguien irrumpió en su casa y cambió su entorno. Están muy en sintonía con la seguridad en general. Uno de nuestros pilares para la seguridad por diseño son las personas, crear una cultura. Este es un viaje continuo. Hacemos formación, fomentamos la presentación de informes e implicamos a todos los empleados. Se habla de seguridad a todos los niveles departamentales.

La otra parte proviene del equipo de ventas y su mentalidad. Lo más importante en este momento para nuestros clientes es la seguridad. Entonces, la seguridad se ha convertido en un facilitador empresarial.

Las empresas de software que están fuera de la industria de la ciberseguridad ya han introducido la conversación sobre sus funciones de protección…

Absolutamente. Vemos que nuestros clientes hacen preguntas más difíciles y detalladas sobre nuestros procesos. Creo que eso es bueno. Les permite llevar a las empresas de seguridad por el camino correcto o empujar a las firmas de productos, y les informan sobre lo que deben tener en cuenta.

¿Qué orientación o herramientas da a los clientes para ayudar a mitigar las amenazas de la cadena de suministro?

Hemos tenido información de configuración segura en muchos lugares diferentes. Después del incidente hicimos un solo documento para decir: Esta es la manera de implementar de manera segura. Especialmente con las soluciones locales trabajamos en forma de asociación. Los necesitamos para tomar las decisiones correctas y para poder hacer configuraciones. No siempre tenemos esa idea de cómo se configuran esas soluciones. En algunos casos, simplemente toman el producto y lo instalan. Es importante que se den cuenta de cómo configurar, supervisar y gestionar el producto de forma adecuada y segura.

¿Está brindando más visibilidad a su ecosistema y los servicios que está utilizando?

Expondremos qué herramientas usamos. Hablaremos más sobre nuestro proceso de ciclo de vida y desarrollo seguro y las salvaguardas que implementamos en el medio ambiente. Y, sinceramente, como la mayoría de los proveedores antes del incidente, éramos bastante vagos porque es un producto local. ¿Realmente les importa cómo protegemos y construimos? Ahora todo el mundo lo hace, lo que es un buen paso adelante. Hablo con otros CISO y ven que los cuestionarios son cada vez más difíciles. Están pidiendo más apertura y eso es bueno para la industria.

La compañía está trabajando en implementar modelos de acceso con menos privilegios y en una auditoría interna.

La auditoría interna, que irá desde la línea de código hasta el producto, estará completa en el primer trimestre de 2022. El modelo de menos privilegios para los productos ya ha comenzado con la documentación y la implementación inicial. Esto es un comienzo. Ya hemos realizado cambio con respecto a los agentes y otras cosas para ayudar a los usuarios sobre cómo deben configurar y recopilar datos. Hemos hecho cosas como hacer que el sistema de alerta se ejecute en una cuenta diferente. El siguiente paso es la integración con los sistemas de administración de privilegios para que no necesitemos necesariamente contraseñas dentro de nuestro producto.

¿Qué debería hacer la industria del software para proteger mejor en los ataques a la cadena de suministro?

Primero, tienen que asegurarse de que su propia casa está en orden. Hay que tener un nivel de preparación para los atacantes de su entorno. Luego, hay que tener un plan de respuesta preparado. En segundo lugar, para los clientes, los productos tienen que ser más resistentes a los ataques en general. Desde la perspectiva de la industria, si observamos cómo se detallan las órdenes ejecutivas, se necesita más transparencia.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper