#RSAC: SolarWinds CEO liefert neue Details zu Angriff und Reaktion

Cyber Security News

Sudhakar Ramakrishna, CEO von SolarWinds, gab während einer Keynote-Session an Tag 3 der virtuellen RSA Conference 2021, die von Laura Koetzle, VP und Group Director bei Forrester, moderiert wurde, neue Details zum berüchtigten SolarWinds-Angriff mit nationalem Hintergrund und dessen Folgen bekannt.

Dazu gehörte die Enthüllung, dass die Angreifer möglicherweise bereits im Januar 2019 auf das System zugegriffen haben, und ein Ausdruck der Reue für Kommentare, die er während seines Kongressauftritts über den Angriff im Februar 2021 gemacht hatte.

Zu Beginn der Sitzung erklärte Ramakrishna, dass er zum ersten Mal über die Angriffe informiert wurde, als er am 12. Dezember 2020 bei seinem Geburtstagsessen saß, nachdem er einen Anruf von der Rechtsabteilung des Unternehmens erhalten hatte. Ramakrishna wartete zu diesem Zeitpunkt noch darauf, am 4. Januar 2021 die Position des CEO bei SolarWinds zu übernehmen.

Koetzle fragte Ramakrishna, ob er jemals in Erwägung gezogen habe, von der Übernahme der Rolle zurückzutreten, als in den folgenden Tagen weitere Details über das Ausmaß des Vorfalls bekannt wurden. Während eine Reihe von Freunden ihm dazu geraten hatte, sagte Ramakrishna, dass er sich nach einem Gespräch mit dem Vorsitzenden von SolarWinds, Bill Bock, dazu entschlossen hatte, an dieser Gelegenheit festzuhalten”. Er erhielt Kontinuität und Unterstützung vom vorherigen CEO, Kevin Thompson, als er die Rolle im Januar antrat, was ihm half, eine schnelle Reaktion auf das Ereignis zu verordnen.

Da SolarWinds davon ausgeht, dass bis zu 18.000 seiner Kunden von der Sicherheitsverletzung betroffen waren, da dies die Anzahl derer war, die das bösartige Update heruntergeladen hatten, erklärte Ramakrishna, dass das Sicherheitsteam von SolarWinds in der unmittelbaren Zeit danach versuchte, alle möglichen Personen zu kontaktieren, um deren Bedenken und Fragen zu klären.

Er wurde auch gefragt, wie SolarWinds seine Kunden jetzt unterstützt. Ramakrishna erklärte, es sei ein schrittweiser Ansatz. “Was als reaktive Maßnahme begann, hat sich in ein Lernen über und ein Angehen von Problemen verwandelt, und die Grundlage dessen, was wir zu tun versuchen, ist Transparenz”, sagte er und fügte hinzu, dass das Unternehmen mit seinen globalen Partnern zusammengearbeitet hat, um das Orion Assistant Program zu entwickeln. Dieses bietet jenen Kunden zusätzliche Unterstützung, die nicht über die Ressourcen für ein Upgrade oder einen Umbau verfügen, und “in vielen Fällen [involved] Seite an Seite mit ihnen arbeiten, während sie ihre Upgrades abschließen.”

“Die Grundlage dessen, was wir zu tun versuchen, ist Transparenz”

Ramakrishna merkte an, dass seine früheren Erfahrungen im Umgang mit Sicherheitsvorfällen als CEO bei Pulse Secure ihm geholfen haben, mit den Auswirkungen der SolarWinds-Angriffe umzugehen. Bei diesen früheren Vorfällen bestand die Reaktion “darin, transparent zu sein, kommunikativ zu sein und alle über den Fortschritt zu informieren, auch wenn man noch nicht alle Details kennt.”

Die Diskussion ging dann weiter zu den Details, die nachträglich über den Angriff entdeckt wurden. Auf die Frage, wie genau die Angreifer in der Lage waren, über einen so langen Zeitraum unentdeckt zu bleiben, betonte Ramakrishna die ausgeklügelte Natur der Täter. “Das Vorgehen der Angreifer war extrem ausgeklügelt, sie haben alles getan, um sich zu verstecken”, erklärt er und fügt hinzu: “Sie waren in der Lage, ihre Spuren bei jedem Schritt zu verwischen. Angesichts der Ressourcen eines Nationalstaates war es für eine Firma sehr schwierig, das aufzudecken.”

Interessanterweise sagte Ramakrishna, dass SolarWinds inzwischen über einige alte Konfigurationen von Code “gestolpert” ist, die es ermöglichten, herauszufinden, was die Angreifer getan haben. Nach der Auswertung von “Hunderten von Terabytes an Daten und Tausenden von virtuellen Build-Systemen” wurde entdeckt, “dass die Angreifer bereits im Januar 2019 in der Umgebung gewesen sein könnten”, was viel früher ist als ursprünglich angenommen. “Sie haben sehr frühe Aufklärungsaktivitäten im Januar 2019 durchgeführt, was erklärt, was sie im September/Oktober 2019 tun konnten”, fügte er hinzu.

Als er über seine und SolarWinds’ Reaktion auf die Angriffe nachdachte, drückte Ramakrishna sein Bedauern über Kommentare aus, die er während seiner Aussage vor dem Kongress im Februar 2021 gemacht hatte, die sich auf die Aufdeckung eines schwachen FTP-Passworts durch einen Praktikanten des Unternehmens im Jahr 2017 bezog. Er skizzierte: “Ich habe schon lange ein Glaubenssystem und eine Einstellung, dass man niemals Fehler auspeitscht – man will, dass seine Mitarbeiter, einschließlich Praktikanten, Fehler machen und aus diesen Fehlern lernen … was also bei der Kongressanhörung geschah, wo wir es einem Praktikanten zuschrieben, war nicht angemessen und ist nicht das, worum es uns geht.”

Schließlich verriet Ramakrishna, dass eine weitere Möglichkeit, die Reaktion des Unternehmens zu verbessern, darin bestand, eine bessere Medienreaktion zu koordinieren, da man nicht darauf vorbereitet war, so ins Rampenlicht gedrängt zu werden, wie es geschehen ist. “Ich wünschte, wir hätten mehr Ressourcen gehabt, mehr proaktive Öffentlichkeitsarbeit. Wir haben daraus gelernt und werden unser Kommunikationsteam weiter ausbauen”, erklärte er.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com