SolarWinds-Chef erläutert Änderungen in der Führungsetage und im Build-Prozess nach dem Hack

Cyber Security News

SolarWinds-CEO Sudhakar Ramakrishna nimmt an einer Anhörung des Senate Intelligence Committee auf dem Capitol Hill am 23. Februar 2021 in Washington, DC teil. (Foto von Demetrius Freeman-Pool/Getty Images)

Der Geschäftsführer von SolarWinds sagte, dass der Softwareanbieter eine Reihe von Änderungen an seinem Bauprozess und der Berichtsstruktur in der Vorstandsetage vorgenommen hat, um einen weiteren Angriff auf die Lieferkette wie den, den das Unternehmen Ende letzten Jahres erlebt hat, zu verhindern.

Konkret sagte CEO Sudhakar Ramakrishna, dass SolarWinds mit mehreren, parallelen Build-Systemen und Ketten für Software-Updates experimentiert, die zusammen verwendet werden könnten, um Querverweise zu erstellen und die Code-Integrität der anderen Ketten zu überprüfen. Jede Kette müsste von einem Angreifer auf die gleiche Weise identifiziert und kompromittiert werden, um erfolgreich die Art von beschädigten Software-Updates zu verbreiten, die in der Lieferkette seiner Kunden für Verwüstung gesorgt haben.

Das Unternehmen ergreift außerdem eine Reihe von Maßnahmen, die darauf abzielen, den Stellenwert der Cybersicherheit bei Geschäftsentscheidungen zu erhöhen und die Autonomie des Chief Information Security Officer und der CIO-Shops zu stärken. Dazu gehört ein neues Cybersecurity-spezifisches Komitee in der Vorstandsetage, dem Ramakrishna selbst und zwei weitere CIOs angehören, sowie die “völlige Autonomie” des CISO, Software-Updates aus Gründen der Time-to-Market zu pausieren.

“Wir schaffen eine unabhängige Organisation, um dieses Niveau an Fähigkeiten, Komfort und Sitz am Tisch in Bezug auf unseren CISO aufzubauen”, sagte Ramakrishna während einer virtuellen Veranstaltung am 25. März. “Dieses Maß an Unabhängigkeit, Vertrauen und Luftschutz ist äußerst wichtig, sonst werden sie zu einem Kostenposten in einem [profit and loss statement] und sie werden an die Seitenlinie gerufen.”

SolarWinds – das zahlreiche Bundesbehörden und Fortune-500-Unternehmen zu seinen Kunden zählt – musste weitreichende Kritik für seine Sicherheitspraktiken einstecken, erlebte einen Vertrauensverlust bei den Kunden und sah seinen Aktienkurs im Zuge der letztjährigen Hacking-Enthüllung abstürzen. Das Unternehmen sieht sich außerdem mit zahlreichen Ermittlungen von Bundesbehörden wegen Insiderhandels sowie mit Sammelklagen von Aktionären konfrontiert, die vor Gericht behaupten, dass die mangelnde Strenge und Offenheit des Unternehmens in Bezug auf Cybersicherheit zu künstlich aufgeblähten Aktienkursen geführt hat. Im Januar stellte der Softwareanbieter den ehemaligen CISA-Chef Chris Krebs und den ehemaligen Facebook-CISO Alex Stamos als Berater ein, um bei der Untersuchung des Orion-Hacks zu helfen und neue Sicherheitspraktiken zu implementieren.

Ramakrishna, der im Januar nach Bekanntwerden der Sicherheitslücke zum CEO ernannt wurde, sagte, dass die Änderungen den Wunsch des Unternehmens widerspiegeln, die gleiche Raffinesse und Kadenz der Gruppen zu erreichen, die sie angreifen, wenn es darum geht, sichere Software zu entwickeln. Er beschrieb die Arbeit an parallelen Build-Systemen als “Experiment” und sagte, er habe Gespräche mit CISA und der Cyberspace Solarium Commission darüber geführt, ob dies als Modell für andere Unternehmen dienen könnte.

“Die Idee ist, dass wir die Softwareintegrität über zwei oder drei verschiedene Pipelines herstellen wollen, um die gleiche Art von Lieferkettenangriffen zu vermeiden, die wir erlebt haben, und Variationen davon”, sagte er.

Während viele technische Details des Angriffs auf SolarWinds in den letzten drei Monaten aufgetaucht sind, tappt die Cybersecurity-Community immer noch weitgehend im Dunkeln, was die Art und Weise betrifft, wie die Angreifer ursprünglich Zugriff auf das Orion-Build-System erlangt haben. Ramakrishna sagte, dass die Untersuchung noch nicht abgeschlossen ist, aber das Unternehmen hat es auf drei Möglichkeiten eingegrenzt: eine “sehr gezielte” Spearphishing-Attacke, eine Schwachstelle in einer ungepatchten Software eines Drittanbieters, die einen Eintrittspunkt in das Netzwerk von SolarWinds freigelegt haben könnte, oder eine Kompromittierung der Anmeldedaten einiger bestimmter Benutzer.

Die interne Untersuchung hatte in der Anfangsphase “Glück”, indem sie eine einzelne Backup-Build-Umgebung identifizierte und dekompilierte, die es ihnen ermöglichte, den Sunspot-Code zu lokalisieren, der zur Injektion von Malware in eine einzelne Quellcodedatei verwendet worden war. Diese Änderung wurde ausgeführt und dann von den Angreifern während “eines Zeitfensters von wenigen Millisekunden” vor dem Zertifikatssignierungsprozess verdeckt, das nicht in den Quellcodeprotokollen erfasst wurde.

Er lehnte es ab, sich dazu zu äußern, wen das Unternehmen hinter dem Angriff vermutet, und sagte, es gäbe “genug Kommentare da draußen, dass ich das nicht tun muss.” US-Beamte haben behauptet, dass die ursprüngliche Kampagne “wahrscheinlich” von Hackern durchgeführt wurde, die mit russischen Geheimdiensten in Verbindung stehen, um Spionage für die IT-Netzwerke der US-Regierung und des privaten Sektors zu betreiben.

Ramakrishna sagte, dass die Raffinesse des Angreifers, die ungewöhnliche Dauer der Kompromittierung (einige der von den Ermittlern gefundenen Indikatoren reichen bis ins Jahr 2019 zurück) und die Ungereimtheiten bei der Protokollierung bedeuten, dass “man möglicherweise nicht in der Lage ist, den Patienten Null zu identifizieren”, wenn es darum geht, welcher dieser Wege zuerst ausgenutzt wurde. Das Unternehmen ist jedoch der Ansicht, dass die endgültige Bestimmung des ursprünglichen Eintrittspunkts weniger wichtig ist als die Umsetzung der allgemeinen Sicherheitslektionen, die aus dieser Erfahrung gelernt wurden.

“Ich möchte den dramatischen Faktor dieses ‘Aha-Erlebnisses’, etwas zu identifizieren, von dem kontinuierlichen Denkprozess ‘Was können wir lernen, was können wir tun, um uns zu verbessern, wie können wir sicherer werden und gleichzeitig exzellente, qualitativ hochwertige Software liefern?’ trennen. Das ist die Denkweise, die wir anstreben”, sagt er.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com