2020’nin sonunda Amerikan şirketi SolarWinds, büyük bir bilgisayar saldırısının kurbanı oldu. İkincisi, birçok kurumsal müşteriye ve ABD yönetimine saldırganların yolunu açmıştı.
Bir tedarik zinciri saldırısı örneği: Saldırganlar, Orion izleme yazılımının bir güncellemesini, kurumsal müşterilerin ortamında kötü amaçlı kod dağıtmak için değiştirmeyi başardılar. Siber güvenlik şirketi FireEye tarafından tespit edilmeden önce birkaç ay boyunca radarın altında kalan bir saldırı. Ürünleri müşterilerine bilgisayar sistemlerinde neler olup bittiğini daha iyi denetleme sözü veren bir şirket için bir utanç.
Saldırının keşfi, bilgisayar güvenliği dünyasında bir patlama gibiydi. 2021’in başında görevi devralan yeni CEO Sudhakar Ramakrishna, bu nedenle saltanatına tatsız bir durumda başladı: ABD yönetimleri de dahil olmak üzere 1.800’den fazla kuruluşta potansiyel olarak zayiata neden olan bir olaya müdahaleyi organize etmek. şirketinin imajı birdenbire en kötü şekilde gün ışığına çıktı.
Yokuş yukarı geri git
İç soruşturma Mayıs 2021’de tamamlandı ve bulgular şirket tarafından geçtiğimiz günlerde paylaşıldı. bir blog yazısı saldırının seyrini değerlendirmek.
İlk adım atıldı, ancak Solarwinds yılı bu soruşturmayla sınırlı değildi. “2021 yılının büyük bir kısmını tanımladığımız “Tasarıma Göre Güvenlik” uygulamalarını kurmak ve uygulamakla geçirdik. Strateji belirlemek başka, uygulamak başka şey. Ama sanırım temelde anladık. ZDNet.fr ile röportaj yapan yönetici, şimdi bu strateji tarafından uygulanan uygulamaların sürekli iyileştirilmesinden oluşan ikinci aşamaya giriyoruz ”diyor.
Bu ana ilkelerin arkasında, yayıncı, kötü niyetli bir aktörün müşterilerine kötü niyetli kod göndermek için bir izinsiz girişten tekrar faydalanmasını önlemek için geliştirme yaklaşımının güvenliğini güçlendirmeye çalıştı.
Tamamen yeniden tasarlanmış bir geliştirme süreci
Bu nedenle, Solarwinds’de satış öncesi mühendisi olan Sasha Gliese tarafından açıklandığı gibi, yazılım geliştirme süreci gözden geçirildi: “Geleneksel bir şirkette, geliştiriciler programı oluşturur, muhtemelen bir yürütülebilir dosya oluşturmadan önce sanal bir makinede test eder ve daha sonra gönderilir. Müşteriye. Artık böyle çalışmıyoruz. Her proje için, her biri farklı bir parçayla ilgilenen birkaç ekibin çalıştığı üç paralel geliştirme zinciri oluşturuyoruz. Ve müşterilerimize göndermeden önce her şeyin yolunda olduğunu doğrulamak için kodun karşılaştırmalarını yapıyoruz”.
Şirket, uygulanan diğer önlemlerin yanı sıra, Kubernetes aracılığıyla uygulamaların geliştirilmesi ve tesliminin daha iyi izlenmesini sağlayan açık kaynak aracı Tekton Chains’i kullandığını söylüyor.
Sudhakar Ramakrishna, “Yalnızca 2021’de şirketimizde güvenliği güçlendirmek için 25 milyon dolardan az yatırım yaptık” diyor. Solarwinds’in liderine göre, bu yeni yöntemler yazılım geliştirme için ek bir maliyeti temsil ediyor, ancak bu “marjinal” kalıyor ve Solarwinds’in başka alanlara yatırım yapmasını engellemez.
Güvenlik, gerekli ama yeterli olmayan bir yatırım
Lider için, güvenlik gerekliyse, yine de bir satıcının tek argümanı olamaz.
“Bugün, müşterilerime baktığımda, karşılaştıkları temel zorluk, BT sistemlerinin artan karmaşıklığı ve artan, ancak bu karmaşıklıkla başa çıkmak için yeterli olmayan bütçeler. Ve hepsinden önemlisi, bu sorunları çözmelerine yardımcı olmalıyız. Güvenli ancak müşterilerin bu zorlukların üstesinden gelmesine izin vermeyen bir yazılım sağlamak yeterli değil” dedi.
Bu çabalar yeterli mi? CEO buna inanmak istiyor ve bunun için şirketin 2022’nin ilk çeyreğine ilişkin rakamlarına güveniyor: “2022’nin ilk çeyreğine ilişkin sonuçlarımız, müşteri yenileme hızımızın saldırıdan önceki tarihi seviyesine döndüğünü gösteriyor. Bu bana müşterilerimizin saldırı ile ilgili sorularını cevaplamayı başardığımızı gösteriyor. »
Kamu ve özel sektör aktörleri arasındaki işbirliğini güçlendirmek
Sudhakar Ramakrishna, Amerika Birleşik Devletleri’ndeki RSA konferansında yapılan son konuşmadan da yararlandı. özel sektör ve devlet siber güvenlik kurumları arasında daha fazla işbirliği.
“Mevcut işbirliği bence yetersiz. Giderek artan sayıda ve karmaşık bilgisayar saldırıları ile karşı karşıyayız. Bugün hiçbir şirket kendisini bu tür saldırılara karşı bağışık sayamaz ve kendimizi sürekli geliştirmek zorunda kalıyoruz. Muhtemel iyileştirmelerden biri, bu konularda özel sektör ve kamu sektörü arasındaki işbirliğini güçlendirmektir” diye ısrar ediyor lider.
Bahsedilen yollar arasında, CEO, örneğin, çalışanlarından birini Amerikan siber güvenlik ajansı CISA’nın (Anssi’nin Amerikan eşdeğeri) hizmetine sunabilmek istiyor. CEO, Fransa’daki Anssi gibi Avrupa ülkelerindeki ajanslarla ortaklıkları güçlendirmeye kapalı olduğunu söylemiyor.
ileri git
Solarwinds’in lideri için, saldırı artık kapalı davalar bölümünde saklanacak. Şirket şimdi büyümeye geri dönmeyi umuyor ve buna göre ekiplerini ve Asya ve Avrupa/Orta Doğu bölgesindeki faaliyetlerini güçlendiriyor.
Yeni yönetmen Laurent Delattre, Avrupa bölgesi için adlandırılmıştır. Şirket ayrıca Fransa ve Avrupa’daki ekiplerini güçlendiriyor: ana Ar-Ge merkezleri Polonya ve Çek Cumhuriyeti’nde bulunuyor ve teknik destek İrlanda’dan sağlanıyor. Ancak yayıncı, Fransız muhatapların müşteri sorularını yanıtlamaya hazır olduğuna söz veriyor.
Lider, farklı bölgelerdeki yatırımların hacmini detaylandırmıyor, ancak Asya, SolarWinds için öncelikli gelişme ekseni gibi görünüyor: şirket, Japonya’daki işgücünü önemli ölçüde güçlendirdi ve Güney Kore’de yeni bir ofis açtı.
Tozları halının altına saklamak söz konusu değil
Birçoğu için SolarWinds, 2020’nin sonunda Amerika Birleşik Devletleri’ni sarsan, yazılım tedarik zincirine yönelik bir ders kitabı vakası olan benzeri görülmemiş bir saldırı ile eş anlamlı kalacak. Ancak toplum, bunun imtihandan büyüdüğünün anlaşılmasını ister.
Ve bu sembolden kurtulmak için şirketi yeniden adlandırma düşüncesi olup olmadığı sorulduğunda, Sudhakar Ramakrishna başını sallıyor: “Konuya kısaca değindik, ancak bu seçeneği asla ciddiye almadık. »
“Asıl amacımız bu sorunu çözmekti ve pazarlama sorunları çözmez. Eğer yatırım yapmak gerekiyorsa, pazarlamadan ziyade sorunu çözmek için paramızı yatırmayı tercih ederim. Bir gün marka adını değiştirmeyi reddetmiyoruz, ancak bunu doğru nedenlerle yapmak istiyoruz. Örneğin stratejik nedenlerle. Halının altına toz saklamamak için. »