Sudhakar Ramakrishna, ailesiyle birlikte bir doğum günü yemeğine oturuyordu, şu çağrıyı aldığında: SolarWinds büyük ölçekli bir siber saldırıya uğramıştı. Tarih 12 Aralık 2020 idi ve Ramakrishna birkaç hafta içinde CEO olarak başlayacaktı.
Olayın tam kapsamı ve ciddiyeti hemen belli değildi, ancak yine de vermesi gereken bir karar vardı. Önceki kaptanın idaresi altında sızıntı yapan gemiyi terk mi edecek, yoksa bir kova alıp kefaletle mi başlayacak?
Bazı yakın sırdaşlar Ramakrishna’ya görevi bırakmasını tavsiye ederken, diğerleri onun beceri setini ve deneyimlerini önerdi. siber güvenlik onu iyileşme sürecine başkanlık etmesi için ideal kişi yaptı.
Ramakrishna, seçeneklerini değerlendirmek için biraz uğraşmasına rağmen, rotada kalma kararının sonunda basit bir karar olduğunu söyledi. TechRadar Pro. Yönetim kuruluna, SolarWinds’in süreklilikten fayda sağlayacağına karar verilirse geri adım atacağı, ancak aksi takdirde şirkete kriz boyunca pilotluk yapmaya hazır olduğu bilgisi verildi.
Takip eden haftalarda Ramakrishna, perde arkasındaki yönetici ekiple işbirliği yapmaya başladı. İlk öncelik tam olarak ne olduğunu ve nasıl olduğunu bulmaktı ve ikincisi SolarWinds’in müşterilerine, ortaklarına ve basına sunabileceği bir eylem planı formüle etmekti.
“Bir saldırının herkesin başına gelebileceği fikri daha yaygın hale geldi, ancak bu, sizin başınıza geldiği gerçeğini ortadan kaldırmıyor” dedi. “Her şirketin bir veya iki krizi olacaktır, ancak önemli olan yönetimin nasıl tepki verdiğidir.”
kayalık bir başlangıç
Saldırının kendisi aslında aylar önce, Eylül 2019’da, Rus devletiyle bağlantıları olduğundan şüphelenilen karmaşık bir siber suçlu grubunun SolarWinds ağına ilk kez erişim sağladığı zaman başlamıştı.
Tehdit aktörleri, SolarWinds altyapısının ve şirketin ürün geliştirme sürecinin kapsamlı bir resmini oluştururken, görünürde saklanarak olağanüstü bir sabır gösterdiler.
Saldırganlar, çeşitli SolarWinds ürünleri arasında, tasarlandığı gibi çalışması için müşterinin sistemlerine ayrıcalıklı erişime ihtiyaç duyan Orion adlı bir BT performans izleme hizmetiyle özellikle ilgilendiler.
İlk test çalışmasından sonra, bilgisayar korsanları bir kötü amaçlı yazılım Mart ve Haziran 2020 arasında bir noktada bir Orion yazılım güncellemesine SUNBURST olarak bilinen suşu. yama yaklaşık 18.000 SolarWinds müşterisine teslim edildi ve saldırganlara bu süreçte devlet kurumlarının, güvenlik şirketlerinin ve çok uluslu şirketlerin ağlarına pratik olarak sınırsız erişim sağladı.
Ramakrishna, “Sektör, güvenlik konularında yeni değil, ancak her birinin kendi bükülmesi ve önemi var – ve bu kendi yolunda önemliydi” dedi.
“İhlal yaratmak için kullanılan ticaret aracı sıradan değildi, bu bir tedarik zinciri saldırısıydı. Bu, güvenlik alanında iyi bilinen bir kavramdır, ancak iyi uygulanmış bir kavram değildir.”
Bu tür bir saldırıyı tespit etmeyi bu kadar zorlaştıran şeyin, tehdit aktörünün çok sayıda hedefin tehlikeye girmesiyle sonuçlanan bir saldırıyı başarılı bir şekilde gerçekleştirmek için binlerce dosyadan yalnızca birini değiştirmesinin yeterli olduğunu açıkladı.
Sonunda grup, Microsoft, Cisco, VMware, Intel ve bir dizi ABD federal kurumu dahil olmak üzere güvenliği ihlal edilmiş kuruluşların yalnızca bir alt kümesine sızmayı seçti, ancak saldırı yine de tarihin en önemli saldırılarından biri olarak tanımlandı.
SolarWinds, kendi ağında olağandışı bir aktivite tespit eden güvenlik firması FireEye tarafından olayla ilgili uyarıldığında, şirket kriz moduna girdi. Ve Ramakrishna’nın görevdeki ilk resmi gününde kapıdan içeri adım atması bu iklimde oldu.
Bununla birlikte, personelin morali tahmin edilebileceği gibi düşükken ve kızgın müşterilerle görüşmeler genellikle zor olsa da, kriz en azından Ramakrishna’nın üzerine inşa edebileceği bir platform sağladı.
“Krizin ortasında değişiklik yapmak bazı yönlerden daha kolay,” dedi. “Her şey mükemmel olduğunda çok fazla direnç olur, ancak bir şirket şok olduğunda insanlar yeni fikirlere açık olur.”
7 Ocak 2021’de Ramakrishna bir Blog yazısı saldırı hakkında şimdiye kadar öğrenilenleri özetledi, müşterilerin olayı yönlendirmesine yardımcı olacak acil adımlar önerdi ve gelecekte benzer bir saldırının tekrarlanmasını önlemek için yeni bir çerçeve belirledi.
Tedarik zinciri muamması
SolarWinds son on iki ayda kendini düzeltmeyi başarmış olsa da, müşteriyi elde tutma şimdi kabaca saldırı öncesi seviyelere geri dönerken, olayın şirketin kârlılığı üzerinde ciddi etkileri oldu.
Normal bir iş gibi kaynakları ürün geliştirme, satış ve talep oluşturmaya yönlendirmek yerine şirket, itibarı zedelenen bir toparlanma moduna girmeye zorlandı.
Ramakrishna ve yönetici ekibi, müşteri listesini bölüştüler ve hem özür dilemek hem de olanları açıklamak ve kendi ağlarının ihlal edilip edilmediğini araştırmalarına yardımcı olmak için birçoğuyla bireysel olarak görüşmeye başladı.
Bunu, sonunda normal ticari faaliyetlere dönüşün yolunu açan “iyileşme sürecinin” son derece rahatsız edici ama önemli bir parçası olarak nitelendirdi.
Ancak SolarWinds için sonuçlarına rağmen, daha geniş siber güvenlik endüstrisi tarafından doğru derslerin alınmadığını gösteren kanıtlar var. Saldırıdan bu yana, Kaseya saldırısı, Log4j ve hatta daha yakın zamanda Okta-Lapsus$ ihlali gibi bir dizi benzer yüksek profilli olay gerçekleşti.
Tedarik zinciri saldırılarının neden devam ettiğini düşündüğü sorulduğunda Ramakrishna, toplu savunmanın ayrık doğasının saldırgana en başından itibaren önemli bir avantaj sağladığını açıkladı.
“Bu sadece bir teknoloji sorunu değil, çok daha fazlası var” dedi. “Her birimiz bir saldırgana karşı savunma yapıyoruz. Ama bir yanda tek bir amacı olan saldırı için koordineli bir ordu, diğer yanda parçalanmış askerler var.”
Ramakrishna, şirketler arasında hayati istihbaratı paylaşma isteksizliğine katkıda bulunduğuna inandığı kurbanı utandırma kültürünü de eleştirdi.
“Hala çok sayıda mağdur utancı yaşanıyor, bu nedenle şirketler genellikle sorunları onlar hakkında hiçbir şey söylemeden çözüyor. Konuşmakta kesinlikle tereddüt var” dedi.
“Bir olay olması durumunda, topluluktan yardım almak önemlidir. İnsanları sorunlardan daha hızlı haberdar etmemiz gerekiyor; bu zihniyetin kendisini yazılım güvenliğinde kurması gerekiyor.”
Bu ölçekte bir tedarik zinciri saldırısının tekrar yaşanmasını önlemek için Ramakrishna, işletmelerin “tasarım gereği güvenli” olarak adlandırdığı yeni bir güvenlik çerçevesini benimsemeleri gerektiğine de inanıyor.
Modelin üç bileşeni vardır: altyapı güvenliği, yapı sistemi güvenliği ve yapı sisteminin kendisinin tasarımı. Ancak genel fikir, saldırgana sabit bir hedef sağlamamak ve fırsat penceresini en aza indirmek için saldırı yüzeyini değiştirmeye devam etmektir.
Bu hedefi göz önünde bulundurarak SolarWinds, yazılımının dinamik olarak değiştirilebilen üç ayrı konumda oluşturulduğu bir “paralel yapı sistemi” oluşturmuştur. Her bir yapının sonucu, bir saldırıya ihanet edebilecek tutarsızlıkları ayıklamak için diğerleriyle çapraz kontrol edilir.
Bu nedenle, bir yazılım yamasına başarılı bir şekilde sızmak için, bir davetsiz misafirin aynı anda, tam olarak aynı anda ve tam olarak aynı tekniği kullanarak üç saldırı başlatması gerekir.
Ramakrishna, “Bu, en ısrarcı siber suçlular için bile yapılması çok zor bir şey” dedi.
Yeni görünümlü SolarWinds
İronik olarak, SolarWinds’in artık dünyanın en güvenli şirketi olarak kabul edilebileceği öne sürüldü. Ne de olsa, saldırının keşfedilmesinden bu yana başka hiçbir kuruluş aynı düzeyde incelemeden geçmedi.
Ramakrisha, bu tanımlamanın doğru olduğuna inanıp inanmadığı konusunda yorum yapmayı reddetti, ancak bunun şirketin “gerçekleştirmeye kararlı” olduğunu söyledi.
Güvenli tasarım çerçevesi altında çalışan SolarWinds, artık BT izleme konusundaki temellerini geliştirmeye çalışacak ve müşterilerin hibrit ihtiyaçlarını hem bulut ve yerinde.
Ramakrishna, birlikte dijital dönüşümün yarattığı sorunları çözmeye yardımcı olacak yüksek düzeyde bir otomasyon ve üstün görselleştirme ve iyileştirme olanakları vaat etti. Hedefin, müşteriler için “karmaşıklığı azaltmak, üretkenliği artırmak ve maliyetleri düşürmek” olduğu söylendi.
Şirketin üzerinde asılı duran bulutun arasından birkaç güneş ışını görünmeye başlarken, Ramakrishna odağını bu temel hedeflere çevirmek için can atıyor. Ancak konuşmamız sona ererken, o da bir anlığına kendini beğenmişliğe karşı uyardı:
“Hiçbir şirket, ne kadar yaparlarsa yapsınlar, saldırılara karşı bağışık olduklarına inanmamalıdır, çünkü bu bir yanılgıdır” dedi.