TecTop
Crédito: CC0 Dominio público
SolarWinds dice que ha reforzado la seguridad y ha reforzado su proceso de selección de software 15 meses después de que uno de los ataques cibernéticos más sofisticados expusiera a miles de sus clientes a espías rusos y dejara a las agencias gubernamentales de EE. UU. y a las empresas Fortune 500 luchando por contener las pérdidas.
Los ejecutivos de SolarWinds dicen que gastaron $25 millones para mejorar la seguridad y establecieron nuevos procesos para filtrar el código de terceros que se incluye en casi todos los productos de software.
La compañía ahora opera según el principio de «confianza cero y mentalidad de asumir una violación» (lenguaje tecnológico para dar por sentado que las violaciones de seguridad son ineludibles), dijo Chip Daniels, jefe de asuntos gubernamentales de SolarWinds.
La compañía también ha instituido un proceso que requiere que todo el software sea construido por triplicado por equipos separados para prevenir infecciones de malware debido a lagunas o travesuras deliberadas, dijo.
Los desarrolladores de software externos están sujetos a un proceso de selección que les obliga a «responder una serie de preguntas que nos asegurarán que su entorno es seguro», dijo Daniels.
En diciembre de 2020, la firma de investigación de seguridad cibernética FireEye reveló que se había violado el software de administración de red creado por SolarWinds, lo que podría exponer a hasta 18,000 de los clientes de esta última compañía.
Las evaluaciones en profundidad revelaron que de los clientes que probablemente estuvieron expuestos, solo 100 se vieron afectados, dijo la compañía.
Los funcionarios estadounidenses dijeron más tarde que el ataque fue llevado a cabo por agentes de inteligencia rusos que irrumpieron en un proceso de actualización de software utilizado por SolarWinds y lo usaron para obtener acceso a los clientes que, sin saberlo, habían instalado la actualización de software contaminada.
Inmediatamente después del ataque, los funcionarios estadounidenses pidieron a todas las agencias federales que usaban SolarWinds que desconectaran el software y reconstruyeran los sistemas operativos de sus computadoras. Los expertos en ciberseguridad temían que los espías rusos pudieran haber colocado puertas traseras secretas a las que podrían acceder más tarde.
Las nuevas medidas están causando que las agencias federales que temían usar el software de la compañía lo reconsideren, dijo Daniels. Pero se negó a nombrar las agencias porque las negociaciones aún estaban en curso.
La compañía está asegurando a sus antiguos y nuevos clientes que ha realizado una revisión de seguridad integral para encontrar y eliminar cualquier remanente del ataque ruso, dijo Tim Brown, director de seguridad de la información de SolarWinds.
La compañía trabajó con agencias federales, incluido el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad, así como con la firma privada de ciberseguridad CrowdStrike y auditores forenses de KPMG durante seis meses «buscando y buscando, examinando cualquier anomalía que pudiéramos ver» en el software. dijo Brown.
La compañía examinó cada código de software desde hace dos años y no encontró anomalías, dijo Brown.
Aunque el ataque ruso no se debió a una amenaza interna, «no significa que no pueda suceder la próxima vez», dijo Brown. Para evitar tal resultado, la compañía adoptó el modelo de desarrollo de software de «construcción triple», dijo.
Los desarrolladores construyen una versión, mientras que una segunda, llamada versión de validación, está en desarrollo simultáneamente, y también se desarrolla una tercera versión de seguridad, dijo Brown. Antes de enviar una actualización de software a los clientes, la empresa compara las tres versiones para asegurarse de que sean idénticas, dijo.
El nuevo enfoque garantiza que cualquier intento de inyectar malware «necesitaría la connivencia de al menos tres personas», lo cual es mucho menos probable, dijo Brown.
Dado que el software, como la mayoría de los productos físicos, se ensambla con entradas de una lista global de proveedores y se basa en componentes de código abierto, SolarWinds ahora usa un conjunto de siete preguntas para evaluar las medidas de seguridad adoptadas por sus proveedores, dijeron Daniels y Brown.
Las preguntas incluyen un desglose detallado del proceso de desarrollo de software de cada proveedor, cómo aseguran los proveedores su infraestructura física y electrónica, sus prácticas de gestión de riesgos, cómo responden cuando se descubre una brecha o una vulnerabilidad, los métodos utilizados para identificar amenazas internas, cómo validan los cambios a su código de software y cómo seleccionan a los nuevos empleados para identificar posibles actores extranjeros.
Las preguntas se construyeron a partir del primer conjunto de preguntas que CISA le hizo a SolarWinds inmediatamente después del ataque, dijo Brown.
La compañía ahora recomienda que otros desarrolladores de software usen el cuestionario de selección para evaluar la seguridad de sus proveedores, dijo Brown.
SolarWinds también está construyendo una base de datos de todo el código de software que se incluye en sus productos para desarrollar una lista de materiales de software, dijo Brown.
En mayo de 2021, el presidente Joe Biden emitió una orden ejecutiva para mejorar las medidas de ciberseguridad en el gobierno federal y las empresas privadas. Uno de los elementos de la orden requería que los vendedores de software proporcionaran a los compradores una lista de materiales de software.
La orden dice que la lista de materiales se refiere a «un registro formal que contiene los detalles y las relaciones de la cadena de suministro de varios componentes utilizados en la creación de software».
Brown dijo que, en algunos casos, la lista de materiales podría ocupar decenas de miles de páginas y podría abrumar a los clientes que intentan evaluar la oferta de un proveedor.
SolarWinds, al igual que otras compañías de software, está trabajando para que la idea de la lista de materiales sea práctica y útil para los clientes, dijo Brown.
Florida inicia investigación por hackeo de sus servidores
©2022 CQ-Roll Call, Inc., Todos los derechos reservados.
Distribuido por Tribune Content Agency, LLC.
Citación: SolarWinds dice que sus nuevas medidas de seguridad tranquilizan a los clientes (29 de marzo de 2022) consultado el 29 de marzo de 2022 en https://techxplore.com/news/2022-03-solarwinds-reassuring-clients.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
