Cuando SolarWinds, un proveedor de soluciones de gestión de redes y TI hasta ahora poco conocido por la gente común, fue víctima de una de las violaciones de seguridad cibernética más importantes de los últimos años en diciembre de 2020, el director ejecutivo Sudhakar Ramakrishna se enteró unas horas antes de la noticia. llegó a la prensa de TI, pero por una buena razón: en ese momento, aún no era oficialmente el CEO de SolarWinds.
De hecho, la tinta estaba apenas seca en el nuevo contrato de Ramakrishna que lo llevó a SolarWinds de Pulse Secure, cuando se rompió el incidente llamado Sunburst o Solorigate. El ciberataque, una intrusión orquestada de larga duración por actores de amenazas vinculados al estado chino, se dirigió a múltiples organizaciones y, fundamentalmente, a organismos gubernamentales, al inyectar código contaminado en la plataforma de gestión de red Orion de SolarWinds en un ejemplo clásico de un ataque a la cadena de suministro. .
Fue una situación completamente extraña a la que enfrentarse, reflexiona. “Realmente no se puede hacer mucho al respecto en el sentido de que no se puede dirigir al equipo para que actúe”, dice. “Muchos de los miembros del equipo que ni siquiera conocen en ese momento. Como un lado divertido, incluso estaban apostando dentro de SolarWinds si aparecería el primer día o no “.
El registro muestra que Ramakrishna apareció, si las restricciones pandémicas lo permiten. De hecho, movió su línea de tiempo un par de semanas para poder informar mejor su respuesta, y además tiró el plan original de 90 días que había elaborado a la basura y redactó uno nuevo.
“Alrededor del 20 de diciembre es cuando comencé a recibir informes sobre lo que había sucedido y lo que el equipo estaba haciendo al respecto, porque quería estar preparado para ponerme en marcha en lo que se refiere a clientes, socios y autoridades gubernamentales, así como a la mayoría de lo que es más importante, averiguar qué aprendimos de esto y qué podemos hacer al respecto ”, dice.
“Cuando ocurrió el incidente, en cuestión de aproximadamente 48 horas, al menos tuvimos una solución”
Sudhakar Ramakrishna, SolarWinds
“Le doy mucho crédito al equipo porque cuando ocurrió el incidente, en cuestión de 48 horas al menos tuvimos una solución. Luego, publique eso, fue una cuestión de interactuar con los clientes y tratar con ellos, ayudarlos a través de la migración al código parcheado, y luego ese ha sido un proceso continuo en realidad, y fue un proceso continuo hasta bien entrado el mes de abril. “
Ramakrishna tiene claro que hubo algunos clientes de SolarWinds que se asustaron por el ataque, pero eran una clara minoría.
“Yo diría que la gran mayoría de los clientes, una vez que entendieron lo que había sucedido y lo que estábamos haciendo al respecto, fueron muy comprensivos, nos brindaron mucho apoyo y muchos de ellos han reafirmado su compromiso con SolarWinds”, dice.
“Una escuela de pensamiento irónica en este momento es que probablemente seamos una de las empresas más seguras en lo que respecta a la entrega de código a los clientes debido a las prácticas que hemos implementado”.
Ramakrishna se refiere a la nueva iniciativa Secure By Design de la compañía, que ya está dando frutos, y de la que hablaremos más adelante.
Un sinónimo de transparencia
La voluntad de hablar abierta y francamente sobre sus experiencias parece haberle servido bien a Ramakrishna, y rara vez ha estado fuera del “circuito” durante meses, desde lugares invitados hablando en reuniones cibernéticas de alto perfil como la Conferencia RSA y CyberUK del NCSC. evento, hasta apariciones ante los comités del gobierno de EE. UU., además del trabajo diario.
Pero no todo fue sencillo, y se cometieron errores en el proceso, célebre por la implicación un tanto precipitada, refutada rápidamente, de que un interno era el culpable de dejar la puerta abierta para los malos. Pero ahora, casi un año después, es justo decir que SolarWinds se ha convertido en una especie de sinónimo de transparencia en ciberseguridad.
Para Ramakrishna, la transparencia es un elemento clave de cualquier respuesta a cualquier problema, no solo cibernético, que afecte materialmente a un cliente.
“Hablamos de generar confianza con los clientes, ganarnos su confianza, etc.”, dice. “Pero la forma en que me gusta pensar es la forma en que te ganas la confianza siendo transparente con ellos, qué está funcionando, qué no, qué estás haciendo al respecto, etcétera”.
Poniéndose en la piel de un cliente de SolarWinds por un segundo, agrega: “Si tengo que confiar en usted, entonces tengo que creer que está siendo transparente conmigo sobre el estado de las cosas, así que eso fue fundamental para quienes son, quién soy y cómo opero “.
“Si seguimos siendo transparentes y seguimos haciendo lo correcto, realmente nos beneficiaremos a largo plazo”
Sudhakar Ramakrishna, SolarWinds
Ramakrishna también habla de la importancia de mantener tanto un sentido de humildad frente a la adversidad como un sentido de calma. “Ese fue el conjunto de principios fundamentales con los que operé junto con el equipo”, dice, “y aunque los primeros cuatro o cinco meses fueron increíblemente agitados y locos, ahora somos más normales, si puedo llamarlo normal, en términos de dirigir nuestro negocio.
“Creo que si seguimos siendo transparentes y seguimos haciendo lo correcto, realmente nos beneficiaremos a largo plazo, también comercialmente. Cuando lo haces, no se siente así, porque la atención de todos está puesta en ti, pero cuando te mantienes fiel a quién eres y en qué crees. Personalmente creo que eso nos ayudará a tener más éxito. “
SolarWinds también está obteniendo otros beneficios, explica. “La broma común en seguridad es que hay dos tipos de empresas: las que han sido violadas y saben, y las que han sido violadas pero no lo hacen”, dice. “Mi opinión es que como comunidad, especialmente cuando tratamos con actores de amenazas externos, tenemos que ser más transparentes entre nosotros, para que podamos compartir, aprender y remediar más rápido.
“Espero que esto les dé más confianza a más víctimas de ataques cibernéticos para decir que está bien salir y hablar sobre nuestros aprendizajes, está bien decir lo que aprendimos, cómo mejoramos y lo que la comunidad puede hacer para defenderse mejor, así que esa es mi mayor esperanza de esto. Y también quiero aprender de las experiencias de los demás “.
Seguro por diseño
La transparencia, por supuesto, solo lo llevará hasta cierto punto, y debido a que en última instancia fue el proceso de desarrollo de software de SolarWinds el que fue atacado, la compañía ha estado trabajando arduamente para implementar su nueva estrategia Secure by Design para garantizar que sus clientes puedan avanzar con confianza. .
Hay tres pilares fundamentales para la estrategia Secure by Design. Primero, para mejorar y mejorar la seguridad de la infraestructura local y basada en la nube de SolarWinds, implementar una mejor detección de puntos finales, controles de acceso basados en roles y otros elementos que dificultan que un atacante ingrese a sus sistemas, y segundo, para mejorar la seguridad de los propios sistemas de construcción de la empresa.
Estos dos primeros pilares son, en general, una continuación de las cosas que SolarWinds ya estaba haciendo, pero es el tercer pilar que Ramakrishna considera como el más significativo: cambiar los procesos de construcción y las metodologías.
“La mayoría de las empresas de software tienen un único canal de construcción”, dice. “Revisan la compilación y escupen el código. Lo que hemos hecho es construir un modelo en el que tenemos tres sistemas separados, con tres conjuntos de permisos, y pueden estar en diferentes ubicaciones, y esas ubicaciones pueden cambiar.
“Para que se envíe una versión, creamos en tres entornos diferentes, y esencialmente creamos un hash en los tres entornos diferentes, y nos aseguramos de que coincida con ellos, y solo entonces nos damos de baja”.
La supuesta ventaja de este modelo es que crea un entorno más dinámico y cambiante que hace que sea mucho más difícil para un actor de amenazas inyectar código malicioso en la cadena de suministro. Los expertos de SolarWinds están trabajando actualmente en documentos técnicos sobre el tema, y Ramakrishna dice que este modelo podría tener aplicabilidad más allá del desarrollo de software en otras áreas de la pila de TI; como señala, es probable que estos ataques sigan llegando.
Listo para el futuro
Después de haber implementado Secure by Design y otras medidas complementarias, como mejoras en la capacitación en seguridad para los empleados, Ramakrishna dice que SolarWinds ahora tiene mucha más confianza en su postura de mitigación de riesgos y preparación para incidentes que hace un año.
“Tenemos mucha más confianza hoy”, dice, “pero cualquier empresa que diga que no tiene ningún riesgo, o que tiene muy poco riesgo, probablemente no sea plenamente consciente de los tipos de riesgos que se les pueden imponer. Así que ahí es donde tiene que entrar en juego el aspecto de la humildad.
“Vigilancia constante y aprendizaje constante: esa debe ser la mentalidad de todos los equipos de seguridad”
Sudhakar Ramakrishna, SolarWinds
“Está seguro de haber hecho las cosas correctas, está seguro de que está entrenando, está seguro de que tiene la tecnología adecuada y las políticas adecuadas, pero nunca puede estar seguro de que no corre ningún riesgo. . Vigilancia constante y aprendizaje constante: esa debe ser la mentalidad de todos los equipos de seguridad, independientemente de la empresa a la que se informe “.
Con el impacto del ciberataque desvaneciéndose, la atención de Ramakrishna también se dirige a los planes futuros para SolarWinds. “Tenemos una cartera muy amplia de soluciones que, afortunadamente, los clientes parecen beneficiarse y apreciar”, dice. “Nuestro enfoque en el futuro es hacer que nuestras soluciones sean mucho más simples y mucho más poderosas para que las consuman los clientes. La capacitación y los presupuestos son un desafío, la complejidad está aumentando, entonces en ese mundo, ¿qué hacemos para servir mejor a nuestros clientes?
“Ahora hemos definido la noción de lo que llamamos SolarWinds Observability, que es integración en una plataforma híbrida común, automatización y configuración en un nivel, observación de sistemas y bases de datos y aplicaciones y usuarios, visualizándolos y tomando pasos de remediación automática a través de dispositivos artificiales. inteligencia y aprendizaje automático “.
Se publicará más información sobre estas ideas y propuestas antes de que termine el año, ya que SolarWinds comienza a articular sus planes para 2022 externamente. Con un poco de suerte, la gente de SolarWinds tendrá una temporada navideña mucho más tranquila antes de volver a trabajar para hacerlas realidad.
