SolarWinds ha presentado un nuevo modelo de desarrollo de software, denominado Next-Generation Build System, que espera ayude a evitar que se repita el devastador ataque cibernético Sunburst de diciembre de 2020 y sirva como modelo para el desarrollo de software seguro en el resto de la industria.
El modelo fue desarrollado bajo la iniciativa interna de seguridad por diseño de la compañía, que fue establecida por el CEO Sudhakar Ramakrishna en 2021 luego del ataque Sunburst, que vio a los actores de amenazas respaldados por Rusia afianzarse en las redes de los clientes de SolarWinds, incluidas las agencias gubernamentales de EE. UU. después de entregar una actualización maliciosa a la plataforma Orion de la empresa.
“Comunicarse de manera transparente y colaborar dentro de la industria es la única forma de proteger de manera efectiva nuestra infraestructura cibernética compartida de las amenazas en evolución”, dijo Ramakrishna.
“Nuestra iniciativa de diseño seguro tiene como objetivo establecer un nuevo estándar en la seguridad de la cadena de suministro de software a través de innovaciones en los sistemas y procesos de construcción. Creemos que nuestros clientes, compañeros y la industria en general también pueden beneficiarse de nuestras prácticas”.
El sistema de compilación de próxima generación se desarrolló en un cronograma acelerado durante el año pasado, para incluir nuevos estándares para las mejores prácticas de desarrollo y tecnología para fortalecer la integridad del entorno de compilación general.
Tal como lo siguió Ramakrishna en una entrevista de septiembre de 2021 con Computer Weekly, esto implica el uso del llamado proceso de “construcción paralela”, donde el desarrollo de software se lleva a cabo a lo largo de múltiples rutas seguras y duplicadas, estableciendo una base para las verificaciones de integridad.
El sistema de compilación de próxima generación se alinea con cuatro principios clave de seguridad por diseño:
- Operaciones dinámicas: lo que significa que solo se utilizan entornos creados con software a corto plazo, que se autodestruyen después de completar su tarea específica.
- Productos de construcción sistemática: lo que significa garantizar que los productos de construcción se puedan fabricar de forma determinista, de modo que cualquier subproducto recién creado siempre tenga componentes idénticos y seguros.
- Proceso de construcción simultáneo: lo que significa crear subproductos de desarrollo de software, como modelos de datos, en paralelo para establecer una base para detectar cualquier modificación inesperada en ellos.
- Registros detallados, lo que significa realizar un seguimiento de cada paso del proceso de creación de software para la trazabilidad y la prueba de registro permanente.
Debido a que el proceso de compilación de software anterior de SolarWinds se usa comúnmente en toda la industria de la tecnología, la organización también ha optado por lanzar componentes del sistema de compilación de próxima generación como software de código abierto, para permitir que otros se beneficien de lo que ha aprendido y ayudar a avanzar de alguna manera. a elevar los estándares de la industria para procesos de desarrollo seguros.
Esta apertura se alinea con los objetivos del CEO de compartir los aprendizajes de SolarWinds a partir de su experiencia y colaborar con otros. Ramakrishna, que acababa de firmar su contrato y aún no trabajaba técnicamente para SolarWinds cuando se produjo el ataque, se ha ganado elogios por su respuesta al incidente y su franqueza posterior, y a menudo se le encuentra pidiendo a otros que sigan el ejemplo de SolarWinds.
A principios de este mes, en la Conferencia RSA en San Francisco, Ramakrishna pidió a las empresas de software que dediquen empleados a trabajar junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad del gobierno de EE. UU. para mejorar la cooperación y los tiempos de respuesta a incidentes.
“La única forma en que nuestra industria podrá responder de manera efectiva al panorama de amenazas en evolución es a través de una verdadera asociación entre los sectores público y privado”, dijo.
