[[434588]]

SolarWinds公司的Orion软件数据露出事件改变了该公司的安全策略和花样。该公司首席信息安全官Tim Brown共享了一些推断首席信息安全官和软件供应商如何为供应链挫折作念好准备的建议。

旧年年底，一个名为Cozy Bear(APT29)的汇注挫折组织得胜入侵了SolarWinds公司的Orion更新软件，将其酿成了坏心软件的传播用具。这一汇注监控用具使该公司快要100名客户受到侵害，其中包括一些政府部门和汇注安全管事商FireEye公司。

汇注挫折者侦查和挫折SolarWinds公司的IT基础设施，并对Orion软件植入木马花样。起始发现这种软件供应链挫折的FireEye公司示意，它需要汇注挫折者经心筹划和交互。

研究东谈主员觉得需要十分爱好这次汇注挫折，SolarWinds公司也作念了积极地应付，该公司赶快引入了外部匡助，不仅管制了濒临的危急，还匡助审查了他们的安全运营步调，并制定了安全策略，以更好地防卫异日的软件供应链挫折。SolarWinds公司已公开了该事件的细节以及为改善其安全态势而采用的步调。

迷水商城

行业媒体为此采访了SolarWinds公司首席信息安全官兼安全副总裁Tim Brown，就这次事件如何矫正该公司的安全步和谐花样进行了探讨。Brown主要妥当该公司的居品和里面安全。

在这次汇注挫折发生后，您的使命脚色发生了哪些变化?

Brown：在这次汇注挫折发生之前，我的职责并不单是包括首席信息安全官的职责，还关注公司的安全运营和居品安全策略。咱们的贪图是居品和运营的融合。咱们需要妥当运营安全，并主要委用居品，因此让咱们的安全团队参与其中终点勤勉。

在这次汇注挫折事件发生之后， SolarWinds公司决定如何应付和处理?

Brown：在侦查本领，咱们当先引入了安全厂商Crowd Strike公司对咱们的业务进行宏不雅检讨。他们的职工与咱们一王人使命了大致五个月，深入研究了每个使命站、每个管事器的总计细节。

与此同期，咱们还获取了毕马威公司取证团队的匡助，因为咱们需要一些不同的手段组合，需要有东谈主专注于工程和开荒环境，然后进行微不雅检讨。

为了提高后果，咱们让Crowd Strike公司专注于宏不雅环境，毕马威公司专注于微不雅环境。在侦查中的前一两个月，咱们每天都与他们会面，并得到一个列出总计事项的清单。

在侦查中还有一件勤勉的事是，咱们需要更好地了解通盘环境。在事件发生之前，咱们运行了我方的安全运营中心(SOC)，这个安全运营中心(SOC)具有平庸的袒护范畴。使命站和管事器当今礼聘CrowdStrike Falcon进行监控。

然后，SecureWorks从CrowdStrike获取咱们的AWS信息、防火墙信息、Azure信息、Microsoft 365以及咱们的总计使命站和管事器信息，这增强了SOC的可见性。这种可见性对咱们概况看到一切终点灵验。

另一个变化是成立全职“红队”。 红队的任务是从对抗性的角度稽查企业的步履和业务职能，以改善企业的安全情景。在汇注安全事件发生之前，咱们的红队是兼职的。成立全职红队让咱们的团队成员不错担任几个脚色。一种是基础设施的里面红队，测试咱们实施的规章步调，并确保安全运营中心(SOC)作念正确的事情。

咱们按时对每个管制决议进行里面浸透测试，然后也在外部进行浸透测试。这为咱们提供了一种互补的花样。它还与工程环境密切关系，这也要进行我方的里面安全测试。

这种测试增多了三倍，这种多方的安全测试包括：外部测试、安全团队里面测试和开荒团队里面测试。

对于您的团队和通盘业务来说，安全不雅念发生了怎样的变化?

Brown：有东谈主告诉我，他们试图让路发东谈主员改变或让路发东谈主员考虑安全性方面际遇的问题。对于这一安全事件，咱们的社区和用户终点不安。因为有东谈主闯入他们的汇注和系统，并改变了他们的运营环境。

确保安全性的复旧之一是创造安全文化，这是一个捏续的旅程。咱们进行安全培训，饱读舞证据，并让总计职工参与。

迷水商城

从咱们的实行领导层来看，咱们公司的首席实行官Sudhakar Ramakrishna在召开整体会议时每次都会驳倒安全问题。各个层面都在驳倒安全性。

女人吃什么当晚见效

另一复旧是销售团队的心态。咱们的客户当今最祥和的是安全问题。是以，这不单是是一个里面的事情，亦然激动业务发展的要道。软件开荒商以及安全行业以外的公司如今都在驳倒他们的安全功能。

迷水商城

咱们看到客户就咱们的安全经过提倡了更复杂、更详备的问题。我觉得这很好。这将使企业在安全方面走上正确的轨谈，并辅导他们需要防范什么事项。

迷水商城 您为客户提供了哪些领导或用具来匡助浮松供应链挟制?

Brown：咱们在不同的地点都有安全的成就信息。在汇注挫折事件发生之后，咱们将其归并到一个文档和一个区域中，这是以安全神气实施的花样。

稀疏是对于里面部署管制决议，这是一种协调关系。咱们需要他们概况采用正确的活动，并以正确的神气进行成就。但咱们并不老是对他们的成就神气有久了的了解。在某些情况下，他们并不和咱们换取和交流。他们只需装置居品即可。他们需要允洽安全地成就、监控和管制居品，这一步调终点勤勉。

您是否提供了对公司的生态系统和正在使用的管事的更多可见性?

Brown：咱们将公开和共享咱们使用的用具。咱们会告诉他们，“咱们用Checkmarx作念静态代码分析。咱们使用WhiteSource来稽查开源用具。”

咱们将更多地商榷咱们的安全开荒人命周期(SDL)经过以及咱们在环境中实施的保护步调。事实上，就像汇注挫折事件发生之前的大大宗供应商相同，那么他们简直祥和咱们如何保护和确立吗?当今每个东谈主都在这么作念。我和其他首席信息安全官进行了换取和交流，约会迷轩药商城他们示意濒临的问题越来越难，条目愈加绽开。这对各行业发展都有克己。

你提到了一些正在进行的使命，举例居品和里面审计的最低特权侦查模子。你有这些使命的时分表吗?

Brown：咱们的里面审计是对从代码行一直到居品的总计履行的里面审计，将在2022年第一季度完成。居品的最低特权模子还是从文档和初步实施驱动。

这是一个驱动。咱们还是对代理和其他履行进行了篡改，以匡助客户了解应该如何成就，并从代理汇注数据。咱们还是作念了一些事情，举例使警报系统在不同的帐户下运行，况兼不错指定具有允洽权限的帐户。

下一步是与权限管制系统的集成，这么咱们就无用在居品中使用密码，不错将它们从已批准的密码管制系统中移除。许多东谈主驱动关注咱们是如何作念到的，并领有了所需的最低特权，但仍然概况实施咱们正在实行的功能。

迷水商城 这对于莫得严格侦查规章规章的客户有匡助吗?

Brown：简直地说，它只会为这些客户提供允洽级别的保险。在这起事件中，咱们与协调伙伴开展了Orion救助狡计。咱们的协调伙伴将匡助客户进行升级，并匡助考据成就以确保它们是合适的。

软件行业应该作念些什么来更好地保护每个东谈主免受供应链挫折?

Brown：当先，企业确保我方的运营环境鱼贯而入，确保为应付汇注挫折作念好准备。要是如实发生挫折事件，那么需要实施还是制定的狡计，并持续完成事件反应经过。

迷水商城迷水商城迷水商城

其次，对于客户来说，应该让其居品对不允洽的成就更有弹性，对一般的汇注挫折更有弹性。不管是对于如何成就的指南，不管是用具，如故成就匡助，这一切都归结为匡助客户在其环境中进行允洽成就以提高弹性。

从行业的角度来看，将会增多可见性，这将会愈加透明。它关注于软件和材料，关注在居品中使用的总计组件，并使它们愈加公开。这将了解并提供推断开荒框架和开荒周期的更多信息。

迷水商城

从透明度的角度来看，这是正确的方针。软件行业应该罗致这一现实，不仅要作念基础使命，还要匡助IT部门作念到这极少，以便咱们公开的框架和信息如实有助于保护环境，并使其更具反抗挫折的才能。

迷水商城迷水商城

对于可能成为汇注挫折贪图的企业，其他首席信息安全官应该作念的最勤勉的使命是什么?

Brown：每个东谈主都应该顽强到的一个教育是挟制步履者的级别。那些使他们难以发现和对抗的事情等于当今濒临的汇注挫折者，他们驱动转向有组织的行恶。

要是不了解汇注挫折者将会追求什么，需要从了解环境驱动，从了解他们将要作念什么驱动。了解环境，这么就不错随时不雅察一切，并确保领有通盘环境的平庸可见性。

迷水商城

确保在环境中采用了保护步调。从开荒东谈主员的角度来看，确保了解正在管制的疏忽、我方知谈的疏忽、第三方知谈的疏忽，并礼聘允洽的经过允洽地管制它们。

其中一个教育是，不管如何老练事件反应，它都会有所不同。当这种级别的汇注挫折事情发生时，企业只需要为经过和花样作念好准备。

东谈主们不成我方作念总计的事情。从音讯传递、反应、侦查的角度来看，总计这些事情都需要有履历丰富的东谈主员参与。

迷水商城

大致在这次网终挫折事件的前一年，咱们就制定了一个经过，对于每个安全疏忽，不管是外部纪录的、咱们的用具纪录的如故其他地点纪录的，都会成为Jira纪录单，就像惯例疏忽相同，但它会获取一个安全标签。咱们的安全团队将监控这些事项。要是不允洽咱们的里面品级管事公约(SLA)管制决议，他们将经过咱们的风险评估表(RAF)经过，我必须在风险评估表上署名，工程妥当东谈主也要署名。这将处理居品中的疏忽水平擢升到一个允洽的级别，以决定某个问题是否得到管制。

制定经过以确保在疏忽方面取得发挥，因为不一定是挟制步履者插足企业的环境并篡改代码，就像他们在咱们的运营环境中所作念的那样。另外，挟制步履者可能发现了居品中的零日疏忽并讹诈这些疏忽。因此，需要确保在这两个规模都有袒护。