SolarWinds experimentando con una nueva compilación de computer software …



El CISO de SolarWinds ahora tiene full autonomía para detener los lanzamientos de productos si existen problemas de seguridad, dice el CEO.

SolarWinds está experimentando con un proceso de creación de application completamente nuevo que, según el CEO Sudhakar Ramakrishna, está diseñado para garantizar una seguridad mucho mejor contra intrusiones del tipo que la compañía reveló en diciembre pasado.

Además, al CISO de SolarWinds se le ha otorgado total autonomía para evitar que se produzcan lanzamientos de productos simplemente por razones de tiempo de comercialización. También se estableció un nuevo comité de ciberseguridad a nivel de directorio, que incluye al CEO y dos CIO, dijo Ramakrishna en comentarios durante una mesa redonda virtual esta semana en la que participaron líderes de seguridad de múltiples organizaciones.

Las medidas son parte de varios cambios que Ramakrishna dice que ha implementado desde que SolarWinds reveló una violación de sus sistemas hace tres meses que resultó en la distribución de malware llamado Sunburst a unos 18.000 clientes en todo el mundo. Un número sustancialmente menor de ellos, incluidos FireEye y Mimecast, fueron posteriormente objeto de un mayor compromiso.

La intrusión involucró a los atacantes que obtuvieron acceso al entorno de creación de program de SolarWinds e inyectaron el troyano en las actualizaciones automáticas del software program de administración de red Orion de la compañía.

Según Ramakrishna, la investigación de la compañía muestra que los atacantes de alguna manera obtuvieron acceso a su entorno de compilación y lograron inyectar un código denominado Sunspot en un único archivo de código fuente que se extrajo del sistema de archivos mientras se compilaba el software program. Posteriormente, los atacantes utilizaron Sunspot para inyectar el troyano Sunburst en las actualizaciones de Orion.

El ataque no tuvo nada que ver con los sistemas de management de código fuente de SolarWinds, y tampoco resultó en ningún cambio de código fuente: «Lo que simplemente sucedió fue durante el proceso de compilación automatizado, el código de Sunspot, que estaba en la memoria silenciosamente observando para que se busque un archivo «, dijo Ramakrishna. Luego, el malware esencialmente volteó el archivo y la compilación simplemente continuó. «Entonces, no encontraría registros de código fuente no podría retroceder en el tiempo y mirarlos», dijo.

Todo el proceso de modificación de un archivo con malware ocurrió en una ventana de unos pocos milisegundos, y en la memoria, mientras se compilaba el software. Posteriormente, el software program se firmó digitalmente y se envió de forma automatizada a los clientes de Orion.

Múltiples sistemas de construcción y canalizaciones

Para asegurarse de que los atacantes no puedan llevar a cabo una travesura comparable, SolarWinds está viendo si puede diseñar sus sistemas de construcción de software y sus tuberías de manera un poco diferente.

En lugar de un único sistema de construcción en una sola ubicación, la compañía está considerando posiblemente ejecutar dos o tres sistemas de construcción paralelos a través de dos o tres cadenas de construcción paralelas. El objetivo es ver si SolarWinds puede establecer la integridad del software program a través de múltiples tuberías para evitar ataques a la cadena de suministro del tipo que experimentó hace unos meses, dice Ramakrishna. Un atacante tendría que tener razón tres veces diferentes, de manera idéntica, para poder realizar un ataque como el reciente con Orion. SolarWinds también ha implementado un algoritmo hash bidireccional para establecer aún más la integridad de su application.

La idea es llegar a un punto en el que los certificados de firma de código no sean la única forma de establecer la integridad del program. SolarWinds quiere «realmente construir un nivel de no repudio en el código para decir, &#39Suscribo y suscribo lo que estoy entregando&#39», dijo Ramakrishna.

Como parte del esfuerzo, SolarWinds también está implementando procesos para garantizar que su CISO tenga más independencia y autoridad. «Estamos creando una organización independiente para desarrollar ese nivel de capacidad y comodidad», dijo Ramakrishna. «Tener ese nivel de independencia, confianza y cobertura aérea es sumamente importante. De lo contrario, (la seguridad) se convierte en un elemento de costo y quedan marginados».

SolarWinds todavía está en el proceso de tratar de averiguar cómo el atacante, que se cree que es un actor sofisticado respaldado por el estado nacional, logró infiltrarse en el entorno de construcción de la empresa en primer lugar.

En un momento, los investigadores de incidentes tenían hasta 16 hipótesis diferentes de lo que podría haber sucedido. Ahora han reducido ese número a tres mediante un proceso de eliminación, pero aún no han podido reducirlo más.

Ramakrishna dijo que las tres teorías actuales son que los atacantes ingresaron a través de un ataque de spear-phishing muy dirigido o explotando una vulnerabilidad sin parchear en algún software program de terceros en ese momento o mediante un compromiso de credenciales.

Dijo que la evidencia disponible sugiere que el atacante detrás de la operación es muy sofisticado y altamente organizado.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique