El ataque SolarWinds nos hace desconfiar del software que compramos


El experto en seguridad dice que, dado que no podemos inspeccionar el funcionamiento interno del software package que compramos, estamos a merced de las prácticas de seguridad de las empresas de software.

Karen Roby de TechRepublic habló con Manish Gupta, fundador y CEO de ShiftLeft, una compañía de application de análisis de código, sobre el ataque SolarWinds y su efecto en la ciberseguridad. La siguiente es una transcripción editada de su conversación.

Karen Roby: Manish, has estado en seguridad durante mucho tiempo. Y el ataque SolarWinds es uno del que hemos escuchado mucho, por supuesto, toda esta información que sale sobre tal vez cómo sucedió, por qué sucedió, ¿qué podemos aprender de él? Como experto en seguridad, cuando observa lo que sucedió, ¿cómo puede reducir esto a lo que salió mal y por qué es tan importante?

VER: Política de protección contra robo de identidad (TechRepublic High quality)

Manish Gupta: Mire, el software package está impulsando la innovación a nuestro alrededor. Confiamos implícitamente en nuestro software package como en el suministro de agua. Tanto los consumidores como las empresas tienen una capacidad limitada para inspeccionar el program. Las actualizaciones de computer software realizadas por nuestros proveedores de computer software. Por lo tanto, una vez que comenzamos a usar el software package, confiamos implícitamente en él para recibir actualizaciones para que podamos continuar obteniendo nuevas funciones. Supongo, por ejemplo, que si united states un teléfono, un teléfono inteligente, descarga aplicaciones y luego solo en segundo plano permite que estas aplicaciones se actualicen. Pero el ataque SolarWinds fue novedoso porque los atacantes infectaron el mismo software package en el que confiamos. Las mismas descargas que permitimos implícitamente que realicen nuestros proveedores de software program. Y ese software package se convirtió en una forma de robar información confidencial. La clave es desconocida tanto para el software como para los clientes que lo utilizan. Este abuso de confianza en el software package es enorme porque el program controla todo lo que nos rodea. Y la historia también nos enseña que una vez que los atacantes de los Estados-nación nos muestran el arte de lo posible, las técnicas de ataque, que hoy parecen sofisticadas, son aprovechadas por atacantes menos inteligentes y con menos recursos motivados por ganancias financieras.

Karen Roby: Cuando miramos este ataque en distinct, SolarWinds tiene muchos clientes de alto perfil. Esta información de miles y miles de personas fue atacada. Desafortunadamente, creo que mucha gente se entera de las infracciones y los ataques y dice: «Bueno, hay otro». Es muy preocupante la frecuencia con la que lo escuchamos y, ciertamente, a esta escala.

Manish Gupta: De hecho, es. Hemos hablado con algunos de los clientes de SolarWinds. Como mencioné anteriormente, debido a la confianza implícita que depositamos y lo que quizás empeora el problema es si, por ejemplo, nosotros, como consumidores o empresas empresariales, cuando descargamos software, cuando compramos software program de un tercero, hay un Tenemos una capacidad muy limitada para inspeccionar lo que hay en ese application. Y el desafío es que con la integración continua moderna, la implementación continua, el ritmo del desarrollo de application es cada vez mayor, lo que hace que el problema sea aún peor porque cualquier cambio, cualquier cambio de los 100 cambios que quizás se estén realizando en un día determinado. podría provenir de un pirata informático potencial. Entonces, ¿cómo podemos diferenciar entre un cambio que se hizo legítimamente o no? E incluso las empresas que están escribiendo el software no tienen esta capacidad en la actualidad, y mucho menos sus clientes, que en gran medida obtienen una caja negra.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Karen Roby: ¿Qué tiene que pasar, Manish? Cuando se habla de los piratas informáticos al otro lado de esto, son muy sofisticados, saben lo que están haciendo y encuentran vulnerabilidades y entran. Pero la gente del otro lado a menudo son simplemente personas comunes que son victimizadas cuando su se roba información o lo que sea. Así que hay un nivel de confianza en el medio que simplemente damos por sentado. Lo que debe suceder para que no suceda otro SolarWinds.

Manish Gupta: De hecho, una gran pregunta, Karen. Lo primero es, mire, como industria de la seguridad, industria de la ciberseguridad, estamos luchando con este problema. Hemos estado utilizando durante las últimas dos décadas todo tipo de tecnologías de redes y terminales como FireEye y CrowdStrike para detectar el malware. Y deberíamos. Pero una parte clave de este ataque por primera vez, como comentamos, fue que los atacantes plantaron código malicioso en el program mismo. Por ejemplo, gastamos alrededor de $ 30 mil millones al año en tecnologías de redes y terminales para proteger el perímetro. Y seguimos siendo violados constantemente. Entonces, ¿dónde está la indignación? ¿Dónde aparece la pregunta como, «Ya es suficiente». El mismo software package que desarrollamos que impulsa la innovación a nuestro alrededor, por cierto, ¿sabías que gastamos alrededor de mil millones de dólares al año en encontrar y corregir vulnerabilidades?

(Eso es) $ 1 mil millones al año en relación con $ 30 mil millones que solo estamos tratando de proteger el perímetro, sabiendo muy bien que es bastante trivial para los atacantes romper el perímetro. Una vez que han traspasado el perímetro, son esencialmente un empleado suyo, un desarrollador de software program, y tenemos que mejorar. Tenemos que darnos cuenta de esto, de lo contrario, el mundo se vulcanizará cada vez más. Estados Unidos, Estados Unidos tiene más que perder. Y no podemos seguir diciendo: «Sí, vamos a seguir protegiendo el perímetro y dejar que entren otras naciones y seguir robando lo que hemos tardado años y décadas en desarrollar».

Karen Roby: Seguramente. Y como dijiste, ¿dónde está la indignación? ¿Están insensibles a eso? No lo entienden. Creo que muchas veces, en lo que respecta a la preocupación, la indignación, ¿dónde crees que están las personas que están en posiciones de poder, ya sean funcionarios del gobierno, personas que realmente pueden marcar la diferencia y hacer sonar la alarma? ¿Dónde están? ¿Cuál es el temperamento de ese grupo?

VER: Política de respuesta a incidentes (TechRepublic Quality)

Manish Gupta: Lo bueno es que cada vez que sucede algo como esto, una de las primeras cosas que escuchamos es: «Oh, sí. Una vez que las empresas son violadas, deberían compartir esa información». Y eso es genial. Justo el otro día, sin nombrar nombres, estaba leyendo un artículo de un typical retirado que decía: «Ha ocurrido un ataque identical a SolarWinds entre varias agencias gubernamentales. Sin embargo, no sabemos nada de ellos». Y saber es claro, reconocer que esto ha sucedido es el primer paso, porque permite que el consumidor medio, una empresa de ciberseguridad, sea consciente de la magnitud del problema. Pero, genial, ahora somos muy conscientes de la magnitud del problema, que todos deberíamos ser, que estamos al tanto. Entonces, la siguiente parte es ¿cómo podemos mejorar en la búsqueda y reparación de vulnerabilidades, que es la causa subyacente de la mayoría de las infracciones?

Me doy cuenta de que este es un problema no trivial porque, si bien tenemos el conocimiento de las últimas dos décadas que nos enseña cómo detectar vulnerabilidades en el application, no tenemos conocimiento previo de cómo detectar código malicioso en el application. Pero aquí es donde en ShiftLeft hemos innovado. Y tenemos una oferta que llamamos Illuminate. La innovación clave que hemos tenido es darnos cuenta de que el atacante es el mismo atacante que solía realizar los ataques dirigidos tradicionales. Pero por primera vez, el vector de ataque ha cambiado. Se ha convertido en application. Entonces, cuando probamos esta hipótesis, porque tenemos muchos, muchos años de conocimiento de los TTP del atacante que significan Tácticas, Técnicas y Procedimientos. Si aprovechamos este conocimiento para buscar estos elementos en el código fuente, tendremos éxito. En ShiftLeft podemos demostrar que al usar nuestra tecnología única, que se llama gráfico de propiedades del código, podemos encontrar múltiples elementos individuales de la cadena de eliminación del ataque y unirlos para mostrar que se trata de un ataque interno.

Karen Roby: Cuando miras las perspectivas para, digamos, los próximos dos años, esperamos que las cosas mejoren. Hemos vivido en mucha negatividad, Manish, el año pasado con todo lo que sucedió debido a la pandemia, así que una especie de pensamientos finales aquí. ¿Sientes que un cambio está, puede, sucederá o estamos atrapados en un mal ciclo?

Manish Gupta: Soy un eterno optimista. Soy emprendedor, me encanta abordar problemas difíciles. Creo que una de las razones clave por las que la gente se está dando cuenta es que si tomamos una empresa de software moderna, digamos una empresa de program como servicio, SaaS, el 100% de sus ingresos proviene del computer software que aloja en la nube. Por lo tanto, no hay nada más importante que proteger. Hace cinco años, cuando comencé esta empresa, la llamamos ShiftLeft porque queríamos centrarnos en, en lugar de implementar constantemente tecnologías reactivas como redes, puntos finales, and many others., que debemos cambiar a la izquierda. Necesitamos empezar a mejorar en la búsqueda y reparación de vulnerabilidades. Hace cinco años nadie había oído hablar del término cambio a la izquierda. Dentro de cinco años, se ha convertido en una especie de mejor práctica de la industria que la mayoría de las empresas están planificando o planificando.

Ver también

Ciberataque SolarWinds

Karen Roby de TechRepublic habló con Manish Gupta, fundador y CEO de ShiftLeft, una compañía de computer software de análisis de código, sobre el ataque SolarWinds y su efecto en la ciberseguridad.

Imagen: Mackenzie Burke



Enlace a la noticia initial