Cómo la comunidad de código abierto ayudó a las empresas a investigar la actividad de su red después de SolarWinds


La comunidad de código abierto brindó ayuda vital a las empresas afectadas por el ataque SolarWinds.

CONCEPTO DE CÓDIGO ABIERTO

Imagen: Getty Visuals / iStockphoto

Las ramificaciones del ataque SolarWinds aún se están desarrollando más de cuatro meses desde que se revelaron al público las infracciones. Una faceta subestimada del amplio escándalo que ha afectado a gran parte del gobierno de EE. UU. Y a cientos de importantes empresas es el poderoso papel que desempeñó la comunidad de código abierto para ayudar a las empresas a responder a la crisis, según Greg Bell, cofundador y CSO de empresa de ciberseguridad Corelight.

«Lo que sucedió con el malware Sunburst es que cuando FireEye / Mandiant descubrió el ataque e hizo este tipo de divulgación increíblemente detallada, publicaron información sobre el ataque, los llamados indicadores de compromiso, en formatos abiertos en GitHub, la plataforma donde se encuentran las herramientas de código abierto. se construyen y donde se comparte la información «, dijo Bell.

«Las empresas que participan en ese ecosistema pudieron tomar esos indicadores y comercializarlos rápidamente y llevarlos a sus clientes. Y entonces vieron a esta comunidad world wide de defensores actuando como una sola. Manidiant hace sonar la alarma, apaga los indicadores y otras empresas son capaces de aprovecharlos y entregarlos muy rápidamente «.

VER: El campeón de código abierto Munich regresa a Home windows (PDF gratuito) (TechRepublic Top quality)

Bell dijo que la disaster reveló a muchas firmas de ciberseguridad que la comunidad es más fuerte cuando se usan interfaces y estándares de código abierto para mejorar las capacidades defensivas de todos.

Notó que FireEye incluso llamó a CoreLight específicamente sobre cómo sus herramientas de análisis de purple ayudaron a su equipo a investigar el ataque y descubrir qué salió mal.

Es difícil, y probablemente imposible, detectar ataques altamente entrenados como este por adelantado, pero utilizando datos de alta calidad de herramientas de código abierto, FireEye pudo reconstruir lo que sucedió de manera forense.

Más tarde, FireEye publicó casi todo lo que sabían sobre el ataque y lo puso en GitHub, confiando en varios formatos abiertos para describir el ataque, según Bell. La empresa transformó la información que obtuvieron al examinar el ataque para crear indicadores abiertos y escritos en formatos estándar.

«Casi instantáneamente después de que se publicó la publicación del website, los indicadores se apagaron y las empresas consumieron esos datos, lo que generó una especie de prisa world wide para ver qué podíamos hacer rápidamente. Algunas empresas eran lo suficientemente maduras como para poder tomar esos indicadores directamente. muchas organizaciones no son tan sofisticadas, por lo que necesitaban otra empresa, un proveedor, que tomara esos indicadores y los entregara a los productos. Ese ecosistema de estándares abiertos, datos abiertos y una plataforma como GitHub para compartir de manera abierta tuvo un gran impacto «. Dijo Bell.

«Si no tuviéramos ese ecosistema, creo que la respuesta worldwide habría sido más lenta porque FireEye no habría podido compartir con tantos detalles tan fácilmente y propagar esa información «.

Bell dijo que esta instancia más reciente de cooperación es solo el más noteworthy de muchos ejemplos de empresas de seguridad y nube que unen fuerzas para abordar las vulnerabilidades y desarrollar indicadores para detectar un ataque.

VER: Guía de Git para profesionales de TI (PDF gratuito) (TechRepublic)

Bell agregó que el código abierto es «un ingrediente muy útil» en el proceso porque proporciona plataformas y estándares neutrales, eliminando cualquier preocupación de que los indicadores de ataque, teóricamente, vengan en «formato FireEye» u otra cosa ilegible para otros.

«Hay una lengua franca neutral en la que todos podemos estar de acuerdo. Ningún idioma es perfecto, pero es lo suficientemente expresivo como para comunicar cuáles son los indicadores del ataque y tomar medidas de forma independiente», dijo Bell.

«La mayoría de las empresas no tienen los recursos de un estado-nación y esta es una forma en que podemos combatir esa asimetría, uniendo a los defensores en una comunidad. Ese es uno de los grandes poderes del código abierto».

El objetivo, reiteró Bell, no es prevenir el próximo ataque de este tipo, sino hacer un mejor trabajo al recopilar datos en tiempo actual y crear una especie de sistema de alarma para que cuando ocurra algo sospechoso, la gente pueda compartir su preocupación.

«La solución correcta son las estructuras de defensa comunitarias y colectivas, que está en el espíritu del código abierto», dijo Bell.

Roy Horev, cofundador y director de tecnología del proveedor de orquestación de remediación de vulnerabilidades Vulcan Cyber, se hizo eco de los comentarios de Bell y dijo en una entrevista que el hack de SolarWinds period mucho más grande y mucho más matizado que una sola vulnerabilidad que necesitaba ser reparada o una cadena de suministro. puerta que necesitaba ser asegurada.

En este caso, se aprovecharon las fallas tanto en el código de fuente abierto como en el propietario, explicó Horev.

«Para arreglar SunBurst se requiere un esfuerzo coordinado entre una comunidad de código abierto masiva y dispuesta y los proveedores de software de código cerrado», dijo Horev. «Las prácticas de desarrollo de software package de código abierto han sido y serán de gran ayuda, pero no ha habido mejor momento para que los campamentos de desarrollo de software program comercial y de código abierto unan fuerzas y se solucionen».

En una entrevista, el CEO de RiskRecon, Kelly White, agregó que la inteligencia de código abierto se está volviendo más importante porque las empresas se han vuelto muy complejas, con complicadas redes de departamentos, empresas, proveedores y socios que son sistemas operativos y servicios en su nombre.

White dijo que para comprender el riesgo asociado con algo como SolarWinds, «realmente se necesita inteligencia de código abierto para estar al tanto, comprender y administrar su exposición al riesgo».

RiskRecon ayuda a las organizaciones a gestionar la realidad de riesgo de ecosistemas de TI cada vez más interconectados mediante la entrega de medidas de rendimiento de seguridad procesables, según White, colocándolas justo en el nexo de lo que sucedió con SolarWinds.

«En el caso de SolarWinds, hay muchas formas en que la inteligencia de código abierto ha ayudado a las organizaciones. Ayudó a identificar el compromiso o la exposición de la propia red de una empresa y ayudó a comprender su exposición en lo que respecta al ecosistema más amplio de proveedores y socios de los que dependen, «Dijo White.

«RiskRecon monitorea el tráfico DNS de World-wide-web y, por lo tanto, a través de nuestro análisis de alrededor de 150.000 comunicaciones de servidor de comando y regulate, pudimos identificar 129 empresas que estaban activamente señalizadas para handle remoto a la infraestructura de comando y manage de SolarWinds».

White dijo que la compañía desarrolló la lista de 129 compañías y en algunos casos compartió la información directamente con la compañía si conocían a alguien allí. Para las empresas donde no tenían un contacto, enviaron la lista completa a una organización sin fines de lucro que podría notificar y ayudar a las empresas que se habían visto comprometidas.

White señaló que su lista incluía una división de las Naciones Unidas, un importante fabricante de automóviles eléctricos, un contratista de defensa estadounidense y otras empresas. Incluso proporcionaron la lista a sus propios clientes para que, si están haciendo negocios con alguna de las empresas afectadas, estuvieran al tanto y pudieran comunicarse con ellos mismos.

Utilizando inteligencia de código abierto, RiskRecon también pudo escanear continuamente todo Net e identificar algunas de las aplicaciones y la tecnología que utilizan ciertas empresas, dándoles pistas para saber quién estaba operando la tecnología SolarWinds Orion. Eso les permitió notificar a otras empresas que habían sido violadas.

«Toda esta información se reúne para ayudar a las organizaciones a comprender esta pregunta clave: ¿cuál es mi exposición a SolarWinds? ¿Qué debo hacer al respecto? Debido a la velocidad y complejidad de las empresas y sus ecosistemas interconectados de cientos y a veces miles de socios, que la inteligencia de código abierto se está convirtiendo realmente en una forma principal de comprender su riesgo «, dijo White.

«Las empresas operan en este ecosistema realmente grande y complejo y, para gestionar su riesgo, deben hacerlo para su propia empresa, pero también para los proveedores y socios de los que dependen. La inteligencia de código abierto permite a las empresas comprender ese riesgo mayor y colaborar juntos para compartir esta información, esta inteligencia entre sí y para mejorar la postura de seguridad common de todas las organizaciones «.

Ver también





Enlace a la noticia initial