סולארווינדס מאמצת מתודולוגיית Secure by Design לפיתוח והפצת מוצרים
סודהאקאר ראמאקרישנה, המנכ"ל של סולארווינדס (SolarWinds), נכנס לתפקידו בתחילת השנה, זמן קצר לאחר שהתפרסם דבר המתקפה של ישות מדינתית רבת עוצמה על שרשרת הפצת עדכוני התוכנה של החברה. למנכ"ל סולארווינדס, מנהל ותיק ועתיר ניסיון בתעשיית ה-IT העולמית, היה ברור שהחברה חייבת לשנות כיוון בנוגע לאבטחת מוצריה, עדכוני תוכנה ודרכי הפצתה.
את המתקפה שספגה החברה הוא תיאר בראיונות לתקשורת כ"ניצול הזדמנות בשבריר שנייה, כזה שיכול היה להתרחש לכל חברה אחרת בתעשייה, ונוצל על ידי מקצוענים שיש להם גיבוי של מדינה מאחוריהם". את שבריר השנייה הזה הורה ראמאקרישנה למנוע בכל מחיר, ולאמץ מתודולוגיית Secure by Design לאורך כל שלבי הפיתוח וההפצה של פורטפוליו מוצרי החברה.
החל מאיפוס ומתן הרשאות חדשות למשתמשי-על במערכות הארגוניות, המשך בהקמה מחדש של אישורים דיגיטליים ועד בדיקת קוד המקור באמצעות בודקים אנושיים ופריסה של יותר תוכנות לאיתור איומים – הנה חמשת השינויים הקריטיים שמנכ"ל סולארווינדס הורה לבצע כדי להגן מהבסיס על החברה, מוצריה ולקוחותיה:
למנף כלי צד שלישי, ו"האקרים לבנים" לביקורת
ראמאקרישנה הורה כי סולארווינדס תמנף ותעשה שימוש בכלי צד שלישי, כדי להרחיב את אנליזת אבטחת המידע של קוד המקור עבור תוכנת אוריון (Orion) כמו גם מוצרים נוספים. החברה גם התחייבה לממן ולהתקשר עם "האקרים לבנים", על מנת לזהות במהירות, לדווח ולתקן בעיות אבטחת מידע לאורך כלל פורטפוליו המוצרים של החברה.
ניהול הדוק של החולשות ובדיקות חדירה לארגון
סולארווינדס הרחיבה את מערך ניהול החולשות במערכות הארגוניות, על מנת להפחית את הזמן הממוצע עד לביצוע הטלאה שלהן. החברה גם מתכננת לבצע בדיקות חדירה מקיפות של מוצרי אוריון ומוצרים קשורים נוספים, על מנת לאתר בעיות במידה שקיימות, ואשר יטופלו בדחיפות.
לשמור על האבטחה והשלמות של תוכנות סולארווינדס
סולארווינדס מוסיפה בדיקות אוטומטיות וידניות, על מנת להבטיח שגרסאות מקומפלות זהות לקוד המקור של החברה. החברה גם מבצעת רישום מחדש לאישורים הדיגיטליים של כלל תוכנות פלטפורמת אוריון ומוצרים נוספים של החברה.
הנוזקה שהוכנסה לתוכנות החברה לא שולבה בה בגרסת קוד המקור, אלא הוכנסה בשלב בניית עדכון התוכנה, כך חשפה סולארווינדס בדצמבר אשתקד, ונראה שהנוזקה לא הוכנסה למוצרים נוספים.
לחזק את סביבות הפיתוח
החברה עורכת תהליך מתמשך של ניתוח פורנזי של סביבות פיתוח המוצר, על מנת לאתר את הסיבות המהותיות לפריצה, ולבצע צעדי תיקון. החברה גם מתכננת לעבור לסביבת פיתוח חדשה, שתאפשר בקרת גישה הדוקה יותר, ולפרוס מנגנונים שיאפשרו ליצור גרסאות הפצה ממספר רב של מקורות פיתוח.
הגנה טובה יותר על הסביבות הפנימיות של החברה
סולארווינדס מתכננת לתעדף את ההגנה על הסביבות הפנימיות שלה, כנדבך מרכזי בתורת הפעולה של החברה מכאן ואילך. בתור התחלה, החברה תעביר נקודות גישה מרוחקות, המספקות כניסה לרשת הארגונית ולאפליקציות של החברה, לשימוש בטכנולוגיית אותנטיקציה מרובת פקטורים. החברה גם מתכננת לאפס ולספק הרשאות מחדש לכל המשתמשים במטה החברה ובגופי פיתוח המוצר. זה כולל איפוס והרשאות חדשות למשתמשי-על ולמשתמשים העוסקים והקשורים לבניית גרסאות ההפצה של עדכוני התוכנה המופצים לפלטפורמת אוריון ומוצרים נוספים.
עוד מבצעת החברה פריסה של תוכנות הגנה ואיתור איומים בכל נקודות הקצה של הרשת הארגונית, עם דגש מיוחד על סביבות הפיתוח. כך לדוגמה, החברה הטמיעה את פתרון CrowdStrike Falcon להגנה על כלל נקודות הקצה הארגוניות כדי להבטיח שהמערכות הפנימיות שלה מאובטחות בעקבות מתקפת הסייבר נגד החברה.
לפרטים נוספים היכנסו לקישור הבא.
