Sudhakar Ramakrishna saß mit seiner Familie bei einem Geburtstagsessen, als er den Anruf erhielt: SolarWinds hatte einen groß angelegten Cyberangriff erlitten. Das Datum war der 12. Dezember 2020 und Ramakrishna sollte in wenigen Wochen CEO werden.
Das Ausmaß und die Schwere des Vorfalls waren nicht sofort erkennbar, eine Entscheidung musste jedoch noch getroffen werden. Würde er das Schiff verlassen, das unter der Führung des vorherigen Kapitäns ein Leck verursacht hatte, oder würde er sich einen Eimer schnappen und mit der Rettung beginnen?
Mehrere enge Vertraute rieten Ramakrishna zum Rücktritt, während andere meinten, dass seine Fähigkeiten und Erfahrungen im Bereich Cybersicherheit ihn zur idealen Person für die Leitung der Übernahme machten.
Obwohl es einige Zeit gedauert habe, über die Optionen nachzudenken, sei die Entscheidung, auf Kurs zu bleiben, letztendlich einfach gewesen, sagte Ramakrishna gegenüber TechRadar Pro. Dem Vorstand wurde gesagt, dass er nachgeben würde, wenn entschieden würde, dass SolarWinds von der Kontinuität profitieren würde, aber sie war anderer Meinung bereit, das Unternehmen durch die Krise zu führen.
In den folgenden Wochen begann Ramakrishna hinter den Kulissen mit dem Managementteam zusammenzuarbeiten. Die erste Priorität bestand darin, genau herauszufinden, was passiert ist und wie, und die zweite bestand darin, einen Aktionsplan zu formulieren, den SolarWinds seinen Kunden, Partnern und der Presse vorstellen konnte.
„Die Vorstellung, dass ein Anfall jedem passieren kann, hat sich immer weiter verbreitet, aber das entbindet Sie nicht von der Tatsache, dass es Ihnen passiert ist“, sagte er. „Jedes Unternehmen wird ein oder zwei Krisen erleben, aber es kommt darauf an, wie das Management reagiert.“
ein turbulenter Beginn
Der Angriff selbst hatte einige Monate zuvor, im September 2019, begonnen, als eine raffinierte Gruppe von Cyberkriminellen, die im Verdacht standen, Verbindungen zum russischen Staat zu haben, erstmals Zugang zum Netzwerk von SolarWinds erlangte.
Die Bedrohungsakteure zeigten bemerkenswerte Geduld, versteckten sich im Verborgenen und zeichneten gleichzeitig ein vollständiges Bild der Infrastruktur von SolarWinds und des Produktentwicklungsprozesses des Unternehmens.
Unter den verschiedenen Produkten von SolarWinds waren die Angreifer besonders an einem Dienst zur Überwachung der Computerleistung namens Orion interessiert, der privilegierten Zugriff auf Client-Systeme benötigt, um wie beabsichtigt zu funktionieren.
Nach ersten Tests schleusten Hacker irgendwann zwischen März und Juni 2020 einen Malware-Typ namens SUNBURST in ein Orion-Softwareupdate ein. Der giftige Patch wurde an etwa 18 SolarWinds-Kunden geliefert und ermöglichte Angreifern praktisch unbegrenzten Zugriff auf die Netzwerke von Regierungsbehörden und Sicherheit Unternehmen und multinationale Konzerne dabei.
„Sicherheitsthemen sind für die Branche nicht neu, aber jedes hat seine eigene Wendung und Bedeutung, und das war auf seine Weise wichtig“, sagte Ramakrishna.
„Die Kunst, mit der der Verstoß geschaffen wurde, war nicht trivial, es war ein Angriff auf die Lieferkette. Es handelt sich um ein bekanntes Sicherheitskonzept, das jedoch nicht gut praktiziert wird.
Was die Erkennung eines solchen Angriffs so schwierig macht, erklärt er, ist, dass der Bedrohungsakteur nur eine von Tausenden Dateien ändern muss, um einen Angriff durchzuführen, was zur Gefährdung einer Vielzahl von Zielen führt.
Am Ende entschied sich die Gruppe dafür, nur einen Teil der kompromittierten Organisationen zu infiltrieren, darunter Microsoft, Cisco, VMware, Intel und verschiedene US-Bundesbehörden, doch der Angriff wurde als einer der größten in der Geschichte beschrieben.
Als das Sicherheitsunternehmen FireEye SolarWinds auf den Vorfall aufmerksam machte, bei dem ungewöhnliche Aktivitäten in seinem eigenen Netzwerk festgestellt wurden, geriet das Unternehmen in den Krisenmodus. Und in diesem Klima betrat Ramakrishna an seinem ersten offiziellen Tag im Amt die Tore.
Doch während die Arbeitsmoral der Mitarbeiter wie erwartet war und Gespräche mit verärgerten Kunden oft schwierig waren, bot die Krise Ramakrishna zumindest eine Plattform, auf die er sich stützen konnte.
„In mancher Hinsicht ist es einfacher, mitten in einer Krise Veränderungen vorzunehmen“, sagte er uns. „Wenn alles perfekt ist, gibt es viel Widerstand, aber wenn ein Unternehmen unter Schock steht, sind die Menschen offen für neue Ideen.“
Am 7. Januar 2021 veröffentlichte Ramakrishna einen Blog-Beitrag, in dem er darlegte, was bisher über den Angriff bekannt geworden war, sofortige Schritte anbot, um Kunden bei der Bewältigung des Vorfalls zu helfen, und einen neuen Rahmen aufstellte, um zu verhindern, dass „ein ähnlicher Angriff in Zukunft nicht noch einmal passieren wird“. Zukunft.
Das Supply-Chain-Rätsel
Obwohl es SolarWinds in den letzten zwölf Monaten gelungen ist, sich zu erholen und die Kundenbindung nun wieder das Niveau vor dem Angriff erreicht hat, hatte der Vorfall schwerwiegende Auswirkungen auf das Geschäftsergebnis des Unternehmens.
Anstatt Ressourcen in die Produktentwicklung, den Vertrieb und die Nachfragegenerierung zu stecken, wie es ein normales Unternehmen tun würde, war das Unternehmen gezwungen, eine Kehrtwende vorzunehmen, da sein Ruf in Trümmern lag.
Ramakrishna und sein Managementteam teilten die Kundenliste auf und begannen, sich mit vielen von ihnen einzeln zu treffen, um sich zu entschuldigen und zu erklären, was passiert war, und um ihnen dabei zu helfen, festzustellen, ob ihre eigenen Netzwerke gehackt worden waren.
Er beschrieb es als einen sehr unangenehmen, aber wesentlichen Teil des „Heilungsprozesses“, der schließlich den Weg für eine Rückkehr zum normalen Geschäftsbetrieb ebnete.
Doch trotz der Konsequenzen für SolarWinds gibt es Hinweise darauf, dass die Cybersicherheitsbranche im Allgemeinen nicht die richtigen Lehren gezogen hat. Seit dem Angriff kam es zu einer Reihe ähnlicher, aufsehenerregender Vorfälle, darunter der Kaseya-Angriff, Log4j und vor Kurzem auch der Okta-Lapsus-Angriff.
Auf die Frage, warum es seiner Meinung nach weiterhin zu Angriffen auf die Lieferkette komme, erklärte Ramakrishna, dass die unzusammenhängende Natur der kollektiven Verteidigung dem Angreifer schon früh einen erheblichen Vorteil verschafft.
„Es ist nicht nur ein Technologieproblem, es gibt noch viel mehr“, sagte er. „Jeder von uns verteidigt sich gegen einen Angreifer. Aber auf der einen Seite gibt es eine koordinierte Armee mit einem einzigen Ziel, nämlich anzugreifen, und auf der anderen Seite eine Ansammlung fragmentierter Soldaten.
Ramakrishna kritisierte auch die Kultur der Opferbeschämung, die seiner Meinung nach dazu beiträgt, dass Unternehmen zögern, wichtige Informationen weiterzugeben.
„Die Opfer sind immer noch sehr beschämt, sodass Unternehmen am Ende oft Probleme lösen, ohne etwas darüber zu sagen. Es besteht definitiv eine Zurückhaltung, sich zu äußern“, sagte er uns.
„Im Falle eines Zwischenfalls ist es wichtig, Hilfe von der Gemeinschaft zu erhalten. Wir müssen die Menschen schneller auf die Probleme aufmerksam machen; Dieser Geisteszustand muss in der Softwaresicherheit vorherrschen.
Um zu verhindern, dass sich ein Lieferkettenangriff dieses Ausmaßes wiederholt, ist Ramakrishna außerdem der Ansicht, dass Unternehmen ein neues Sicherheitsrahmenwerk einführen müssen, das er „Secure by Design“ nennt.
Das Modell besteht aus drei Komponenten: Infrastruktursicherheit, Gebäudesystemsicherheit und das Design des Gebäudesystems selbst. Die allgemeine Idee besteht jedoch darin, die Angriffsfläche ständig zu ändern, um dem Angreifer kein festes Ziel zu bieten und das Zeitfenster der Gelegenheit zu minimieren.
Mit diesem Ziel vor Augen hat SolarWinds ein „Parallel-Build-System“ geschaffen, bei dem seine Software an drei separaten Orten erstellt wird, die dynamisch geändert werden können. Das Ergebnis jedes einzelnen Builds wird dann mit den anderen verglichen, um etwaige Inkonsistenzen zu beseitigen, die auf einen Angriff hinweisen könnten.
Um erfolgreich in eine Rezension einzudringen, müsste ein Eindringling drei Angriffe gleichzeitig, genau zur gleichen Zeit und mit genau derselben Technik starten.
„Das ist selbst für den hartnäckigsten Cyberkriminellen eine sehr schwierige Sache“, sagte Ramakrishna.
Der neue Look von SolarWinds
Ironischerweise wurde vermutet, dass SolarWinds mittlerweile als das sicherste Unternehmen der Welt gelten könnte. Schließlich wurde keine andere Organisation seit der Entdeckung des Angriffs einer so strengen Prüfung unterzogen.
Ramakrisha lehnte es ab, sich dazu zu äußern, ob er glaubte, dass die Charakterisierung richtig sei, sagte aber, dass das Unternehmen „entschlossen sei, dies zu verwirklichen“.
Im Rahmen seines sicheren Designs wird SolarWinds nun versuchen, auf seiner IT-Überwachungsgrundlage aufzubauen und sich zu einem Unternehmen zu entwickeln, das die hybriden Anforderungen der Kunden sowohl in der Cloud als auch vor Ort unterstützen kann.
Ramakrishna versprach ein höheres Maß an Automatisierung und überlegene Anzeige- und Korrekturmöglichkeiten, die zusammen dazu beitragen werden, die durch die digitale Transformation verursachten Probleme zu lösen. Das Ziel bestehe darin, „die Komplexität zu reduzieren, die Produktivität zu verbessern und die Kosten für die Kunden zu senken“, wurde uns gesagt.
Jetzt, da die ersten Sonnenstrahlen die über dem Unternehmen hängenden Wolken durchbrechen, ist Ramakrishna bestrebt, sich auf diese Kernziele zu konzentrieren. Doch als unser Gespräch zu Ende ging, nahm er sich auch einen Moment Zeit, um vor Selbstzufriedenheit zu warnen:
„Kein Unternehmen, was auch immer es tut, sollte glauben, es sei immun gegen Angriffe, denn das ist falsch“, sagte er.