Sudhakar Ramakrishna saß mit seiner Familie bei einem Geburtstagsessen, als er den Anruf erhielt: SolarWinds hatte einen groß angelegten Cyberangriff erlitten. Das Datum war der 12. Dezember 2020, und Ramakrishna sollte in wenigen Wochen CEO werden.

Das Ausmaß und die Schwere des Vorfalls waren nicht sofort ersichtlich, aber eine Entscheidung musste noch getroffen werden. Würde er das Schiff verlassen, das unter der Führung des vorherigen Kapitäns ein Leck verursacht hatte, oder würde er sich einen Eimer schnappen und anfangen, ihn zu retten?

Mehrere enge Vertraute rieten Ramakrishna, zurückzutreten, während andere meinten, seine Fähigkeiten und Erfahrungen im Bereich Cybersicherheit machten ihn zur idealen Person für den Vorsitz bei der Übernahme.

Obwohl er sich Zeit nahm, seine Optionen abzuwägen, war die Entscheidung, den Kurs beizubehalten, letztendlich einfach, sagte Ramakrishna gegenüber TechRadar Pro. Dem Vorstand wurde gesagt, dass er einen Rückzieher machen würde, wenn entschieden würde, dass SolarWinds von der Kontinuität profitieren würde, aber ansonsten war sie dazu bereit führen das Unternehmen durch die Krise.

In den folgenden Wochen begann Ramakrishna hinter den Kulissen mit dem Managementteam zusammenzuarbeiten. Die erste Priorität bestand darin, genau herauszufinden, was passiert ist und wie, und die zweite darin, einen Aktionsplan zu formulieren, den SolarWinds seinen Kunden, Partnern und der Presse vorlegen kann.

„Die Vorstellung, dass ein Angriff jedem passieren kann, ist immer häufiger anzutreffen, aber das entbindet Sie nicht von der Tatsache, dass es Ihnen passiert ist“, sagte er. „Jedes Unternehmen wird eine oder zwei Krisen erleben, aber was zählt, ist, wie das Management reagiert.“

Sudhakar Ramakrishna, CEO von SolarWinds. (Bildnachweis: Sonnenwinde)

Ein turbulenter Auftakt

Der Angriff selbst hatte einige Monate zuvor begonnen, im September 2019, als eine raffinierte Gruppe von Cyberkriminellen, die im Verdacht standen, Verbindungen zum russischen Staat zu haben, erstmals Zugang zum SolarWinds-Netzwerk erlangte.

Bedrohungsakteure zeigten bemerkenswerte Geduld, versteckten sich vor aller Augen und zeichneten ein vollständiges Bild der SolarWinds-Infrastruktur und des Produktentwicklungsprozesses des Unternehmens.

Unter den verschiedenen SolarWinds-Produkten interessierten sich die Angreifer besonders für einen Dienst zur Überwachung der Computerleistung namens Orion, der privilegierten Zugriff auf Client-Systeme benötigt, um wie beabsichtigt zu funktionieren.

Nach einem ersten Test injizierten Hacker irgendwann zwischen März und Juni 2020 einen Malware-Stamm namens SUNBURST in ein Orion-Software-Update. Der giftige Patch wurde an etwa 18 SolarWinds-Kunden geliefert und verschaffte Angreifern praktisch unbegrenzten Zugriff auf die Netzwerke von Regierungsbehörden und Sicherheitsunternehmen , und multinationale Unternehmen in den Prozess.

„Die Branche ist nicht neu in Sicherheitsfragen, aber jede hat ihre eigene Wendung und Bedeutung, und das war auf ihre eigene Weise wichtig“, sagte Ramakrishna.

„Die Kunst, die verwendet wurde, um den Verstoß zu schaffen, war nicht trivial, es war ein Angriff auf die Lieferkette. Es ist ein bekanntes Sicherheitskonzept, aber es wird nicht gut praktiziert.

Sicherheit

(Bildnachweis: Shutterstock/Song_about_summer)

Was einen solchen Angriff so schwer zu erkennen macht, erklärt er, ist, dass der Angreifer nur eine von Tausenden von Dateien ändern muss, um einen Angriff durchzuführen, was zur Kompromittierung einer großen Anzahl von Zielen führt.

Am Ende entschied sich die Gruppe dafür, nur einen Teil der kompromittierten Organisationen zu infiltrieren, darunter Microsoft, Cisco, VMware, Intel und verschiedene US-Bundesbehörden, aber der Angriff wurde als einer der größten in der Geschichte beschrieben.

Als die Sicherheitsfirma FireEye SolarWinds auf den Vorfall aufmerksam machte, der ungewöhnliche Aktivitäten im eigenen Netzwerk festgestellt hatte, ging das Unternehmen in den Krisenmodus. Und in diesem Klima ging Ramakrishna an seinem ersten offiziellen Tag als Verantwortlicher durch die Tore.

Doch während die Moral der Mitarbeiter erwartungsgemäß war und Gespräche mit verärgerten Kunden oft schwierig waren, bot die Krise Ramakrishna zumindest eine Plattform, auf die er sich stützen konnte.

„In gewisser Weise ist es einfacher, mitten in einer Krise Änderungen vorzunehmen“, sagte er uns. „Wenn alles perfekt ist, gibt es viele Widerstände, aber wenn ein Unternehmen in einer Schockstarre ist, sind die Leute offen für neue Ideen.“

Am 7. Januar 2021 veröffentlichte Ramakrishna einen Blog-Beitrag, in dem er darlegte, was bisher über den Angriff gelernt wurde, Sofortmaßnahmen anbot, um Kunden bei der Bewältigung des Vorfalls zu helfen, und einen neuen Rahmen vorlegte, um zu verhindern, dass „ein ähnlicher Angriff in der Zukunft nicht mehr vorkommen wird Zukunft.

Das Supply-Chain-Puzzle

Obwohl es SolarWinds gelungen ist, sich in den letzten zwölf Monaten zu erholen, und die Kundenbindung nun wieder auf das Niveau vor dem Angriff zurückkehrt, hatte der Vorfall schwerwiegende Auswirkungen auf das Ergebnis des Unternehmens.

Anstatt wie ein normales Unternehmen Ressourcen in die Produktentwicklung, den Vertrieb und die Nachfragegenerierung zu stecken, war das Unternehmen gezwungen, sich umzudrehen, da sein Ruf in Trümmern lag.

Ramakrishna und sein Managementteam teilten die Kundenliste auf und begannen, sich mit vielen von ihnen einzeln zu treffen, um sich zu entschuldigen und zu erklären, was passiert war, und um ihnen dabei zu helfen, festzustellen, ob ihre eigenen Netzwerke gehackt worden waren.

Er beschrieb es als einen sehr unangenehmen, aber wesentlichen Teil des "Heilungsprozesses", der schließlich den Weg für eine Rückkehr zum normalen Geschäftsbetrieb ebnete.

Doch trotz der Folgen für SolarWinds gibt es Hinweise darauf, dass die Cybersicherheitsbranche insgesamt nicht die richtigen Lehren gezogen hat. Seit dem Angriff gab es eine Reihe ähnlich hochkarätiger Vorfälle, wie den Kaseya-Angriff, Log4j und sogar in jüngerer Zeit die Sicherheitsverletzung Okta-Lapsus€.

Auf die Frage, warum seiner Meinung nach immer wieder Angriffe auf die Lieferkette stattfinden, erklärte Ramakrishna, dass die unzusammenhängende Natur der kollektiven Verteidigung dem Angreifer von Anfang an einen erheblichen Vorteil verschafft.

„Es ist nicht nur ein technologisches Problem, es steckt noch viel mehr dahinter“, sagte er. „Jeder von uns verteidigt sich gegen einen Angreifer. Aber auf der einen Seite gibt es eine koordinierte Armee mit einem einzigen Ziel, anzugreifen, und auf der anderen Seite eine Ansammlung fragmentierter Soldaten.

Sudhakar Ramakrishna

(Bildnachweis: Sonnenwinde)

Ramakrishna kritisierte auch die Kultur der Opferbeschämung, die seiner Meinung nach dazu beiträgt, dass Unternehmen wichtige Informationen nicht weitergeben.

„Für die Opfer gibt es immer noch viel Scham, so dass Unternehmen am Ende oft Probleme lösen, ohne etwas darüber zu sagen. Es gibt definitiv eine Zurückhaltung beim Reden", sagte er uns.

„Im Falle eines Vorfalls ist es wichtig, Hilfe von der Community zu erhalten. Wir müssen die Menschen schneller auf die Probleme aufmerksam machen; Diese Geisteshaltung sollte in der Softwaresicherheit vorherrschen.

Um zu verhindern, dass sich ein Angriff auf die Lieferkette dieser Größenordnung wiederholt, ist Ramakrishna auch der Ansicht, dass Unternehmen ein neues Sicherheitssystem einführen müssen, das er „Secure by Design“ nennt.

Das Modell besteht aus drei Komponenten: Infrastruktursicherheit, Gebäudesystemsicherheit und das Design des Gebäudesystems selbst. Aber die allgemeine Idee ist, die Angriffsfläche immer wieder zu ändern, um dem Angreifer kein festes Ziel zu bieten und das Zeitfenster zu minimieren.

Mit diesem Ziel vor Augen hat SolarWinds ein „paralleles Build-System“ geschaffen, in dem seine Software an drei separaten Orten erstellt wird, die dynamisch geändert werden können. Das Ergebnis jedes einzelnen Builds wird dann mit den anderen verglichen, um alle Inkonsistenzen zu beseitigen, die einen Angriff verraten könnten.

Um einen Patch erfolgreich zu infiltrieren, müsste ein Angreifer drei Angriffe gleichzeitig, genau zur gleichen Zeit und mit genau derselben Technik starten.

„Selbst für den hartnäckigsten Cyberkriminellen ist das eine sehr schwierige Sache“, sagte Ramakrishna.

Der neue Look von SolarWinds

Ironischerweise wurde behauptet, dass SolarWinds nun als das sicherste Unternehmen der Welt gelten könnte. Schließlich wurde keine andere Organisation seit der Entdeckung des Angriffs so genau untersucht.

Ramakrisha lehnte es ab, sich dazu zu äußern, ob er glaubte, dass die Charakterisierung korrekt sei oder nicht, sagte aber, dass das Unternehmen „entschlossen sei, dies zu verwirklichen“.

SolarWinds arbeitet innerhalb seines sicheren Designs und wird nun versuchen, auf seiner Grundlage für die IT-Überwachung aufzubauen und sich zu einem Unternehmen zu entwickeln, das die hybriden Anforderungen der Kunden sowohl in der Cloud als auch vor Ort unterstützen kann.

Ramakrishna versprach ein höheres Maß an Automatisierung und überlegene Visualisierungs- und Korrekturmöglichkeiten, die zusammen dazu beitragen werden, die Art von Problemen zu lösen, die durch die digitale Transformation entstehen. Das Ziel sei es, „Komplexität zu reduzieren, Produktivität zu verbessern und Kosten zu senken“ für die Kunden, sagten sie uns.

Jetzt, da einige Sonnenstrahlen durch die Wolke zu brechen beginnen, die über dem Unternehmen hängt, ist Ramakrishna bestrebt, sich auf diese Kernziele zu konzentrieren. Aber als unser Gespräch zu Ende ging, nahm er sich auch einen Moment Zeit, um vor Selbstgefälligkeit zu warnen:

„Kein Unternehmen, was auch immer es tut, sollte glauben, dass es gegen Angriffe immun ist, denn das ist falsch“, sagte er.

Teilen Sie es