黑人巨茎大战欧美白妇免费

SolarWinds公司首席信息安全官的建议:了解敌手过头想要什么,并关注一切

发布日期:2022-06-18 17:25    点击次数:156

SolarWinds公司首席信息安全官的建议:了解敌手过头想要什么,并关注一切

SolarWinds公司的Orion软件数据表露事件编削了该公司的安全策略和格式。该公司首席信息安全官Tim Brown共享了一些磋商首席信息安全官和软件供应商怎样为供应链挫折做好准备的建议。

昨年年底,一个名为Cozy Bear(APT29)的积贮挫折组织到手入侵了SolarWinds公司的Orion更新软件,将其酿成了坏心软件的传播用具。这一积贮监控用具使该公司快要100名客户受到侵害,其中包括一些政府部门和积贮安全办事商FireEye公司。

积贮挫折者侦察和挫折SolarWinds公司的IT基础设施,并对Orion软件植入木马身手。起初发现这种软件供应链挫折的FireEye公司示意,它需要积贮挫折者用心运筹帷幄和交互。

研究人员觉得需要十分疼爱这次积贮挫折,SolarWinds公司也做了积极地应答,该公司飞速引入了外部匡助,不仅治理了濒临的危急,还匡助审查了他们的安全运营规范,并制定了安全计策,以更好地圮绝异日的软件供应链挫折。SolarWinds公司已公开了该事件的细节以及为改善其安全态势而礼聘的规范。

行业媒体为此采访了SolarWinds公司首席信息安全官兼安全副总裁Tim Brown,就这次事件怎样改造该公司的安全规范和格式进行了探讨。Brown主要肃穆该公司的居品和里面安全。

在这次积贮挫折发生后,您的责任脚色发生了哪些变化?

Brown:在这次积贮挫折发生之前,我的职责并不单是包括首席信息安全官的职责,还关注公司的安全运营和居品安全计策。咱们的目标是居品和运营的连系。咱们需要肃穆运营安全,并主要委用居品,因此让咱们的安全团队参与其中高出遑急。

在这次积贮挫折事件发生之后, SolarWinds公司决定怎样应答和处理?

Brown:在侦察本事,咱们率先引入了安全厂商Crowd Strike公司对咱们的业务进行宏观检验。他们的职工与咱们一道责任了毛糙五个月,深入研究了每个责任站、每个办事器的系数细节。

与此同期,咱们还取得了毕马威公司取证团队的匡助,因为咱们需要一些不同的手段组合,需要有人专注于工程和开荒环境,然后进行微观检验。

为了提高后果,咱们让Crowd Strike公司专注于宏观环境,毕马威公司专注于微观环境。在侦察中的前一两个月,咱们每天都与他们会面,并得到一个列出系数事项的清单。

在侦察中还有一件遑急的事是,咱们需要更好地了解系数这个词环境。在事件发生之前,咱们运行了我方的安全运营中心(SOC),这个安全运营中心(SOC)具有平方的隐秘鸿沟。责任站和办事器当今继承CrowdStrike Falcon进行监控。

然后,SecureWorks从CrowdStrike获取咱们的AWS信息、防火墙信息、Azure信息、Microsoft 365以及咱们的系数责任站和办事器信息,这增强了SOC的可见性。这种可见性对咱们大致看到一切高出有用。

另一个变化是成立全职“红队”。 红队的任务是从对抗性的角度检验企业的作为和业务职能,以改善企业的安全景象。在积贮安全事件发生之前,咱们的红队是兼职的。成立全职红队让咱们的团队成员不错担任几个脚色。一种是基础设施的里面红队,测试咱们实施的铁心规范,并确保安全运营中心(SOC)做正确的事情。

咱们依期对每个治理决策进行里面渗入测试,然后也在外部进行渗入测试。这为咱们提供了一种互补的格式。它还与工程环境密切关系,这也要进行我方的里面安全测试。

这种测试增多了三倍, 午夜福利视频这种多方的安全测试包括:外部测试、安全团队里面测试和开荒团队里面测试。

对于您的团队和系数这个词业务来说,安全成见发生了奈何的变化?

Brown:有人告诉我,他们试图闪开荒人员编削或闪开荒人员沟通安全性方面际遇的问题。对于这一安全事件,咱们的社区和用户高出不安。因为有人闯入他们的积贮和系统,并编削了他们的运营环境。

确保安全性的撑持之一是创造安全文化,这是一个赓续的旅程。咱们进行安全培训,鼓吹论说,并让系数职工参与。

从咱们的奉行指点层来看,咱们公司的首席奉行官Sudhakar Ramakrishna在召开整体会议时每次都会评论安全问题。各个层面都在评论安全性。

另一撑持是销售团队的心态。咱们的客户当今最眷注的是安全问题。是以,这不单是是一个里面的事情,亦然激动业务发展的重要。软件开荒商以及安全行业以外的公司如今都在评论他们的安全功能。

咱们看到客户就咱们的安全经由提议了更复杂、更扎眼的问题。我觉得这很好。这将使企业在安全方面走上正确的轨道,并指示他们需要堤防什么事项。

您为客户提供了哪些带领或用具来匡助收缩供应链要挟?

Brown:咱们在不同的方位都有安全的成就信息。在积贮挫折事件发生之后,咱们将其并吞到一个文档和一个区域中,这是以安全神气实施的格式。

非凡是对于里面部署治理决策,这是一种配合关系。咱们需要他们大致礼聘正确的作为,并以正确的神气进行成就。但咱们并不老是对他们的成就神气有久了的了解。在某些情况下,他们并不和咱们交流和交流。他们只需装配居品即可。他们需要稳妥安全地成就、监控和管束居品,这一规范高出遑急。

您是否提供了对公司的生态系统和正在使用的办事的更多可见性?

Brown:咱们将公开和共享咱们使用的用具。咱们会告诉他们,“咱们用Checkmarx做静态代码分析。咱们使用WhiteSource来检验开源用具。”

咱们将更多地商榷咱们的安全开荒人命周期(SDL)经由以及咱们在环境中实施的保护规范。事实上,就像积贮挫折事件发生之前的大大批供应商同样,那么他们果真眷注咱们怎样保护和竖立吗?当今每个人都在这么做。我和其他首席信息安全官进行了交流和交流,国产草莓视频无码a在线观看他们示意濒临的问题越来越难,条件愈加通达。这对各行业发展都有平正。

你提到了一些正在进行的责任,举例居品和里面审计的最低特权侦察模子。你有这些责任的时刻表吗?

Brown:咱们的里面审计是对从代码行一直到居品的系数骨子的里面审计,将在2022年第一季度完成。居品的最低特权模子依然从文档和初步实施运行。

这是一个运行。咱们依然对代理和其他骨子进行了更始,以匡助客户了解应该怎样成就,并从代理网罗数据。咱们依然做了一些事情,举例使警报系统在不同的帐户下运行,而且不错指定具有稳妥权限的帐户。

下一步是与权限管束系统的集成,这么咱们就无谓在居品中使用密码,不错将它们从已批准的密码管束系统中移除。好多人运行关注咱们是怎样做到的,并领有了所需的最低特权,但仍然大致实施咱们正在奉行的功能。

这对于莫得严格侦察铁心铁心的客户有匡助吗?

Brown:着实地说,它只会为这些客户提供稳妥级别的保险。在这起事件中,咱们与配结伴伴开展了Orion拯救计算。咱们的配结伴伴将匡助客户进行升级,并匡助考据成就以确保它们是合适的。

软件行业应该做些什么来更好地保护每个人免受供应链挫折?

Brown:率先,企业确保我方的运营环境整齐整齐,确保为应答积贮挫折做好准备。若是照实发生挫折事件,那么需要实施依然制定的计算,并赓续完成事件反应经由。

其次,对于客户来说,应该让其居品对不稳妥的成就更有弹性,对一般的积贮挫折更有弹性。岂论是对于怎样成就的指南,岂论是用具,照旧成就匡助,这一切都归结为匡助客户在其环境中进行稳妥成就以提高弹性。

从行业的角度来看,将会增多可见性,这将会愈加透明。它关注于软件和材料,关注在居品中使用的系数组件,并使它们愈加公开。这将了解并提供磋商开荒框架和开荒周期的更多信息。

从透明度的角度来看,这是正确的标的。软件行业应该接管这一践诺,不仅要做基础责任,还要匡助IT部门做到这少量,以便咱们公开的框架和信息照实有助于保护环境,并使其更具反抗挫折的才智。

对于可能成为积贮挫折目标的企业,其他首席信息安全官应该做的最遑急的责任是什么?

Brown:每个人都应该相识到的一个阅历是要挟作为者的级别。那些使他们难以发现和对抗的事情等于当今濒临的积贮挫折者,他们运行转向有组织的犯法。

若是不了解积贮挫折者将会追求什么,需要从了解环境运行,从了解他们将要做什么运行。了解环境,这么就不错随时明察一切,并确保领有系数这个词环境的平方可见性。

确保在环境中礼聘了保护规范。从开荒人员的角度来看,确保了解正在管束的流毒、我方清亮的流毒、第三方清亮的流毒,并继承稳妥的经由稳妥地管束它们。

其中一个阅历是,岂论怎样进修事件反应,它都会有所不同。当这种级别的积贮挫折事情发生时,企业只需要为经由和身手做好准备。

人们弗成我方做系数的事情。从音问传递、反应、侦察的角度来看,系数这些事情都需要有阅历丰富的人员参与。

毛糙在这次网终挫折事件的前一年,咱们就制定了一个经由,对于每个安全流毒,岂论是外部纪录的、咱们的用具纪录的照旧其他方位纪录的,都会成为Jira纪录单,就像旧例流毒同样,但它会取得一个安全标签。咱们的安全团队将监控这些事项。若是不相宜咱们的里面品级办事合同(SLA)治理决策,他们将经过咱们的风险评估表(RAF)经由,我必须在风险评估表上署名,工程肃穆人也要署名。这将处理居品中的流毒水平普及到一个稳妥的级别,以决定某个问题是否得到治理。

制定经由以确保在流毒方面取得确认,因为不一定是要挟作为者参加企业的环境并更始代码,就像他们在咱们的运营环境中所做的那样。另外,要挟作为者可能发现了居品中的零日流毒并运用这些流毒。因此,需要确保在这两个范畴都有隐秘。

 






Powered by 黑人巨茎大战欧美白妇免费 @2013-2022 RSS地图 HTML地图