Gesponsert

Nach dem Cyberangriff SolarWinds setzt neue Standards für eine sichere Softwareentwicklung

Im Dezember 2020 wurde SolarWinds Teil der großangelegten SUNBURST-Cyberattacke. Basierend auf den Erkenntnissen aus diesem Angriff, hat SolarWinds seine Sicherheitspraktiken überdacht und nach Möglichkeiten gesucht, die Sicherheitslage und -richtlinien zu verbessern.

Gesponsert von

Nach dem Sunburst-Angriff macht sich SolarWinds für die Zukunft der Cybersicherheit bereit.
Nach dem Sunburst-Angriff macht sich SolarWinds für die Zukunft der Cybersicherheit bereit.
(Bild: SolarWinds)

Die großangelegte und komplexe SUNBURST-Cyberattacke, die unter anderem auf die Softwareentwicklungsumgebung von SolarWinds abzielte, war ein Weckruf für die gesamte Software-Entwicklungsbranche. Sie zeigte eine besorgniserregende neue Realität und verdeutlichte die zunehmende Bedrohung, die auf Lieferketten und Infrastruktur ausgeht. Seitdem hat sich die Branche rasant weiterentwickelt, denn die vormals als Branchenstandard geltenden Entwicklungsverfahren werden der heutigen Bedrohungslandschaft nicht mehr gerecht.

Secure-by-Design hilft, die Softwareentwicklung sicherer zu machen

Basierend auf den Erkenntnissen aus dem Angriff hat SolarWinds seine Sicherheitsrichtlinien umfassend überarbeitet und konkrete Lösungen entwickelt, um die Risiken von weiteren Angriffen auf die Lieferkette zu minimieren. Im Rahmen der "Secure by Design"-Initiative wurde die eigene Software-Entwicklung nachhaltig verbessert und gestärkt. Außerdem konnte SolarWinds das Wissen aus der detaillierten Untersuchung des Angriffs für eine bessere Zusammenarbeit und mehr Transparenz in der Branche einsetzen.

Die Secure-by-Design-Strategie besteht aus drei grundlegenden Säulen.

Erstens, die Verbesserung der Sicherheit der SolarWinds-Infrastruktur vor Ort und in der Cloud. Dies umfasst die Implementierung einer besseren Endpunkt-Erkennung, rollenbasierter Zugriffskontrollen und anderer Elemente, die es Angreifern erschweren, in die Systeme einzudringen.

Zweitens, die Verbesserung der Sicherheit der Build-Systeme des Unternehmens, wie z.B. Multi-Faktor-Authentifizierung (MFA) beim Zugriff auf jegliche relevante Ressourcen.

Von besonderer Bedeutung ist die dritte Säule, die die Änderung der Build-Prozesse und -Methoden selbst betrifft. Dabei werden die Software-Builds in zwei separaten Umgebungen durchgeführt, mit unterschiedlichen Build-Systemen und separaten Benutzeranmeldedaten. Man spricht hier von komplett unabhängigen Build-Pipelines.

In einer dritten Umgebung wird die Integrität der Builds untersucht, um Code-Änderungen, aber auch etwaige Schwachstellen zu erkennen und zu beheben. Dadurch verändert sich die Angriffsfläche, da ein potentieller Angreifer Zugriff auf alle Pipelines gleichzeitig haben müsste.

Konkrete Tipps für sichere Software-Build-Systeme

Die Lehren, die SolarWinds aus dem Cyberangriff gezogen hat, führen zu folgenden Empfehlungen für die Softwareentwicklung, um für künftige Angriffe besser gerüstet zu sein:

  • Mehrere hochsichere Duplikate des neuen Build-Systems parallel erstellen, und jeden Build-Schritt aufzeichnen, um vollständige Rückverfolgbarkeit zu gewährleisten.
  • Implementierung einer Zero-Trust-Strategie auch in der Entwicklungsumgebung.
  • Den Build-Service in Übereinstimmung mit den Standards weiterentwickeln, um es in mehreren identischen Umgebungen einsetzen zu können.
  • Die Stärke der Open-Source-Community nutzen, um den Build-Service weiterzuentwickeln.
Lesen Sie mehr im Whitepaper:
Das SolarWinds Build-System der nächsten Generation

Mehr Transparenz in der Supply Chain schaffen

Ein ausgeklügelter Angriff auf die Lieferkette wie SUNBURST zeigt, dass unsere gesamte Branche mit einer immer komplexeren Bedrohungslandschaft konfrontiert ist. Dazu zählt auch das Risiko, das mit Anwendungen von Drittanbietern verbunden ist. Gerade das macht Initiativen wie Secure by Design so wichtig und ist der Grund dafür, weshalb Technikexperten, Führungskräfte und Unternehmensleiter jedem Softwareanbieter, den sie auswählen, mehr abverlangen müssen.

SolarWinds begegnete diesem Risiko, indem sie sowohl die laufende Überwachung und Überprüfung aller Drittanbieter-Tools in der eigenen Umgebung als auch die Sicherheitsüberprüfungen vor der Beschaffung bei allen Anbietern intensivierte. Unternehmen sollten sich bei ihren Anbietern erkundigen, welchen Ansatz sie für einen sicheren Softwareentwicklungszyklus verfolgen und wie sie mit neuen Bedrohungen oder Schwachstellen umgehen. Das Gleiche gilt für Auftragnehmer, die möglicherweise für einen begrenzten Zeitraum an einem einzigen Projekt arbeiten. Kann das IT-Team sicherstellen, dass die Zugriffsbeschränkungen vorhanden sind, korrekt funktionieren und angemessen gepflegt werden?

Bereit für die Zukunft – Nach der Implementierung von Secure by Design und anderen begleitenden Maßnahmen, wie etwa der Verbesserung der Sicherheitsschulung für Mitarbeiter, ist SolarWinds nun gut gewappnet, was die Risikominderung und die Vorbereitung auf Sicherheitsvorfälle angeht. Um insgesamt einen höheren Schutz in der Branche zu erlangen, sollte die Zusammenarbeit und der Informationsaustausch innerhalb der Technologiebranche auf eine neue Ebene gehoben werden. Eine effektivere Bekämpfung ähnlicher Angriffe in der Zukunft erfordert immer das Wissen und die Ressourcen aller Beteiligten. Unternehmen werden ihre Arbeitsweise ändern müssen, um immer raffiniertere Cyberangriffe über immer größere Angriffsflächen abzuwehren.

(ID:48020350)