Caso 3: Tim Brown – CISO en SolarWinds
Comunicar con respeto
El incidente
Aprendizajes de Brechas de Seguridad: Caso 3 | El sábado 20 de diciembre de 2020 por la mañana, Mandiant se puso en contacto con SolarWinds para comunicar al CISO Tim Brown que habían descubierto algo. Charles Charmakal, director técnico de Mandiant, explicó los detalles. Era la peor pesadilla de SolarWinds: habían enviado un código manipulado.
«En ese momento, no te puedes permitir el lujo de pensar en ti mismo o en tu experiencia del momento», dice Tim Brown. Las primeras acciones del equipo de SolarWinds fueron poner a las personas adecuadas a bordo y establecer y verificar los hechos. Por suerte, Mandiant proporcionó rápidamente información suficiente para saber que la amenaza era real.
«Este ataque no sólo afectó a SolarWinds. Arruinó mi Navidad y mi Año Nuevo, pero también arruinó las Navidades y el Año Nuevo de muchos de nuestros clientes», recuerda Brown. Entre ellos había organismos federales como el CDC, la mayoría de las empresas de la lista Fortune 500 y contratistas públicos como Lockheed Martin.
Las primeras comunicaciones
En los primeros días, el equipo de SolarWinds se centró en reunir todos los datos conocidos y desconocidos para poder emitir un comunicado. Menos de 2 días después, hacia las 2 de la madrugada del lunes, ultimaron la primera respuesta oficial, antes de la apertura de la bolsa.
En ese momento, el equipo de respuesta a incidentes ya sabía mucho sobre el incidente. Sabían que 18,000 cuentas habían descargado el producto. Entre ellas, resultó que el número que dio lugar a un ataque secundario no llegaba al centenar. Pero en ese momento, revelaron la cifra más alta posible, por exceso de precaución.
Sabían que se trataba de un ataque sofisticado, que no afectaba a su código fuente y que tenía que provenir de algún punto del proceso de construcción. Así que, al segundo día, sabían que era un ataque a la cadena de suministro.
Los aprendizajes
Prepárate para largas jornadas
«La gente suele preguntar por qué están tan ocupados y por qué están todos en esa sala de guerra hasta las 2 de la mañana«, dice Brown. A las 9 de la noche, todos se reunían para ponerse al día de todas las actividades del día. A las 10 de la noche se reunía el consejo para las actualizaciones diarias.
«No sólo te llaman clientes, te llaman países», subraya Brown. Llamaban agencias gubernamentales y proyectos especiales. Por ejemplo, el Proyecto Warpspeed estaba en marcha en aquel momento para apoyar el desarrollo de vacunas contra el covid. Les preocupaba que alguien que estuviera trabajando en la vacuna estuviera en la lista de clientes afectados. El FBI envió preguntas. El CISA estaba en constante comunicación para elaborar recomendaciones.
Éstos son los tipos de preguntas que se reciben y, para cada una de ellas, la respuesta debe ser revisada por Brown -como CISO- y por los socios jurídicos con todo detalle. El proceso de revisión suele empezar a las once de la noche. Hay tanto que hacer que el primer mes se pasa en un caos controlado.
Contrata los socios adecuados
No intentes actuar por tu cuenta. En una infracción extraordinaria, es crucial contar con personas que hayan vivido incidentes extraordinarios similares y tengan el contexto adecuado. DLA Piper ayudó a SolarWinds con los contactos del FBI. El ex director de CISA, Chris Krebs, les ayudó a ponerse en contacto con todos los defensores nacionales del mundo. Alex Stamos aportó parte de su experiencia en ciberseguridad corporativa. Trae a la gente adecuada que pueda ayudarte a facilitar ese tipo de respuesta a incidentes importantes.
«Los dos primeros días son muy ajetreados y hay que apresurarse para tenerlo todo listo e incorporar a las personas adecuadas«, recuerda Brown. «Hay muchas corrientes de trabajo que hay que coordinar. Hay que explorar lo ocurrido en los departamentos de informática, ingeniería, seguridad y comunicaciones».
Externamente, SolarWinds consiguió a DLA Piper como socio legal. Contaban con un socio para la caza de amenazas en Crowdstike. El equipo forense de KPMG se encargó de investigar los flujos de desarrollo e ingeniería. DLA Piper acabó ayudando mucho en la coordinación de los distintos flujos de trabajo, incluso con otros socios «menores».
¿Te parecieron interesantes estos aprendizajes? No te pierdas los siguientes casos con nuestros amigos de Lumu Technologies sobre empresas internacionales para conocer más de algunas brechas de datos y cómo fortalecer a tus equipos de seguridad.
¿De qué manera crees que respondería tu equipo de seguridad ante una brecha de datos? ¿De qué manera han respondido anteriormente? BG2 Services cuenta con soluciones profesionales para que puedas tener la certeza de que tu empresa está lista para hacer frente a cualquier ciberataque. ¡Nuestros profesionales están listos para asesorarte!
📩 mktadmin@bg2.com.mx
📞 (81) 8123 3730
Fuente:
- Brown, J. (2022). CISOs´ LESSONS from Security Breaches. Lumu Technologies. https://lumu.io/resources/cisos-lessons-from-security-breaches/