Caso 3: Tim Brown – CISO en SolarWinds

Comunicar con respeto

El incidente

Aprendizajes de Brechas de Seguridad: Caso 3 | El sábado 20 de diciembre de 2020 por la mañana, Mandiant se puso en contacto con SolarWinds para comunicar al CISO Tim Brown que habían descubierto algo. Charles Charmakal, director técnico de Mandiant, explicó los detalles. Era la peor pesadilla de SolarWinds: habían enviado un código manipulado.

«En ese momento, no te puedes permitir el lujo de pensar en ti mismo o en tu experiencia del momento», dice Tim Brown. Las primeras acciones del equipo de SolarWinds fueron poner a las personas adecuadas a bordo y establecer y verificar los hechos. Por suerte, Mandiant proporcionó rápidamente información suficiente para saber que la amenaza era real.

«Este ataque no sólo afectó a SolarWinds. Arruinó mi Navidad y mi Año Nuevo, pero también arruinó las Navidades y el Año Nuevo de muchos de nuestros clientes», recuerda Brown. Entre ellos había organismos federales como el CDC, la mayoría de las empresas de la lista Fortune 500 y contratistas públicos como Lockheed Martin.

Las primeras comunicaciones

En los primeros días, el equipo de SolarWinds se centró en reunir todos los datos conocidos y desconocidos para poder emitir un comunicado. Menos de 2 días después, hacia las 2 de la madrugada del lunes, ultimaron la primera respuesta oficial, antes de la apertura de la bolsa.

En ese momento, el equipo de respuesta a incidentes ya sabía mucho sobre el incidente. Sabían que 18,000 cuentas habían descargado el producto. Entre ellas, resultó que el número que dio lugar a un ataque secundario no llegaba al centenar. Pero en ese momento, revelaron la cifra más alta posible, por exceso de precaución.

Sabían que se trataba de un ataque sofisticado, que no afectaba a su código fuente y que tenía que provenir de algún punto del proceso de construcción. Así que, al segundo día, sabían que era un ataque a la cadena de suministro.

Los aprendizajes

Prepárate para largas jornadas

«La gente suele preguntar por qué están tan ocupados y por qué están todos en esa sala de guerra hasta las 2 de la mañana«, dice Brown. A las 9 de la noche, todos se reunían para ponerse al día de todas las actividades del día. A las 10 de la noche se reunía el consejo para las actualizaciones diarias.

«No sólo te llaman clientes, te llaman países», subraya Brown. Llamaban agencias gubernamentales y proyectos especiales. Por ejemplo, el Proyecto Warpspeed estaba en marcha en aquel momento para apoyar el desarrollo de vacunas contra el covid. Les preocupaba que alguien que estuviera trabajando en la vacuna estuviera en la lista de clientes afectados. El FBI envió preguntas. El CISA estaba en constante comunicación para elaborar recomendaciones.

Éstos son los tipos de preguntas que se reciben y, para cada una de ellas, la respuesta debe ser revisada por Brown -como CISO- y por los socios jurídicos con todo detalle. El proceso de revisión suele empezar a las once de la noche. Hay tanto que hacer que el primer mes se pasa en un caos controlado.

Contrata los socios adecuados

No intentes actuar por tu cuenta. En una infracción extraordinaria, es crucial contar con personas que hayan vivido incidentes extraordinarios similares y tengan el contexto adecuado. DLA Piper ayudó a SolarWinds con los contactos del FBI. El ex director de CISA, Chris Krebs, les ayudó a ponerse en contacto con todos los defensores nacionales del mundo. Alex Stamos aportó parte de su experiencia en ciberseguridad corporativa. Trae a la gente adecuada que pueda ayudarte a facilitar ese tipo de respuesta a incidentes importantes.

«Los dos primeros días son muy ajetreados y hay que apresurarse para tenerlo todo listo e incorporar a las personas adecuadas«, recuerda Brown. «Hay muchas corrientes de trabajo que hay que coordinar. Hay que explorar lo ocurrido en los departamentos de informática, ingeniería, seguridad y comunicaciones».

Externamente, SolarWinds consiguió a DLA Piper como socio legal. Contaban con un socio para la caza de amenazas en Crowdstike. El equipo forense de KPMG se encargó de investigar los flujos de desarrollo e ingeniería. DLA Piper acabó ayudando mucho en la coordinación de los distintos flujos de trabajo, incluso con otros socios «menores».

¿Te parecieron interesantes estos aprendizajes? No te pierdas los siguientes casos con nuestros amigos de Lumu Technologies sobre empresas internacionales para conocer más de algunas brechas de datos y cómo fortalecer a tus equipos de seguridad.

¿De qué manera crees que respondería tu equipo de seguridad ante una brecha de datos? ¿De qué manera han respondido anteriormente? BG2 Services cuenta con soluciones profesionales para que puedas tener la certeza de que tu empresa está lista para hacer frente a cualquier ciberataque. ¡Nuestros profesionales están listos para asesorarte!

📩 mktadmin@bg2.com.mx

📞 (81) 8123 3730

Fuente:

Brown, J. (2022). CISOs´ LESSONS from Security Breaches. Lumu Technologies. https://lumu.io/resources/cisos-lessons-from-security-breaches/

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.