Ο CISO Phil Venables του Google Cloud αποκάλυψε ότι το cloud χρησιμοποιεί software από τον προμηθευτή, SolarWinds, αλλά αναφέρει ότι η χρήση του ήταν “περιορισμένη”.
Το Google Cloud ανακοίνωσε την πρόσληψη του πρώτου της CISO, του Phil Venables, στα μέσα Δεκεμβρίου, ακριβώς την στιγμή που οι ΗΠΑ άρχισαν να κατανοούν το εύρος της επίθεσης SolarWinds.
Η παραβίαση επηρέασε το Υπουργείο Οικονομικών των ΗΠΑ και την Εθνική Υπηρεσία Τηλεπικοινωνιών και Πληροφοριών του Υπουργείου Εμπορίου των ΗΠΑ (NTIA), το Υπουργείο Δικαιοσύνης, τον πηγαίο κώδικα της Microsoft και πολλά άλλα.
Αλλά ο Venables, ένας βετεράνος της Goldman Sachs, επιμένει ότι κανένα σύστημα της Google δεν επηρεάστηκε από την επίθεση. Αυτό είναι ένα σημαντικό μήνυμα από την Google σε μια εποχή που οι παραβιάσεις έχουν υπονομεύσει την εμπιστοσύνη στους γνωστούς προμηθευτές software.
“Με βάση τα όσα είναι γνωστά για την επίθεση, είμαστε σίγουροι ότι κανένα σύστημα της Google δεν επηρεάστηκε από την επίθεση SolarWinds”, δήλωσε ο Venables σε ένα blogpost.
“Κάνουμε πολύ περιορισμένη χρήση του επηρεαζόμενου software και η προσέγγισή μας για τον μετριασμό των κινδύνων ασφαλείας της εφοδιαστικής αλυσίδας σήμαινε ότι οποιαδήποτε παρεπόμενη χρήση ήταν περιορισμένη. Αυτοί οι έλεγχοι ενισχύθηκαν από την περίπλοκη παρακολούθηση των δικτύων και των συστημάτων μας.”
Ο Venables μοιράστηκε επίσης μερικές κορυφαίες συμβουλές που χρησιμοποιεί η Google για να προστατεύσει τον εαυτό της και τους πελάτες της. Αυτή η συγκεκριμένη επίθεση αποκάλυψε πόσο συνδεδεμένη είναι ολόκληρη η βιομηχανία του software και πόσο ευάλωτο είναι το οικοσύστημα εξαιτίας των ενημερώσεων που λαμβάνονται από διάφορους προμηθευτές.
Σύμφωνα με τον Venables, η Google χρησιμοποιεί ασφαλή ανάπτυξη και συνεχή πλαίσια δοκιμών για τον εντοπισμό και την αποφυγή κοινών λαθών προγραμματισμού. Συνεχίζει εξηγώντας τι σημαίνει αξιόπιστο cloud computing στο Google Cloud, το οποίο έρχεται κάτω από τον έλεγχο του hardware και του software.
Η Google επαληθεύει ότι το software έχει κατασκευαστεί και υπογραφεί σε ένα εγκεκριμένο απομονωμένο περιβάλλον δημιουργίας από σωστά ελεγμένο κώδικα που έχει ελεγχθεί. Στη συνέχεια, η εταιρεία κάνει διάφορους ελέγχους κατά την ανάπτυξη, ανάλογα με την ευαισθησία του κώδικα. Τέλος, η εταιρεία διασφαλίζει ότι τουλάχιστον ένα άτομο πέρα από τον συντάκτη ελέγχει με βεβαιότητα τις αλλαγές στον κώδικα που υπέβαλαν οι προγραμματιστές.
“Οι ευαίσθητες διαχειριστικές ενέργειες συνήθως απαιτούν επιπλέον ανθρώπινες εγκρίσεις. Αυτό το κάνουμε για να αποτρέψουμε απροσδόκητες αλλαγές – είτε λάθη είτε κακόβουλες εισαγωγές.”
Πηγή πληροφοριών: zdnet.com
