يبدو أن هيئة الأوراق المالية والبورصة الأمريكية (SEC) مستعدة لاتخاذ إجراءات إنفاذية ضد SolarWinds بسبب الانتهاك المزعوم لشركة برمجيات المؤسسة لقوانين الأوراق المالية الفيدرالية عند الإدلاء ببيانات وإفصاحات حول خرق البيانات لعام 2019 في الشركة.
إذا مضت هيئة الأوراق المالية والبورصة قدمًا، فقد تواجه شركة SolarWinds عقوبات مالية مدنية وسيُطلب منها تقديم "إغاثة عادلة أخرى" للانتهاكات المزعومة. سيمنع هذا الإجراء أيضًا شركة SolarWinds من الانخراط في انتهاكات مستقبلية لقوانين الأوراق المالية الفيدرالية ذات الصلة.
كشفت شركة SolarWinds عن الإجراء التنفيذي المحتمل الذي ستتخذه هيئة الأوراق المالية والبورصة (SEC) في ملف نموذج 8-K الأخير لدى هيئة الأوراق المالية والبورصة (SEC). في ملف التقديم، قالت شركة SolarWinds إنها تلقت ما يسمى بـ "إشعار ويلز" من هيئة الأوراق المالية والبورصات يشير إلى أن موظفي الإنفاذ التابعين للهيئة التنظيمية قد قدموا طلبًا. قرار أولي بالتوصية بإجراءات التنفيذ. إشعار ويلز في الأساس يخطر المستجيب حول التهم التي ينوي منظم الأوراق المالية تقديمها ضد المدعى عليه، بحيث يكون لدى الأخير فرصة لإعداد الرد.
وأكدت شركة SolarWinds أن "إفصاحاتها وبياناتها العامة وضوابطها وإجراءاتها كانت مناسبة". وأشارت الشركة إلى أنها ستقوم بإعداد رد على موقف موظفي إنفاذ هيئة الأوراق المالية والبورصة بشأن هذه المسألة.
لم يكن الاختراق في أنظمة SolarWinds كذلك تم اكتشافه حتى أواخر عام 2020، عندما اكتشف Mandiant أن أدوات الفريق الأحمر الخاصة به قد سُرقت في الهجوم.
تسوية الدعوى الجماعية
بشكل منفصل، ولكن في نفس الملف، قالت شركة SolarWinds إنها وافقت على دفع 26 مليون دولار لتسوية المطالبات في قضية دعوى جماعية رفع دعوى قضائية ضد الشركة وبعض مديريها التنفيذيين. وزعمت الدعوى القضائية أن الشركة ضللت المستثمرين في بيانات عامة، بشأن ممارساتها وضوابط الأمن السيبراني. ولا تشكل التسوية أي اعتراف بأي خطأ أو مسؤولية أو مخالفة بشأن الحادث. سيتم دفع التسوية، في حالة الموافقة عليها، عن طريق تأمين المسؤولية المعمول به في الشركة.
وتأتي الإفصاحات في نموذج 8-K بعد عامين تقريبًا ذكرت SolarWinds أن المهاجمين - تم تحديدها لاحقًا على أنها مجموعة تهديد روسية نوبليوم - اخترق بيئة البناء الخاصة بمنصة إدارة شبكة Orion الخاصة بالشركة وزرع بابًا خلفيًا في البرنامج. تم لاحقًا دفع الباب الخلفي، المسمى Sunburst، إلى عملاء الشركة كتحديثات برامج مشروعة. تلقى حوالي 18,000 عميل التحديثات المسمومة. لكن أقل من 100 منها تم اختراقها فعليًا في وقت لاحق. وكان من بين ضحايا نوبليوم شركات مثل مايكروسوفت وإنتل، فضلاً عن وكالات حكومية مثل وزارتي العدل والطاقة الأميركيتين.
تقوم شركة SolarWinds بتنفيذ عملية إعادة بناء كاملة
قالت SolarWinds إنها نفذت تغييرات متعددة منذ ذلك الحين على بيئات التطوير وتكنولوجيا المعلومات الخاصة بها لضمان عدم تكرار نفس الشيء مرة أخرى. في قلب نهج التصميم الآمن الجديد للشركة، يوجد نظام بناء جديد مصمم لجعل الهجمات من النوع الذي حدث في عام 2019 أصعب بكثير - ويكاد يكون من المستحيل - تنفيذها.
في محادثة حديثة مع Dark Reading، يصف Tim Brown، CISO في SolarWinds، بيئة التطوير الجديدة بأنها بيئة يتم فيها تطوير البرامج في ثلاثة تصميمات متوازية: خط أنابيب للمطورين، وخط أنابيب مرحلي، وخط أنابيب إنتاج.
يقول براون: "لا يوجد شخص واحد يمكنه الوصول إلى جميع خطوط الأنابيب هذه". "قبل الإصدار، ما نفعله هو إجراء مقارنة بين الإصدارات والتأكد من تطابق المقارنة." الهدف من وجود ثلاثة إصدارات منفصلة هو التأكد من عدم انتقال أي تغييرات غير متوقعة في التعليمات البرمجية - سواء كانت ضارة أو غير ذلك - إلى المرحلة التالية من دورة حياة تطوير البرامج.
ويقول: "إذا أردت التأثير على بناء واحد، فلن تكون لديك القدرة على التأثير على البناء التالي". "أنت بحاجة إلى التواطؤ بين الناس من أجل التأثير على هذا البناء مرة أخرى."
هناك عنصر حاسم آخر في نهج التصميم الآمن الجديد لشركة SolarWinds وهو ما يسميه براون العمليات سريعة الزوال - حيث لا توجد بيئات طويلة الأمد يمكن للمهاجمين التنازل عنها. وبموجب هذا النهج، يتم توزيع الموارد عند الطلب وتدميرها عند اكتمال المهمة التي تم تكليفها بها، بحيث لا تتاح للهجمات فرصة إثبات وجودها عليها.
"افترض" وجود خرق
كجزء من عملية تعزيز الأمان الشاملة، نفذت SolarWinds أيضًا مصادقة متعددة العوامل قائمة على رمز الأجهزة لجميع موظفي تكنولوجيا المعلومات والتطوير ونشرت آليات للتسجيل والتسجيل ومراجعة كل ما يحدث أثناء تطوير البرامج، كما يقول براون. بعد الاختراق، تبنت الشركة أيضًا عقلية "الانتهاك المفترض" والتي تعتبر تمارين الفريق الأحمر واختبار الاختراق عنصرًا أساسيًا فيها.
يقول براون: "أنا هناك أحاول اقتحام نظام البناء الخاص بي طوال الوقت". "على سبيل المثال، هل يمكنني إجراء تغيير في التطوير قد ينتهي به الأمر إلى مرحلة الإنتاج أو مرحلة الإنتاج؟"
ويقول إن الفريق الأحمر ينظر إلى كل مكون وخدمة ضمن نظام بناء SolarWinds، للتأكد من أن تكوين هذه المكونات جيد، وفي بعض الحالات، تكون البنية التحتية المحيطة بهذه المكونات آمنة أيضًا.
يقول براون: "لقد استغرق الأمر ستة أشهر من إيقاف تطوير الميزات الجديدة والتركيز على الأمان وحده" للوصول إلى بيئة أكثر أمانًا. ويقول إن الإصدار الأول الذي طرحته SolarWinds بميزات جديدة كان ما بين ثمانية إلى تسعة أشهر بعد اكتشاف الاختراق. ويصف العمل الذي قامت به شركة SolarWinds لتعزيز أمن البرمجيات بأنه "جهد كبير"، ولكنه يعتقد أنه قد أتى بثماره بالنسبة للشركة.
يقول براون، الذي قام مؤخرًا أيضًا بدراسة الأمر: "لقد كانت مجرد استثمارات كبيرة لكي نصحح أنفسنا، ونحد من أكبر قدر ممكن من المخاطر في الدورة بأكملها". الدروس الرئيسية المشتركة تعلمت شركته من هجوم 2020.
