US Securities and Exchange Commission (SEC) ser ud til at være klar til at træffe håndhævelsesforanstaltninger mod SolarWinds for virksomhedens softwarevirksomheds påståede overtrædelse af føderale værdipapirlove, når de fremsætter udtalelser og afsløringer om databruddet i 2019 hos virksomheden.
Hvis SEC skulle bevæge sig fremad, kunne SolarWinds stå over for civile monetære sanktioner og blive forpligtet til at yde "anden retfærdig lettelse" for de påståede krænkelser. Handlingen ville også påbyde SolarWinds at engagere sig i fremtidige overtrædelser af de relevante føderale værdipapirlove.
SolarWinds afslørede SEC's potentielle håndhævelseshandling i en nylig formular 8-K indgivelse til SEC. I ansøgningen sagde SolarWinds, at de havde modtaget en såkaldt "Wells Notice" fra SEC, der bemærkede, at regulatorens håndhævelsespersonale havde lavet en foreløbig afgørelse om at anbefale tvangsfuldbyrdelsen. Grundlæggende en Wells-meddelelse underretter en respondent om sigtelser som en værdipapirtilsynsmyndighed har til hensigt at anlægge mod en respondent, så sidstnævnte har mulighed for at udarbejde et svar.
SolarWinds fastholdt, at dets "offentliggørelser, offentlige erklæringer, kontroller og procedurer var passende." Virksomheden bemærkede, at den ville forberede et svar på SEC-håndhævelsespersonalets holdning til sagen.
Bruddet på SolarWinds' systemer var det ikke opdaget indtil slutningen af 2020, da Mandiant fandt ud af, at dets red-team-værktøjer var blevet stjålet under angrebet.
Forlig for gruppesøgsmål
Separat, men i samme ansøgning, sagde SolarWinds, at det havde accepteret at betale 26 millioner dollars for at afvikle krav i en class action retssag indgivet mod virksomheden og nogle af dets ledere. Retssagen havde hævdet, at selskabet havde vildledt investorer i offentlige udtalelser om dets cybersikkerhedspraksis og -kontrol. Forliget vil ikke udgøre nogen indrømmelse af fejl, ansvar eller forseelser i forbindelse med hændelsen. Afregningen, hvis godkendt, vil blive betalt af selskabets gældende ansvarsforsikring.
Oplysningerne i 8-K-formularen kommer næsten to år efter SolarWinds rapporterede, at angribere — senere identificeret som russisk trusselsgruppe nobelium — havde brudt byggemiljøet for virksomhedens Orion-netværksadministrationsplatform og plantet en bagdør i softwaren. Bagdøren, kaldet Sunburst, blev senere skubbet ud til virksomhedens kunder som legitime softwareopdateringer. Omkring 18,000 kunder modtog de forgiftede opdateringer. Men færre end 100 af dem blev senere faktisk kompromitteret. Nobeliums ofre omfattede virksomheder som Microsoft og Intel samt offentlige myndigheder som de amerikanske justits- og energiministerier.
SolarWinds udfører en komplet genopbygning
SolarWinds har sagt, at det har implementeret flere ændringer siden da af dets udvikling og it-miljøer for at sikre, at det samme ikke sker igen. Kernen i virksomhedens nye "secure by design"-tilgang er et nyt byggesystem designet til at gøre angreb af den slags, der skete i 2019, meget sværere - og næsten umuligt - at udføre.
I en nylig samtale med Dark Reading beskriver SolarWinds CISO Tim Brown det nye udviklingsmiljø som et, hvor software udvikles i tre parallelle builds: en udviklerpipeline, en iscenesættelsespipeline og en produktionspipeline.
"Der er ikke én person, der har adgang til alle disse pipeline-bygninger," siger Brown. "Før vi udgiver, er det, vi gør, at vi laver en sammenligning mellem builds og sørger for, at sammenligningen matcher." Målet med at have tre separate builds er at sikre, at eventuelle uventede ændringer af kode - skadelige eller på anden måde - ikke bliver overført til næste fase af softwareudviklingens livscyklus.
"Hvis du ville påvirke én build, ville du ikke have mulighed for at påvirke den næste build," siger han. "Du har brug for samordning mellem mennesker for at påvirke den opbygning igen."
En anden kritisk komponent i SolarWinds' nye secure-by-design tilgang er, hvad Brown kalder flygtige operationer - hvor der ikke er nogen langlivede miljøer for angribere at gå på kompromis med. Under tilgangen bliver ressourcer spundet op efter behov og ødelagt, når opgaven, som de er blevet tildelt, er fuldført, så angreb ikke har mulighed for at etablere en tilstedeværelse på den.
"Antag" et brud
Som en del af den overordnede sikkerhedsforbedringsproces har SolarWinds også implementeret hardware-token-baseret multifaktorautentificering for alt it- og udviklingspersonale og implementeret mekanismer til registrering, logning og revision af alt, hvad der sker under softwareudvikling, siger Brown. Efter bruddet har virksomheden desuden indført en "assumed breach"-mentalitet, hvor rød-holdsøvelser og penetrationstest er en væsentlig komponent.
"Jeg er derinde og prøver at bryde ind i mit byggesystem hele tiden," siger Brown. "Kan jeg for eksempel lave en ændring i udviklingen, der ville ende i iscenesættelse eller ende i produktion?"
Det røde team ser på hver komponent og service i SolarWinds' byggesystem og sikrer sig, at konfigurationen af disse komponenter er god, og i nogle tilfælde er infrastrukturen omkring disse komponenter også sikker, siger han.
"Det tog seks måneder at lukke ned for udvikling af nye funktioner og fokusere på sikkerhed alene" for at komme til et mere sikkert miljø, siger Brown. Den første udgivelse, som SolarWinds udgav med nye funktioner, var mellem otte og ni måneder efter opdagelsen af brud, siger han. Han beskriver det arbejde, SolarWinds har lagt i at styrke softwaresikkerheden, som et "tungt løft", men et, som han mener har betalt sig for virksomheden.
"De var bare store investeringer for at få os selv ret [og] reducere så meget risiko som muligt i hele cyklussen," siger Brown, der også for nylig fælles nøglelektioner hans firma lærte af angrebet i 2020.
