Die US-Börsenaufsicht SEC (Securities and Exchange Commission) scheint bereit zu sein, Durchsetzungsmaßnahmen gegen SolarWinds wegen des angeblichen Verstoßes des Unternehmenssoftwareunternehmens gegen bundesstaatliche Wertpapiergesetze einzuleiten, als es Erklärungen und Offenlegungen zum Datenverstoß des Unternehmens im Jahr 2019 abgab.
Sollte die SEC voranschreiten, könnte SolarWinds mit zivilrechtlichen Geldstrafen rechnen und müsste „andere angemessene Entschädigungen“ für die mutmaßlichen Verstöße leisten. Die Klage würde SolarWinds außerdem untersagen, sich künftig an Verstößen gegen die relevanten Bundeswertpapiergesetze zu beteiligen.
SolarWinds hat die möglichen Durchsetzungsmaßnahmen der SEC in einer kürzlich bei der SEC eingereichten Form 8-K offengelegt. In der Einreichung gab SolarWinds an, dass es von der SEC eine sogenannte „Wells-Mitteilung“ erhalten habe, in der darauf hingewiesen werde, dass das Durchsetzungspersonal der Regulierungsbehörde eine Mitteilung vorgenommen habe vorläufige Entscheidung, die Vollstreckungsmaßnahme zu empfehlen. Im Grunde eine Wells-Mitteilung benachrichtigt einen Befragten über Gebühren die eine Wertpapieraufsichtsbehörde gegen einen Beklagten vorbringen will, so dass dieser die Möglichkeit hat, eine Antwort vorzubereiten.
SolarWinds behauptete, dass seine „Offenlegungen, öffentlichen Erklärungen, Kontrollen und Verfahren angemessen seien“. Das Unternehmen wies darauf hin, dass es eine Antwort auf die Position des SEC-Durchsetzungsstabs in dieser Angelegenheit vorbereiten werde.
Der Einbruch in die Systeme von SolarWinds war nicht der Fall erst Ende 2020 entdeckt, als Mandiant feststellte, dass seine Red-Team-Tools bei dem Angriff gestohlen worden waren.
Sammelklage-Vergleich
Unabhängig davon, aber in derselben Akte, sagte SolarWinds, es habe sich bereit erklärt, 26 Millionen US-Dollar zur Begleichung der Ansprüche zu zahlen Sammelklage gegen das Unternehmen und einige seiner Führungskräfte eingereicht. In der Klage wurde behauptet, das Unternehmen habe Investoren in öffentlichen Äußerungen über seine Cybersicherheitspraktiken und -kontrollen in die Irre geführt. Die Einigung stellt kein Eingeständnis eines Verschuldens, einer Haftung oder eines Fehlverhaltens in Bezug auf den Vorfall dar. Sofern der Vergleich genehmigt wird, wird er von der zuständigen Haftpflichtversicherung des Unternehmens bezahlt.
Die Offenlegungen im 8-K-Formular erfolgen fast zwei Jahre später SolarWinds berichtete, dass Angreifer – später als russische Bedrohungsgruppe identifiziert Nobelium – hatte die Build-Umgebung der Orion-Netzwerkmanagementplattform des Unternehmens verletzt und eine Hintertür in die Software eingebaut. Die Sunburst genannte Hintertür wurde später als legitime Software-Updates an die Kunden des Unternehmens weitergegeben. Rund 18,000 Kunden erhielten die vergifteten Updates. Doch weniger als 100 davon wurden später tatsächlich kompromittiert. Zu den Opfern von Nobelium gehörten Unternehmen wie Microsoft und Intel sowie Regierungsbehörden wie das US-Justiz- und Energieministerium.
SolarWinds führt einen vollständigen Neuaufbau durch
SolarWinds gab an, seitdem mehrere Änderungen an seinen Entwicklungs- und IT-Umgebungen vorgenommen zu haben, um sicherzustellen, dass so etwas nicht noch einmal passiert. Das Herzstück des neuen „Secure by Design“-Ansatzes des Unternehmens ist ein neues Build-System, das Angriffe wie im Jahr 2019 wesentlich schwieriger – und nahezu unmöglich – machen soll.
In einem aktuellen Gespräch mit Dark Reading beschreibt Tim Brown, CISO von SolarWinds, die neue Entwicklungsumgebung als eine Umgebung, in der Software in drei parallelen Builds entwickelt wird: einer Entwicklerpipeline, einer Staging-Pipeline und einer Produktionspipeline.
„Es gibt niemanden, der Zugriff auf alle diese Pipeline-Bauten hat“, sagt Brown. „Vor der Veröffentlichung führen wir einen Vergleich zwischen den Builds durch und stellen sicher, dass der Vergleich übereinstimmt.“ Das Ziel von drei separaten Builds besteht darin, sicherzustellen, dass unerwartete Änderungen am Code – ob böswillig oder anderweitig – nicht in die nächste Phase des Softwareentwicklungslebenszyklus übernommen werden.
„Wenn Sie einen Build beeinflussen wollten, hätten Sie nicht die Möglichkeit, den nächsten Build zu beeinflussen“, sagt er. „Man braucht eine Absprache zwischen den Menschen, um diesen Aufbau wieder in Gang zu bringen.“
Eine weitere wichtige Komponente des neuen Secure-by-Design-Ansatzes von SolarWinds sind die von Brown als kurzlebige Vorgänge bezeichneten Vorgänge, bei denen es keine langlebigen Umgebungen gibt, die Angreifer kompromittieren könnten. Bei diesem Ansatz werden Ressourcen bei Bedarf hochgefahren und zerstört, wenn die ihnen zugewiesene Aufgabe abgeschlossen ist, sodass Angriffe keine Möglichkeit haben, darauf eine Präsenz aufzubauen.
„Nehmen“ Sie einen Verstoß an
Als Teil des gesamten Sicherheitsverbesserungsprozesses hat SolarWinds außerdem eine Hardware-Token-basierte Multifaktor-Authentifizierung für alle IT- und Entwicklungsmitarbeiter implementiert und Mechanismen zum Aufzeichnen, Protokollieren und Überwachen aller Vorgänge während der Softwareentwicklung implementiert, sagt Brown. Nach dem Verstoß hat sich das Unternehmen darüber hinaus eine „mutmaßliche Verstoß“-Mentalität zu eigen gemacht, bei der Red-Team-Übungen und Penetrationstests ein wesentlicher Bestandteil sind.
„Ich versuche ständig, in mein Build-System einzudringen“, sagt Brown. „Könnte ich zum Beispiel eine Änderung in der Entwicklung vornehmen, die in der Bereitstellung oder in der Produktion endet?“
Das rote Team prüft jede Komponente und jeden Dienst innerhalb des Build-Systems von SolarWinds und stellt sicher, dass die Konfiguration dieser Komponenten gut ist und in einigen Fällen auch die Infrastruktur rund um diese Komponenten sicher ist, sagt er.
„Es hat sechs Monate gedauert, die Entwicklung neuer Funktionen einzustellen und sich ausschließlich auf die Sicherheit zu konzentrieren“, um zu einer sichereren Umgebung zu gelangen, sagt Brown. Die erste Version, die SolarWinds mit neuen Funktionen herausbrachte, sei zwischen acht und neun Monaten nach der Entdeckung der Sicherheitsverletzung erfolgt, sagt er. Er beschreibt die Arbeit, die SolarWinds zur Verbesserung der Softwaresicherheit geleistet hat, als „schweren Aufwand“, der sich aber seiner Meinung nach für das Unternehmen ausgezahlt hat.
„Es handelte sich lediglich um große Investitionen, um das Richtige zu tun [und] das Risiko im gesamten Zyklus so weit wie möglich zu reduzieren“, sagt Brown, der ebenfalls kürzlich tätig war Gemeinsame Schlüssellektionen Sein Unternehmen habe aus dem Angriff von 2020 gelernt.
