Η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC) φαίνεται έτοιμη να λάβει μέτρα επιβολής κατά της SolarWinds για την υποτιθέμενη παραβίαση της ομοσπονδιακής νομοθεσίας περί κινητών αξιών από την εταιρεία λογισμικού επιχειρήσεων όταν κάνει δηλώσεις και αποκαλύψεις σχετικά με την παραβίαση δεδομένων του 2019 στην εταιρεία.
Εάν η SEC επρόκειτο να προχωρήσει, η SolarWinds θα μπορούσε να αντιμετωπίσει αστικές χρηματικές κυρώσεις και να της ζητηθεί να παράσχει «άλλη δίκαιη ανακούφιση» για τις εικαζόμενες παραβιάσεις. Η δράση θα επιτρέψει επίσης στη SolarWinds να εμπλέκεται σε μελλοντικές παραβιάσεις των σχετικών ομοσπονδιακών νόμων περί κινητών αξιών.
Η SolarWinds αποκάλυψε την πιθανή ενέργεια επιβολής της SEC σε μια πρόσφατη κατάθεση εντύπου 8-K στην SEC. Στην κατάθεση, η SolarWinds είπε ότι έλαβε μια λεγόμενη "Ειδοποίηση Wells" από την SEC, σημειώνοντας ότι το προσωπικό επιβολής της ρυθμιστικής αρχής είχε κάνει μια προκαταρκτική απόφαση για εισήγηση της εκτελεστικής ενέργειας. Μια ειδοποίηση Wells βασικά ειδοποιεί έναν ερωτώμενο για χρεώσεις ότι μια ρυθμιστική αρχή κινητών αξιών σκοπεύει να ασκήσει εναντίον ενός εναγόμενου, οπότε ο τελευταίος έχει την ευκαιρία να προετοιμάσει μια απάντηση.
Η SolarWinds υποστήριξε ότι «οι αποκαλύψεις, οι δημόσιες δηλώσεις, οι έλεγχοι και οι διαδικασίες της ήταν κατάλληλες». Η εταιρεία σημείωσε ότι θα προετοιμάσει μια απάντηση στη θέση του προσωπικού επιβολής της SEC σχετικά με το θέμα.
Η παραβίαση στα συστήματα της SolarWinds δεν ήταν ανακαλύφθηκε μέχρι τα τέλη του 2020, όταν η Mandiant διαπίστωσε ότι τα εργαλεία της κόκκινης ομάδας της είχαν κλαπεί στην επίθεση.
Διακανονισμός Ταξικής-Δράσης
Ξεχωριστά, αλλά στην ίδια κατάθεση, η SolarWinds είπε ότι συμφώνησε να πληρώσει 26 εκατομμύρια δολάρια για να διευθετήσει απαιτήσεις σε κατηγορηματικής αγωγής κατατέθηκε κατά της εταιρείας και ορισμένων στελεχών της. Η αγωγή ισχυριζόταν ότι η εταιρεία είχε παραπλανήσει τους επενδυτές σε δημόσιες δηλώσεις σχετικά με τις πρακτικές και τους ελέγχους της στον κυβερνοχώρο. Ο διακανονισμός δεν θα συνιστούσε αποδοχή οποιουδήποτε σφάλματος, ευθύνης ή αδικήματος σχετικά με το συμβάν. Ο διακανονισμός, εάν εγκριθεί, θα καταβληθεί από την ισχύουσα ασφάλεια αστικής ευθύνης της εταιρείας.
Οι αποκαλύψεις στο Έντυπο 8-K έρχονται σχεδόν δύο χρόνια μετά Η SolarWinds ανέφερε ότι οι επιτιθέμενοι — αργότερα αναγνωρίστηκε ως ρωσική ομάδα απειλής Νόμπελι — είχε παραβιάσει το περιβάλλον κατασκευής της πλατφόρμας διαχείρισης δικτύου Orion της εταιρείας και είχε δημιουργήσει μια κερκόπορτα στο λογισμικό. Η κερκόπορτα, που ονομάστηκε Sunburst, μεταδόθηκε αργότερα στους πελάτες της εταιρείας ως νόμιμες ενημερώσεις λογισμικού. Περίπου 18,000 πελάτες έλαβαν τις δηλητηριασμένες ενημερώσεις. Αλλά λιγότερα από 100 από αυτά αργότερα τέθηκαν σε κίνδυνο. Τα θύματα του Nobelium περιελάμβαναν εταιρείες όπως η Microsoft και η Intel καθώς και κρατικές υπηρεσίες όπως τα Υπουργεία Δικαιοσύνης και Ενέργειας των ΗΠΑ.
Η SolarWinds εκτελεί μια πλήρη ανακατασκευή
Η SolarWinds είπε ότι έχει εφαρμόσει πολλές αλλαγές από τότε στα περιβάλλοντα ανάπτυξης και πληροφορικής της για να διασφαλίσει ότι δεν θα συμβεί ξανά το ίδιο πράγμα. Στον πυρήνα της νέας προσέγγισης ασφαλούς σχεδιασμού της εταιρείας βρίσκεται ένα νέο σύστημα κατασκευής που έχει σχεδιαστεί για να κάνει τις επιθέσεις του είδους που συνέβησαν το 2019 πολύ πιο δύσκολο - και σχεδόν αδύνατο - να πραγματοποιηθούν.
Σε μια πρόσφατη συνομιλία με το Dark Reading, ο Tim Brown του SolarWinds CISO περιγράφει το νέο περιβάλλον ανάπτυξης ως ένα περιβάλλον όπου το λογισμικό αναπτύσσεται σε τρεις παράλληλες εκδόσεις: μια διοχέτευση προγραμματιστή, μια διοχέτευση φάσης και μια διοχέτευση παραγωγής.
«Δεν υπάρχει κανένα άτομο που να έχει πρόσβαση σε όλες αυτές τις κατασκευές αγωγών», λέει ο Brown. "Πριν κυκλοφορήσουμε, αυτό που κάνουμε είναι να κάνουμε μια σύγκριση μεταξύ των εκδόσεων και να βεβαιωθούμε ότι η σύγκριση ταιριάζει." Ο στόχος της ύπαρξης τριών ξεχωριστών εκδόσεων είναι να διασφαλιστεί ότι τυχόν απροσδόκητες αλλαγές στον κώδικα — κακόβουλες ή άλλες — δεν θα μεταφερθούν στην επόμενη φάση του κύκλου ζωής ανάπτυξης λογισμικού.
«Αν ήθελες να επηρεάσεις μια κατασκευή, δεν θα είχες τη δυνατότητα να επηρεάσεις την επόμενη κατασκευή», λέει. «Χρειάζεσαι συμπαιγνία μεταξύ των ανθρώπων για να επηρεάσεις ξανά αυτό το οικοδόμημα».
Ένα άλλο κρίσιμο στοιχείο της νέας προσέγγισης ασφαλούς ανά σχεδιασμό της SolarWinds είναι αυτό που ο Brown αποκαλεί εφήμερες λειτουργίες — όπου δεν υπάρχουν μακροχρόνια περιβάλλοντα για τους επιτιθέμενους να συμβιβαστούν. Σύμφωνα με την προσέγγιση, οι πόροι στροβιλίζονται κατόπιν ζήτησης και καταστρέφονται όταν ολοκληρωθεί η εργασία στην οποία τους έχει ανατεθεί, έτσι ώστε οι επιθέσεις να μην έχουν την ευκαιρία να εδραιώσουν την παρουσία τους.
«Υποθέστε» παραβίαση
Ως μέρος της συνολικής διαδικασίας βελτίωσης της ασφάλειας, η SolarWinds έχει επίσης εφαρμόσει έλεγχο ταυτότητας πολλαπλών παραγόντων που βασίζεται σε διακριτικά υλικού για όλο το προσωπικό πληροφορικής και ανάπτυξης και έχει αναπτύξει μηχανισμούς για καταγραφή, καταγραφή και έλεγχο όλων όσων συμβαίνουν κατά την ανάπτυξη λογισμικού, λέει ο Brown. Μετά την παραβίαση, η εταιρεία έχει επίσης υιοθετήσει μια νοοτροπία «υποτιθέμενης παραβίασης» της οποίας οι ασκήσεις της κόκκινης ομάδας και οι δοκιμές διείσδυσης αποτελούν ουσιαστικό συστατικό.
«Είμαι εκεί μέσα προσπαθώντας να εισχωρήσω στο σύστημα κατασκευής μου όλη την ώρα», λέει ο Brown. «Για παράδειγμα, θα μπορούσα να κάνω μια αλλαγή στην εξέλιξη που θα κατέληγε στη σκηνή ή στην παραγωγή;»
Η κόκκινη ομάδα εξετάζει κάθε στοιχείο και υπηρεσία στο σύστημα κατασκευής της SolarWinds, διασφαλίζοντας ότι η διαμόρφωση αυτών των στοιχείων είναι καλή και, σε ορισμένες περιπτώσεις, η υποδομή που περιβάλλει αυτά τα στοιχεία είναι επίσης ασφαλής, λέει.
«Χρειάστηκαν έξι μήνες για να τερματιστεί η ανάπτυξη νέων χαρακτηριστικών και να εστιάσουμε μόνο στην ασφάλεια» για να φτάσουμε σε ένα πιο ασφαλές περιβάλλον, λέει ο Brown. Η πρώτη έκδοση που κυκλοφόρησε η SolarWinds με νέα χαρακτηριστικά ήταν μεταξύ οκτώ και εννέα μηνών μετά την ανακάλυψη παραβίασης, λέει. Περιγράφει τη δουλειά που έχει κάνει η SolarWinds για την ενίσχυση της ασφάλειας του λογισμικού ως «βαριά άνοδο», αλλά πιστεύει ότι έχει αποδώσει καρπούς για την εταιρεία.
«Ήταν απλώς σημαντικές επενδύσεις για να κάνουμε τους εαυτούς μας σωστά [και] να μειώσουμε όσο το δυνατόν περισσότερο τον κίνδυνο σε ολόκληρο τον κύκλο», λέει ο Μπράουν, ο οποίος επίσης πρόσφατα κοινά βασικά μαθήματα Η εταιρεία του έμαθε από την επίθεση του 2020.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
