La Comisión de Bolsa y Valores de EE. UU. (SEC) parece dispuesta a tomar medidas coercitivas contra SolarWinds por la supuesta violación de las leyes federales de valores por parte de la compañía de software empresarial al hacer declaraciones y divulgaciones sobre la violación de datos de 2019 en la compañía.
Si la SEC avanzara, SolarWinds podría enfrentar sanciones monetarias civiles y se le exigiría que proporcionara “otra compensación equitativa” por las supuestas violaciones. La acción también prohibiría a SolarWinds cometer futuras violaciones de las leyes federales de valores pertinentes.
SolarWinds reveló la posible acción de cumplimiento de la SEC en una presentación reciente del Formulario 8-K ante la SEC. En la presentación, SolarWinds dijo que había recibido el llamado "Aviso de Wells" de la SEC en el que se señalaba que el personal de aplicación del regulador había hecho una decisión preliminar para recomendar la acción de ejecución. Un aviso de Wells básicamente notifica al demandado sobre los cargos que un regulador de valores pretende interponer contra un demandado, para que este último tenga la oportunidad de preparar una respuesta.
SolarWinds sostuvo que sus "divulgaciones, declaraciones públicas, controles y procedimientos eran apropiados". La compañía señaló que prepararía una respuesta a la posición del personal de aplicación de la SEC sobre el asunto.
La violación de los sistemas de SolarWinds no fue descubierto hasta finales de 2020, cuando Mandiant descubrió que sus herramientas del equipo rojo habían sido robadas en el ataque.
Acuerdo de demanda colectiva
Por separado, pero en la misma presentación, SolarWinds dijo que había acordado pagar 26 millones de dólares para resolver reclamaciones en un demanda colectiva presentado contra la empresa y algunos de sus ejecutivos. La demanda afirmaba que la empresa había engañado a los inversores en declaraciones públicas sobre sus prácticas y controles de ciberseguridad. El acuerdo no constituiría ninguna admisión de culpa, responsabilidad o irregularidad en relación con el incidente. El acuerdo, si se aprueba, será pagado por el seguro de responsabilidad aplicable de la empresa.
Las revelaciones en el Formulario 8-K llegan casi dos años después SolarWinds informó que los atacantes - posteriormente identificado como grupo de amenaza ruso Nobelio – había violado el entorno de construcción de la plataforma de gestión de red Orion de la empresa y había colocado una puerta trasera en el software. La puerta trasera, denominada Sunburst, se envió posteriormente a los clientes de la empresa como actualizaciones de software legítimas. Unos 18,000 clientes recibieron las actualizaciones envenenadas. Pero menos de 100 de ellos se vieron comprometidos posteriormente. Entre las víctimas de Nobelium se encontraban empresas como Microsoft e Intel, así como agencias gubernamentales como los departamentos de Justicia y Energía de Estados Unidos.
SolarWinds ejecuta una reconstrucción completa
SolarWinds ha dicho que ha implementado múltiples cambios desde entonces en sus entornos de desarrollo y TI para garantizar que no vuelva a suceder lo mismo. En el centro del nuevo enfoque de seguridad por diseño de la compañía se encuentra un nuevo sistema de construcción diseñado para hacer que los ataques como los que ocurrieron en 2019 sean mucho más difíciles (y casi imposibles) de llevar a cabo.
En una conversación reciente con Dark Reading, el CISO de SolarWinds, Tim Brown, describe el nuevo entorno de desarrollo como uno en el que el software se desarrolla en tres compilaciones paralelas: una canalización de desarrollo, una canalización de prueba y una canalización de producción.
"No hay una sola persona que tenga acceso a todos esos oleoductos construidos", dice Brown. "Antes de lanzarlo, lo que hacemos es comparar las versiones y asegurarnos de que coincidan". El objetivo de tener tres compilaciones separadas es garantizar que cualquier cambio inesperado en el código (malicioso o de otro tipo) no se traslade a la siguiente fase del ciclo de vida del desarrollo del software.
"Si quisieras afectar una compilación, no tendrías la capacidad de afectar la siguiente", dice. "Se necesita connivencia entre las personas para afectar esa construcción nuevamente".
Otro componente crítico del nuevo enfoque de seguridad por diseño de SolarWinds es lo que Brown llama operaciones efímeras, donde no hay entornos de larga duración que los atacantes puedan comprometer. Según este enfoque, los recursos se activan según la demanda y se destruyen cuando se completa la tarea a la que han sido asignados, de modo que los ataques no tienen oportunidad de establecer una presencia en ellos.
“Asumir” una infracción
Como parte del proceso general de mejora de la seguridad, SolarWinds también implementó autenticación multifactor basada en tokens de hardware para todo el personal de desarrollo y TI y desplegó mecanismos para registrar, registrar y auditar todo lo que sucede durante el desarrollo de software, dice Brown. Después de la infracción, la empresa además adoptó una mentalidad de “supuesta infracción” en la que los ejercicios del equipo rojo y las pruebas de penetración son un componente esencial.
"Estoy ahí tratando de entrar en mi sistema de construcción todo el tiempo", dice Brown. “Por ejemplo, ¿podría hacer un cambio en el desarrollo que terminaría en la puesta en escena o terminaría en la producción?”
El equipo rojo analiza cada componente y servicio dentro del sistema de construcción de SolarWinds, asegurándose de que la configuración de esos componentes sea buena y, en algunos casos, la infraestructura que rodea esos componentes también sea segura, afirma.
"Fueron necesarios seis meses para detener el desarrollo de nuevas funciones y centrarse únicamente en la seguridad" para llegar a un entorno más seguro, afirma Brown. La primera versión que lanzó SolarWinds con nuevas funciones fue entre ocho y nueve meses después del descubrimiento de la infracción, dice. Describe el trabajo que SolarWinds ha realizado para reforzar la seguridad del software como un “trabajo pesado”, pero cree que ha valido la pena para la empresa.
"Fueron simplemente inversiones importantes para hacernos bien [y] reducir el mayor riesgo posible en todo el ciclo", dice Brown, quien recientemente también lecciones clave compartidas su empresa se enteró del ataque de 2020.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
