USA väärtpaberi- ja börsikomisjon (SEC) näib olevat valmis võtma SolarWindsi vastu täitemeetmeid ettevõtte tarkvaraettevõtte väidetava föderaalsete väärtpaberiseaduste rikkumise kohta, kui ta tegi avaldusi ja avalikustab 2019. aasta andmerikkumise kohta ettevõttes.
Kui SEC peaks edasi liikuma, võib SolarWindsi oodata tsiviilõiguslik rahatrahv ja temalt nõutakse väidetavate rikkumiste eest "muu õiglast leevendust". Samuti keelaks see meede SolarWindsil tulevikus asjakohaste föderaalsete väärtpaberiseaduste rikkumistes.
SolarWinds avalikustas SEC-i võimalikud jõustamismeetmed hiljuti SEC-ile esitatavas vormis 8-K. Taotluses ütles SolarWinds, et on saanud SEC-ilt nn kaevude teatise, milles märgiti, et reguleeriva asutuse täitevpersonal on teinud eelotsus täitetoimingu soovitamiseks. Põhimõtteliselt Wellsi teade teavitab vastajat tasudest mida väärtpaberiregulaator kavatseb kostja vastu esitada, mistõttu viimasel on võimalus vastus koostada.
SolarWinds väitis, et tema "avalikustamine, avalikud avaldused, kontrollid ja protseduurid olid asjakohased". Ettevõte märkis, et valmistab ette vastuse SECi täitevtöötajate seisukohale selles küsimuses.
SolarWindsi süsteemide rikkumine ei olnud avastati kuni 2020. aasta lõpuni, kui Mandiant avastas, et tema punase meeskonna tööriistu oli rünnakul varastatud.
Ühishagi kokkulepe
Eraldi, kuid samas avalduses teatas SolarWinds, et on nõustunud maksma 26 miljonit dollarit nõuete lahendamiseks klassihagi kohtuasi esitati ettevõtte ja mõnede selle juhtide vastu. Kohtuasjas väideti, et ettevõte oli eksitanud investoreid avalikes avaldustes oma küberturvalisuse tavade ja kontrollide kohta. Leping ei tähenda mingisuguse süü, vastutuse või süüteo tunnistamist juhtunuga seoses. Kui arveldus on heaks kiidetud, tasub selle ettevõtte kehtiv vastutuskindlustus.
Vormi 8-K avalikustamine ilmub peaaegu kaks aastat hiljem SolarWinds teatas, et ründajad — hiljem tuvastati Venemaa ohugrupina Nobelium — oli rikkunud ettevõtte Orioni võrguhaldusplatvormi ehituskeskkonda ja pannud tarkvarasse tagaukse. Tagumine, nimega Sunburst, lükati hiljem ettevõtte klientidele seaduslike tarkvarauuendustena välja. Umbes 18,000 100 klienti said mürgitatud uuendused. Kuid vähem kui XNUMX neist sattus hiljem tegelikult ohtu. Nobeliumi ohvrite hulgas olid sellised ettevõtted nagu Microsoft ja Intel, aga ka valitsusasutused, nagu USA justiits- ja energeetikaosakonnad.
SolarWinds teostab täieliku ümberehituse
SolarWinds on öelnud, et on sellest ajast alates oma arendus- ja IT-keskkondades rakendanud mitmeid muudatusi, tagamaks, et sama asja ei korduks. Ettevõtte uue turvalise disainiga lähenemisviisi keskmes on uus ehitussüsteem, mis on loodud 2019. aastal toimunud rünnakute sooritamise palju raskemaks ja peaaegu võimatuks muutmiseks.
Hiljutises vestluses Dark Readingiga kirjeldab SolarWinds CISO Tim Brown uut arenduskeskkonda kui sellist, kus tarkvara arendatakse kolmes paralleelses ehituses: arendaja torujuhtmes, etapis ja tootmisprotsessis.
"Ühelgi inimesel pole juurdepääsu kõigile nendele torujuhtmete ehitustele, " ütleb Brown. "Enne avaldamist võrdleme konstruktsioone ja veendume, et võrdlus ühtib." Kolme eraldi järgu loomise eesmärk on tagada, et kõik ootamatud muudatused koodis – pahatahtlikud või muud – ei kanduks üle tarkvaraarenduse elutsükli järgmisse faasi.
"Kui soovite mõjutada ühte konstruktsiooni, ei oleks teil võimalust mõjutada järgmist konstruktsiooni," ütleb ta. "Teil on vaja inimestevahelist kokkumängu, et seda hoonet uuesti mõjutada."
Teine oluline komponent SolarWindsi uue turvalise disainilahenduse juures on see, mida Brown nimetab lühiajalisteks operatsioonideks – kus pole pikaealisi keskkondi, kus ründajad saaksid kompromisse teha. Selle lähenemisviisi kohaselt eraldatakse ressursse nõudmisel ja hävitatakse, kui neile määratud ülesanne on lõpule viidud, nii et rünnakutel pole võimalust sellel kohalolekut luua.
"Eelda" rikkumist
Osana üldisest turvalisuse suurendamise protsessist on SolarWinds rakendanud ka riistvara tokenipõhise mitmefaktorilise autentimise kõigi IT- ja arendustöötajate jaoks ning juurutanud mehhanismid kõige tarkvaraarenduse käigus toimuva salvestamiseks, logimiseks ja auditeerimiseks, ütleb Brown. Peale rikkumist on ettevõte võtnud kasutusele "oletatava rikkumise" mentaliteedi, mille oluliseks komponendiks on punase meeskonna harjutused ja läbitungimistestid.
"Ma üritan kogu aeg oma ehitussüsteemi sisse murda," ütleb Brown. "Kas ma saaksin näiteks teha arenduses muudatuse, mis lõppeks lavastusega või tootmisega?"
Punane meeskond vaatab kõiki SolarWindsi ehitussüsteemi komponente ja teenust, tagades, et nende komponentide konfiguratsioon on hea ja mõnel juhul on ka neid komponente ümbritsev infrastruktuur turvaline, ütleb ta.
"Turvalisemasse keskkonda jõudmiseks kulus kuus kuud uute funktsioonide arendamise sulgemist ja ainult turvalisusele keskendumist", ütleb Brown. Ta ütleb, et SolarWindsi esimene väljalase uute funktsioonidega oli kaheksa kuni üheksa kuud pärast rikkumise avastamist. Ta kirjeldab tööd, mille SolarWinds tarkvaraturbe tugevdamiseks on teinud, kui "rasket tõstet", kuid see on tema arvates ettevõttele ära tasunud.
"Need olid lihtsalt suured investeeringud, et end korda saada [ja] kogu tsükli jooksul võimalikult palju riske vähendada," ütleb Brown, kes samuti hiljuti jagasid olulisi õppetunde tema ettevõte õppis 2020. aasta rünnakust.
