La Securities and Exchange Commission (SEC) des États-Unis semble sur le point de prendre des mesures d'exécution contre SolarWinds pour la prétendue violation par la société de logiciels d'entreprise des lois fédérales sur les valeurs mobilières lors de déclarations et de divulgations concernant la violation de données de 2019 dans l'entreprise.
Si la SEC devait aller de l'avant, SolarWinds pourrait faire face à des sanctions pécuniaires civiles et être tenue de fournir «d'autres réparations équitables» pour les violations alléguées. L'action interdirait également à SolarWinds de se livrer à de futures violations des lois fédérales sur les valeurs mobilières applicables.
SolarWinds a divulgué la mesure d'application potentielle de la SEC dans un récent dépôt de formulaire 8-K auprès de la SEC. Dans le dossier, SolarWinds a déclaré avoir reçu un soi-disant «avis de puits» de la SEC notant que le personnel d'application du régulateur avait fait une décision préliminaire de recommander la mesure d'exécution. Un avis Wells essentiellement informe un répondant des accusations qu'une autorité en valeurs mobilières a l'intention d'intenter contre un intimé, afin que ce dernier ait la possibilité de préparer une réponse.
SolarWinds a soutenu que ses "divulgations, déclarations publiques, contrôles et procédures étaient appropriés". La société a indiqué qu'elle préparerait une réponse à la position du personnel d'application de la loi de la SEC sur la question.
La brèche dans les systèmes de SolarWinds n'était pas découverte jusqu'à fin 2020, lorsque Mandiant a découvert que ses outils de l'équipe rouge avaient été volés lors de l'attaque.
Règlement du recours collectif
Séparément, mais dans le même dossier, SolarWinds a déclaré qu'il avait accepté de payer 26 millions de dollars pour régler les réclamations dans un recours collectif contre la société et certains de ses dirigeants. Le procès avait allégué que la société avait induit les investisseurs en erreur dans des déclarations publiques sur ses pratiques et ses contrôles en matière de cybersécurité. Le règlement ne constituerait aucune admission de faute, de responsabilité ou d'acte répréhensible concernant l'incident. Le règlement, s'il est approuvé, sera payé par l'assurance responsabilité civile applicable de l'entreprise.
Les divulgations dans le formulaire 8-K surviennent près de deux ans après SolarWinds a signalé que les attaquants - identifié plus tard comme un groupe menaçant russe Nobelium – avait violé l'environnement de construction de la plate-forme de gestion de réseau Orion de l'entreprise et planté une porte dérobée dans le logiciel. La porte dérobée, surnommée Sunburst, a ensuite été diffusée aux clients de l'entreprise en tant que mises à jour logicielles légitimes. Quelque 18,000 100 clients ont reçu les mises à jour empoisonnées. Mais moins de XNUMX d'entre eux ont été plus tard réellement compromis. Les victimes de Nobelium comprenaient des entreprises telles que Microsoft et Intel ainsi que des agences gouvernementales telles que les départements américains de la justice et de l'énergie.
SolarWinds exécute une reconstruction complète
SolarWinds a déclaré avoir mis en œuvre plusieurs changements depuis lors dans ses environnements de développement et informatiques pour s'assurer que la même chose ne se reproduise plus. Au cœur de la nouvelle approche sécurisée par conception de l'entreprise se trouve un nouveau système de construction conçu pour rendre les attaques du type de celles qui se sont produites en 2019 beaucoup plus difficiles – et presque impossibles – à réaliser.
Dans une récente conversation avec Dark Reading, le CISO de SolarWinds, Tim Brown, décrit le nouvel environnement de développement comme un environnement dans lequel le logiciel est développé en trois versions parallèles : un pipeline de développement, un pipeline de préproduction et un pipeline de production.
« Il n'y a personne qui ait accès à toutes ces constructions de pipelines », dit Brown. "Avant de publier, nous faisons une comparaison entre les versions et nous nous assurons que la comparaison correspond." L'objectif d'avoir trois versions distinctes est de s'assurer que toute modification inattendue du code - malveillante ou autre - ne soit pas reportée à la phase suivante du cycle de vie du développement logiciel.
"Si vous vouliez affecter une version, vous n'auriez pas la possibilité d'affecter la prochaine version", dit-il. "Vous avez besoin d'une collusion entre les gens pour affecter à nouveau cette construction."
Un autre élément essentiel de la nouvelle approche sécurisée dès la conception de SolarWinds est ce que Brown appelle les opérations éphémères - où il n'y a pas d'environnements de longue durée que les attaquants peuvent compromettre. Dans le cadre de cette approche, les ressources sont activées à la demande et détruites lorsque la tâche à laquelle elles ont été affectées est terminée, de sorte que les attaques n'ont aucune possibilité d'y établir une présence.
"Assumer" une infraction
Dans le cadre du processus global d'amélioration de la sécurité, SolarWinds a également mis en place une authentification multifacteur basée sur des jetons matériels pour tout le personnel informatique et de développement et a déployé des mécanismes pour enregistrer, consigner et auditer tout ce qui se passe pendant le développement logiciel, explique Brown. Après la violation, l'entreprise a en outre adopté une mentalité de « violation supposée » dont les exercices d'équipe rouge et les tests de pénétration sont une composante essentielle.
"Je suis là-dedans en train d'essayer de pénétrer dans mon système de construction tout le temps", dit Brown. "Par exemple, pourrais-je apporter un changement dans le développement qui se terminerait dans la mise en scène ou se retrouverait dans la production ?"
L'équipe rouge examine chaque composant et service du système de construction de SolarWinds, en s'assurant que la configuration de ces composants est bonne et, dans certains cas, que l'infrastructure entourant ces composants est également sécurisée, dit-il.
"Il a fallu six mois pour arrêter le développement de nouvelles fonctionnalités et se concentrer uniquement sur la sécurité" pour parvenir à un environnement plus sécurisé, déclare Brown. La première version de SolarWinds avec de nouvelles fonctionnalités a eu lieu entre huit et neuf mois après la découverte de la brèche, dit-il. Il décrit le travail que SolarWinds a fait pour renforcer la sécurité des logiciels comme un « poids lourd », mais qui, selon lui, a porté ses fruits pour l'entreprise.
"Ce n'étaient que des investissements majeurs pour nous redresser [et] réduire autant de risques que possible dans l'ensemble du cycle", déclare Brown, qui a également récemment leçons clés partagées son entreprise a appris de l'attaque de 2020.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
