अमेरिकी प्रतिभूति और विनिमय आयोग (एसईसी) कंपनी में 2019 डेटा उल्लंघन के बारे में बयान और खुलासे करते समय एंटरप्राइज़ सॉफ़्टवेयर कंपनी द्वारा संघीय प्रतिभूति कानूनों के कथित उल्लंघन के लिए सोलरविंड्स के खिलाफ प्रवर्तन कार्रवाई करने के लिए तैयार प्रतीत होता है।
यदि एसईसी आगे बढ़ता है, तो सोलरविंड्स को नागरिक मौद्रिक दंड का सामना करना पड़ सकता है और कथित उल्लंघनों के लिए "अन्य न्यायसंगत राहत" प्रदान करने की आवश्यकता हो सकती है। यह कार्रवाई सोलरविंड्स को भविष्य में प्रासंगिक संघीय प्रतिभूति कानूनों के उल्लंघन में शामिल होने से भी रोकेगी।
सोलरविंड्स ने एसईसी के साथ हाल ही में फॉर्म 8-के फाइलिंग में एसईसी की संभावित प्रवर्तन कार्रवाई का खुलासा किया। फाइलिंग में, सोलरविंड्स ने कहा कि उसे एसईसी से एक तथाकथित "वेल्स नोटिस" प्राप्त हुआ था जिसमें कहा गया था कि नियामक के प्रवर्तन कर्मचारियों ने एक प्रवर्तन कार्रवाई की सिफ़ारिश करने हेतु प्रारंभिक निर्णय. मूल रूप से एक वेल्स नोटिस प्रतिवादी को आरोपों के बारे में सूचित करता है एक प्रतिभूति नियामक एक प्रतिवादी के खिलाफ कार्रवाई करने का इरादा रखता है, इसलिए बाद वाले के पास प्रतिक्रिया तैयार करने का अवसर होता है।
सोलरविंड्स ने कहा कि उसके "खुलासे, सार्वजनिक बयान, नियंत्रण और प्रक्रियाएं उचित थीं।" कंपनी ने नोट किया कि वह इस मामले पर एसईसी प्रवर्तन कर्मचारियों की स्थिति पर प्रतिक्रिया तैयार करेगी।
सोलरविंड्स के सिस्टम में सेंध नहीं लगी थी 2020 के अंत तक खोजा गया, जब मैंडिएंट को पता चला कि हमले में उसके रेड-टीम उपकरण चोरी हो गए थे।
क्लास-एक्शन सेटलमेंट
अलग से, लेकिन उसी फाइलिंग में, सोलरविंड्स ने कहा कि वह दावों को निपटाने के लिए $26 मिलियन का भुगतान करने पर सहमत हो गया है फौजदारी का मुकदमा कंपनी और उसके कुछ अधिकारियों के खिलाफ दायर किया गया। मुकदमे में दावा किया गया था कि कंपनी ने अपनी साइबर सुरक्षा प्रथाओं और नियंत्रणों के बारे में सार्वजनिक बयानों में निवेशकों को गुमराह किया था। समझौते में घटना पर किसी गलती, दायित्व या गलत कार्य की स्वीकारोक्ति शामिल नहीं होगी। निपटान, यदि स्वीकृत हो जाता है, तो कंपनी के लागू देयता बीमा द्वारा भुगतान किया जाएगा।
8-K फॉर्म में खुलासे लगभग दो साल बाद हुए हैं सोलरविंड्स ने बताया कि हमलावर - बाद में रूसी खतरा समूह के रूप में पहचाना गया Nobelium - कंपनी के ओरियन नेटवर्क प्रबंधन प्लेटफ़ॉर्म के निर्माण वातावरण का उल्लंघन किया था और सॉफ़्टवेयर में एक पिछला दरवाज़ा लगाया था। पिछले दरवाजे, जिसे सनबर्स्ट कहा गया, को बाद में कंपनी के ग्राहकों के लिए वैध सॉफ़्टवेयर अपडेट के रूप में भेज दिया गया। लगभग 18,000 ग्राहकों को ज़हरीले अपडेट प्राप्त हुए। लेकिन उनमें से 100 से भी कम के साथ बाद में वास्तव में समझौता किया गया। नोबेलियम के पीड़ितों में माइक्रोसॉफ्ट और इंटेल जैसी कंपनियों के साथ-साथ अमेरिकी न्याय और ऊर्जा विभाग जैसी सरकारी एजेंसियां भी शामिल थीं।
सोलरविंड्स पूर्ण पुनर्निर्माण निष्पादित करता है
सोलरविंड्स ने कहा है कि उसने तब से अपने विकास और आईटी वातावरण में कई बदलाव लागू किए हैं ताकि यह सुनिश्चित किया जा सके कि वही चीज़ दोबारा न हो। कंपनी के नए सिक्योर बाई डिज़ाइन दृष्टिकोण के मूल में एक नया बिल्ड सिस्टम है जिसे 2019 में हुए हमलों को और अधिक कठिन - और लगभग असंभव - बनाने के लिए डिज़ाइन किया गया है।
डार्क रीडिंग के साथ हाल ही में हुई बातचीत में, सोलरविंड्स सीआईएसओ टिम ब्राउन ने नए विकास परिवेश का वर्णन इस प्रकार किया है, जहां सॉफ्टवेयर को तीन समानांतर बिल्डों में विकसित किया जाता है: एक डेवलपर पाइपलाइन, एक स्टेजिंग पाइपलाइन और एक उत्पादन पाइपलाइन।
ब्राउन कहते हैं, "ऐसा कोई भी व्यक्ति नहीं है जिसकी उन सभी पाइपलाइन निर्माणों तक पहुंच हो।" "रिलीज़ करने से पहले, हम बिल्ड के बीच तुलना करते हैं और सुनिश्चित करते हैं कि तुलना मेल खाती है।" तीन अलग-अलग बिल्ड बनाने का लक्ष्य यह सुनिश्चित करना है कि कोड में कोई भी अप्रत्याशित परिवर्तन - दुर्भावनापूर्ण या अन्यथा - सॉफ्टवेयर विकास जीवन चक्र के अगले चरण में न हो।
"यदि आप एक निर्माण को प्रभावित करना चाहते हैं, तो आपके पास अगले निर्माण को प्रभावित करने की क्षमता नहीं होगी," वे कहते हैं। "उस निर्माण को फिर से प्रभावित करने के लिए आपको लोगों के बीच मिलीभगत की आवश्यकता है।"
सोलरविंड्स के नए सुरक्षित-दर-डिज़ाइन दृष्टिकोण का एक और महत्वपूर्ण घटक वह है जिसे ब्राउन क्षणिक संचालन कहता है - जहां हमलावरों के लिए समझौता करने के लिए कोई दीर्घकालिक वातावरण नहीं है। दृष्टिकोण के तहत, संसाधनों को मांग के अनुसार उछाला जाता है और जब उन्हें सौंपा गया कार्य पूरा हो जाता है तो उन्हें नष्ट कर दिया जाता है, इसलिए हमलों के लिए उस पर उपस्थिति स्थापित करने का कोई अवसर नहीं होता है।
"मान लीजिए" एक उल्लंघन
ब्राउन का कहना है कि समग्र सुरक्षा वृद्धि प्रक्रिया के हिस्से के रूप में, सोलरविंड्स ने सभी आईटी और विकास कर्मचारियों के लिए हार्डवेयर टोकन-आधारित मल्टीफैक्टर प्रमाणीकरण भी लागू किया है और सॉफ्टवेयर विकास के दौरान होने वाली हर चीज की रिकॉर्डिंग, लॉगिंग और ऑडिटिंग के लिए तंत्र तैनात किया है। उल्लंघन के बाद, कंपनी ने "अनुमानित उल्लंघन" मानसिकता भी अपना ली है, जिसमें रेड-टीम अभ्यास और प्रवेश परीक्षण एक आवश्यक घटक हैं।
ब्राउन कहते हैं, ''मैं वहां हर समय अपने निर्माण सिस्टम में सेंध लगाने की कोशिश कर रहा हूं।'' "उदाहरण के लिए, क्या मैं विकास में कोई बदलाव कर सकता हूँ जो स्टेजिंग में ख़त्म होगा या उत्पादन में ख़त्म होगा?"
उनका कहना है कि रेड टीम सोलरविंड्स के निर्माण सिस्टम के भीतर हर घटक और सेवा को देखती है, यह सुनिश्चित करती है कि उन घटकों का कॉन्फ़िगरेशन अच्छा है और, कुछ मामलों में, उन घटकों के आसपास का बुनियादी ढांचा भी सुरक्षित है।
ब्राउन का कहना है, "अधिक सुरक्षित वातावरण पाने के लिए नए फीचर विकास को बंद करने और केवल सुरक्षा पर ध्यान केंद्रित करने में छह महीने लग गए"। उनका कहना है कि सोलरविंड्स ने नई सुविधाओं के साथ पहली रिलीज ब्रीच डिस्कवरी के आठ से नौ महीने के बीच की थी। उन्होंने सॉफ्टवेयर सुरक्षा को मजबूत करने के लिए सोलरविंड्स द्वारा किए गए काम को "भारी लिफ्ट" के रूप में वर्णित किया है, लेकिन उनका मानना है कि इससे कंपनी को फायदा हुआ है।
ब्राउन कहते हैं, "वे खुद को सही करने के लिए [और] पूरे चक्र में जितना संभव हो उतना जोखिम कम करने के लिए बड़े निवेश थे।" साझा किए गए प्रमुख सबक उनकी कंपनी ने 2020 के हमले से सीखा।
