Komisi Sekuritas dan Pertukaran AS (SEC) tampaknya siap untuk mengambil tindakan penegakan terhadap SolarWinds atas dugaan pelanggaran perusahaan perangkat lunak terhadap undang-undang sekuritas federal saat membuat pernyataan dan pengungkapan tentang pelanggaran data 2019 di perusahaan.
Jika SEC bergerak maju, SolarWinds dapat menghadapi hukuman moneter sipil dan diharuskan memberikan "bantuan yang adil lainnya" untuk dugaan pelanggaran. Tindakan tersebut juga akan melarang SolarWinds terlibat dalam pelanggaran undang-undang sekuritas federal yang relevan di masa mendatang.
SolarWinds mengungkapkan potensi tindakan penegakan SEC dalam pengajuan Formulir 8-K baru-baru ini dengan SEC. Dalam pengarsipan, SolarWinds mengatakan telah menerima apa yang disebut "Pemberitahuan Wells" dari SEC mencatat bahwa staf penegakan regulator telah membuat keputusan awal untuk merekomendasikan tindakan penegakan hukum. Pemberitahuan Wells pada dasarnya memberitahu responden tentang biaya yang ingin diajukan oleh regulator sekuritas terhadap responden, sehingga yang terakhir memiliki kesempatan untuk menyiapkan tanggapan.
SolarWinds menyatakan bahwa "pengungkapan, pernyataan publik, kontrol, dan prosedurnya sudah sesuai." Perusahaan mencatat bahwa mereka akan menyiapkan tanggapan terhadap posisi staf penegakan SEC tentang masalah tersebut.
Pelanggaran ke sistem SolarWinds tidak ditemukan hingga akhir 2020, ketika Mandiant menemukan bahwa alat tim merahnya telah dicuri dalam serangan itu.
Penyelesaian Tindakan Kelas
Secara terpisah, tetapi dalam pengajuan yang sama, SolarWinds mengatakan telah setuju untuk membayar $26 juta untuk menyelesaikan klaim dalam gugatan class action diajukan terhadap perusahaan dan beberapa eksekutifnya. Gugatan tersebut mengklaim perusahaan telah menyesatkan investor dalam pernyataan publik, tentang praktik dan kontrol keamanan sibernya. Penyelesaian tersebut bukan merupakan pengakuan atas kesalahan, pertanggungjawaban, atau kesalahan apa pun atas insiden tersebut. Penyelesaian, jika disetujui, akan dibayar oleh asuransi kewajiban perusahaan yang berlaku.
Pengungkapan dalam Formulir 8-K muncul hampir dua tahun kemudian SolarWinds melaporkan bahwa penyerang โ kemudian diidentifikasi sebagai kelompok ancaman Rusia nobelium โ telah menembus lingkungan build dari platform manajemen jaringan Orion perusahaan dan memasang pintu belakang di perangkat lunak. Pintu belakang, dijuluki Sunburst, kemudian didorong ke pelanggan perusahaan sebagai pembaruan perangkat lunak yang sah. Sekitar 18,000 pelanggan menerima pembaruan yang diracuni. Tapi kurang dari 100 dari mereka kemudian benar-benar dikompromikan. Korban Nobelium termasuk perusahaan seperti Microsoft dan Intel serta lembaga pemerintah seperti Departemen Kehakiman dan Energi AS.
SolarWinds Menjalankan Pembangunan Ulang Lengkap
SolarWinds mengatakan telah menerapkan banyak perubahan sejak saat itu pada pengembangan dan lingkungan TI untuk memastikan hal yang sama tidak terjadi lagi. Inti dari pendekatan desain aman baru perusahaan adalah sistem pembangunan baru yang dirancang untuk membuat serangan seperti yang terjadi pada tahun 2019 jauh lebih sulit โ dan hampir mustahil โ untuk dilakukan.
Dalam percakapan baru-baru ini dengan Dark Reading, SolarWinds CISO Tim Brown menjelaskan lingkungan pengembangan baru sebagai lingkungan di mana perangkat lunak dikembangkan dalam tiga bangunan paralel: pipa pengembang, pipa pementasan, dan pipa produksi.
โTidak ada satu orang pun yang memiliki akses ke semua saluran pipa tersebut,โ kata Brown. โSebelum kami rilis, yang kami lakukan adalah melakukan perbandingan antara build dan memastikan perbandingannya cocok.โ Tujuan memiliki tiga build terpisah adalah untuk memastikan bahwa setiap perubahan tak terduga pada kode โ berbahaya atau lainnya โ tidak terbawa ke fase berikutnya dari siklus hidup pengembangan perangkat lunak.
โJika Anda ingin memengaruhi satu bangunan, Anda tidak akan memiliki kemampuan untuk memengaruhi bangunan berikutnya,โ ujarnya. "Anda membutuhkan kolusi di antara orang-orang untuk memengaruhi bangunan itu lagi."
Komponen penting lainnya dari pendekatan desain aman SolarWinds yang baru adalah apa yang disebut Brown sebagai operasi singkat - di mana tidak ada lingkungan jangka panjang yang dapat dikompromikan oleh penyerang. Di bawah pendekatan ini, sumber daya diputar sesuai permintaan dan dihancurkan ketika tugas yang telah ditugaskan kepada mereka selesai sehingga serangan tidak memiliki kesempatan untuk hadir di sana.
"Asumsikan" Pelanggaran
Sebagai bagian dari proses peningkatan keamanan secara keseluruhan, SolarWinds juga telah menerapkan otentikasi multifaktor berbasis token perangkat keras untuk semua staf TI dan pengembangan dan menerapkan mekanisme untuk merekam, mencatat, dan mengaudit semua yang terjadi selama pengembangan perangkat lunak, kata Brown. Setelah pelanggaran, perusahaan juga mengadopsi mentalitas "pelanggaran yang dianggap" di mana latihan tim merah dan pengujian penetrasi merupakan komponen penting.
โSaya di sana mencoba masuk ke sistem build saya sepanjang waktu,โ kata Brown. โMisalnya, dapatkah saya membuat perubahan dalam pengembangan yang akan berakhir di pementasan atau berakhir di produksi?โ
Tim merah melihat setiap komponen dan layanan dalam sistem build SolarWinds, memastikan bahwa konfigurasi komponen tersebut baik dan, dalam beberapa kasus, infrastruktur di sekitar komponen tersebut juga aman, katanya.
โButuh waktu enam bulan untuk menghentikan pengembangan fitur baru dan hanya berfokus pada keamananโ untuk mendapatkan lingkungan yang lebih aman, kata Brown. Rilis pertama SolarWinds dengan fitur-fitur baru adalah antara delapan dan sembilan bulan setelah penemuan pelanggaran, katanya. Dia menggambarkan pekerjaan yang dilakukan SolarWinds untuk meningkatkan keamanan perangkat lunak sebagai "angkat berat" tetapi yang menurutnya telah terbayar untuk perusahaan.
โItu hanyalah investasi besar untuk memperbaiki diri [dan] mengurangi risiko sebanyak mungkin dalam keseluruhan siklus,โ kata Brown, yang juga baru-baru ini berbagi pelajaran utama perusahaannya belajar dari serangan tahun 2020.
