La Securities and Exchange Commission (SEC) degli Stati Uniti sembra pronta ad intraprendere azioni coercitive contro SolarWinds per la presunta violazione delle leggi federali sui titoli da parte della società di software aziendale quando rilascia dichiarazioni e divulgazioni sulla violazione dei dati del 2019 presso l'azienda.
Se la SEC dovesse andare avanti, SolarWinds potrebbe affrontare sanzioni pecuniarie civili e essere tenuta a fornire “altri rimedi equi” per le presunte violazioni. L’azione impedirebbe inoltre a SolarWinds di impegnarsi in future violazioni delle pertinenti leggi federali sui titoli.
SolarWinds ha rivelato la potenziale azione esecutiva della SEC in un recente deposito del modulo 8-K presso la SEC. Nella documentazione, SolarWinds ha affermato di aver ricevuto un cosiddetto "Wells Notice" dalla SEC in cui si notava che il personale di controllo del regolatore aveva effettuato un decisione preliminare di raccomandare l'azione esecutiva. Fondamentalmente un avviso di Wells informa un convenuto delle accuse che un'autorità di regolamentazione dei valori mobiliari intende intentare nei confronti di un convenuto, in modo che quest'ultimo abbia l'opportunità di preparare una risposta.
SolarWinds ha sostenuto che le sue “divulgazioni, dichiarazioni pubbliche, controlli e procedure erano appropriate”. La società ha osservato che preparerà una risposta alla posizione del personale della SEC sulla questione.
La violazione dei sistemi di SolarWinds non lo è stata scoperto fino alla fine del 2020, quando Mandiant scoprì che i suoi strumenti della squadra rossa erano stati rubati durante l'attacco.
Transazione dell'azione collettiva
Separatamente, ma nello stesso deposito, SolarWinds ha dichiarato di aver accettato di pagare 26 milioni di dollari per liquidare i sinistri in un azione legale collettiva intentato contro la società e alcuni dei suoi dirigenti. La causa aveva affermato che la società aveva ingannato gli investitori nelle dichiarazioni pubbliche sulle sue pratiche e controlli di sicurezza informatica. L'accordo non costituirebbe alcuna ammissione di colpa, responsabilità o illecito in relazione all'incidente. La liquidazione, se approvata, sarà pagata dall'assicurazione di responsabilità civile applicabile della società.
Le rivelazioni nel modulo 8-K arrivano quasi due anni dopo SolarWinds ha riferito che gli aggressori - successivamente identificato come gruppo di minaccia russo Nobelium - aveva violato l'ambiente di creazione della piattaforma di gestione della rete Orion dell'azienda e aveva inserito una backdoor nel software. La backdoor, soprannominata Sunburst, è stata successivamente distribuita ai clienti dell'azienda come aggiornamenti software legittimi. Circa 18,000 clienti hanno ricevuto gli aggiornamenti avvelenati. Ma meno di 100 di essi furono successivamente effettivamente compromessi. Tra le vittime di Nobelium figurano aziende come Microsoft e Intel, nonché agenzie governative come i dipartimenti di Giustizia ed Energia degli Stati Uniti.
SolarWinds esegue una ricostruzione completa
SolarWinds ha affermato di aver implementato molteplici modifiche da allora al suo sviluppo e agli ambienti IT per garantire che la stessa cosa non si ripeta. Al centro del nuovo approccio secure by design dell’azienda c’è un nuovo sistema di build progettato per rendere gli attacchi del tipo di quelli avvenuti nel 2019 molto più difficili – e quasi impossibili – da eseguire.
In una recente conversazione con Dark Reading, Tim Brown, CISO di SolarWinds, descrive il nuovo ambiente di sviluppo come un ambiente in cui il software viene sviluppato in tre build parallele: una pipeline di sviluppo, una pipeline di staging e una pipeline di produzione.
"Non esiste una sola persona che abbia accesso a tutte queste strutture di pipeline", afferma Brown. "Prima del rilascio, ciò che facciamo è confrontare le build e assicurarci che il confronto corrisponda." L'obiettivo di avere tre build separate è garantire che eventuali modifiche impreviste al codice, dannose o meno, non vengano trasferite alla fase successiva del ciclo di vita dello sviluppo del software.
"Se volessi influenzare una build, non avresti la possibilità di influenzare la build successiva", afferma. “È necessaria la collusione tra le persone per influenzare nuovamente quella costruzione”.
Un altro componente critico del nuovo approccio secure-by-design di SolarWinds è ciò che Brown chiama operazioni effimere, ovvero in cui non esistono ambienti di lunga durata che gli aggressori possano compromettere. Secondo questo approccio, le risorse vengono attivate su richiesta e distrutte quando il compito a cui sono state assegnate viene completato, in modo che gli attacchi non abbiano la possibilità di stabilire una presenza su di esse.
“Presupporre” una violazione
Come parte del processo complessivo di miglioramento della sicurezza, SolarWinds ha anche implementato l’autenticazione multifattore basata su token hardware per tutto il personale IT e di sviluppo e ha implementato meccanismi per la registrazione, la registrazione e il controllo di tutto ciò che accade durante lo sviluppo del software, afferma Brown. Dopo la violazione, l’azienda ha inoltre adottato una mentalità di “presunta violazione” di cui gli esercizi di squadra rossa e i test di penetrazione sono una componente essenziale.
"Cerco continuamente di entrare nel mio sistema di costruzione", afferma Brown. "Ad esempio, potrei apportare una modifica allo sviluppo che finirebbe nella fase di allestimento o finirebbe nella produzione?"
Il team rosso esamina ogni componente e servizio all'interno del sistema di costruzione di SolarWinds, assicurandosi che la configurazione di tali componenti sia buona e, in alcuni casi, anche l'infrastruttura che circonda tali componenti sia sicura, afferma.
"Ci sono voluti sei mesi per interrompere lo sviluppo di nuove funzionalità e concentrarsi esclusivamente sulla sicurezza" per ottenere un ambiente più sicuro, afferma Brown. La prima versione rilasciata da SolarWinds con nuove funzionalità è avvenuta tra otto e nove mesi dopo la scoperta della violazione, afferma. Descrive il lavoro svolto da SolarWinds per rafforzare la sicurezza del software come un "lavoro pesante", ma che secondo lui ha dato i suoi frutti all'azienda.
"Si trattava semplicemente di investimenti importanti per rimetterci in sesto [e] ridurre il maggior rischio possibile nell'intero ciclo", afferma Brown, che recentemente ha anche insegnamenti fondamentali condivisi la sua azienda ha imparato dall'attacco del 2020.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
