נראה כי רשות ניירות הערך של ארה"ב (SEC) מוכנה לנקוט בצעדי אכיפה נגד SolarWinds בגין הפרה לכאורה של חברת התוכנה הארגונית של חוקי ניירות ערך פדרליים בעת פרסום הצהרות וגילויים על הפרת המידע ב-2019 בחברה.
אם ה-SEC הייתה מתקדמת, SolarWinds עשויה לעמוד בפני עונשים כספיים אזרחיים ותידרש לספק "סעד הוגן אחר" בגין ההפרות לכאורה. הפעולה גם תחייב את SolarWinds לעסוק בהפרות עתידיות של חוקי ניירות הערך הפדרליים הרלוונטיים.
SolarWinds חשפה את פעולת האכיפה הפוטנציאלית של ה-SEC בהגשת טופס 8-K לאחרונה ל-SEC. בהגשה, SolarWinds אמרה שהיא קיבלה מה שנקרא "הודעת Wells" מה-SEC שציינה שצוות האכיפה של הרגולטור ביצע החלטה ראשונית להמליץ על פעולת האכיפה. הודעת וולס בעצם מודיע למשיב על חיובים שרגולטור ניירות ערך מתכוון להביא נגד משיב, ולכן יש לאחרון הזדמנות להכין תגובה.
SolarWinds טענה כי "הגילויים, ההצהרות הפומביות, הבקרות והנהלים שלה היו מתאימים". החברה ציינה שהיא תכין תגובה לעמדת צוות האכיפה של ה-SEC בעניין.
הפריצה למערכות של SolarWinds לא הייתה התגלה עד סוף 2020, כאשר מנדיאנט גילתה שכלי הצוות האדום שלה נגנבו בהתקפה.
הסדר תובענה ייצוגית
בנפרד, אך באותה הגשה, אמרה SolarWinds כי הסכימה לשלם 26 מיליון דולר כדי ליישב תביעות במסגרת תביעה ייצוגית הוגש נגד החברה וחלק מבכיריה. בתביעה נטען כי החברה הטעתה משקיעים בהצהרות פומביות, על נוהלי אבטחת הסייבר והבקרות שלה. ההסדר לא יהווה כל הודאה בשום תקלה, חבות או עוול באירוע. ההסדר, אם יאושר, יהיה בתשלום על ידי ביטוח החבות הרלוונטי של החברה.
הגילויים בטופס 8-K מגיעים כמעט שנתיים לאחר מכן SolarWinds דיווח כי התוקפים - זוהה מאוחר יותר כקבוצת איום רוסית נובליום - פרץ את סביבת הבנייה של פלטפורמת ניהול הרשת אוריון של החברה והטמין דלת אחורית בתוכנה. הדלת האחורית, שזכתה לכינוי Sunburst, נדחקה מאוחר יותר ללקוחות החברה כעדכוני תוכנה לגיטימיים. כ-18,000 לקוחות קיבלו את העדכונים המורעלים. אבל פחות מ-100 מהם נפגעו מאוחר יותר בפועל. הקורבנות של נובליום כללו חברות כמו מיקרוסופט ואינטל וכן סוכנויות ממשלתיות כמו משרדי המשפטים והאנרגיה האמריקאיים.
SolarWinds מבצעת בנייה מחדש מלאה
SolarWinds אמרה שהיא הטמיעה שינויים מרובים מאז בסביבות הפיתוח וה-IT שלה כדי להבטיח שאותו דבר לא יחזור. בליבה של גישת ה-Security by Design החדשה של החברה היא מערכת בנייה חדשה שנועדה להפוך התקפות מהסוג שקרו ב-2019 להרבה יותר קשות - וכמעט בלתי אפשריות - לביצוע.
בשיחה שנערכה לאחרונה עם Dark Reading, SolarWinds CISO Tim Brown מתאר את סביבת הפיתוח החדשה ככזו שבה תוכנה מפותחת בשלושה מבנים מקבילים: צינור מפתחים, צינור שלב וצינור ייצור.
"אין אדם אחד שיש לו גישה לכל מבני הצינור", אומר בראון. "לפני שאנו משחררים, מה שאנו עושים הוא לערוך השוואה בין הרכיבים ולוודא שההשוואה תואמת." המטרה בקיום שלושה בנייה נפרדת היא להבטיח שכל שינוי בלתי צפוי בקוד - זדוני או אחר - לא יועבר לשלב הבא של מחזור החיים של פיתוח התוכנה.
"אם היית רוצה להשפיע על מבנה אחד, לא הייתה לך את היכולת להשפיע על המבנה הבא", הוא אומר. "צריך קנוניה בין אנשים כדי להשפיע שוב על המבנה הזה."
מרכיב קריטי נוסף בגישת ה-Security-by-Design החדשה של SolarWinds הוא מה שבראון מכנה פעולות ארעיות - שבהן אין סביבות ארוכות חיים לתוקפים להתפשר. לפי הגישה, משאבים מסתובבים לפי דרישה ונהרסים כאשר המשימה שאליה הוקצו מסתיימת כך שלתקיפות אין הזדמנות לבסס נוכחות עליה.
"מניח" הפרה
כחלק מתהליך שיפור האבטחה הכולל, SolarWinds הטמיעה גם אימות רב-גורמי מבוסס אסימון חומרה עבור כל צוות ה-IT והפיתוח ופרסה מנגנונים להקלטה, רישום וביקורת של כל מה שקורה במהלך פיתוח תוכנה, אומר בראון. לאחר הפריצה, החברה בנוסף אימצה מנטליות של "פרה משוערת" שתרגילי הצוות האדום ובדיקות חדירה מהווים מרכיב חיוני שלה.
"אני שם ומנסה לפרוץ למערכת הבנייה שלי כל הזמן", אומר בראון. "לדוגמה, האם אוכל לעשות שינוי בפיתוח שיגמר בבימוי או יסתיים בהפקה?"
הצוות האדום בוחן כל רכיב ושירות בתוך מערכת הבנייה של SolarWinds, מוודא שהתצורה של רכיבים אלה טובה, ובמקרים מסוימים, התשתית המקיפה את הרכיבים הללו מאובטחת גם כן, הוא אומר.
"נדרשו שישה חודשים של סגירת פיתוח תכונות חדשות והתמקדות באבטחה בלבד" כדי להגיע לסביבה מאובטחת יותר, אומר בראון. המהדורה הראשונה של SolarWinds עם תכונות חדשות הייתה בין שמונה לתשעה חודשים לאחר גילוי הפרה, הוא אומר. הוא מתאר את העבודה ש-SolarWinds השקיעה כדי לחזק את אבטחת התוכנה כ"עלייה כבדה", אבל כזו שלדעתו השתלמה לחברה.
"אלה היו רק השקעות גדולות כדי לעשות את עצמנו נכון [ולצמצם את הסיכון הרב ככל האפשר בכל המחזור", אומר בראון, שגם לאחרונה שיעורי מפתח משותפים החברה שלו למדה מהתקיפה ב-2020.
