米国証券取引委員会 (SEC) は、同社での 2019 年のデータ侵害に関する声明と開示を行った際に、エンタープライズ ソフトウェア企業が連邦証券法に違反した疑いがあるとして、SolarWinds に対して執行措置を取る態勢を整えているようです。
SECが前進した場合、SolarWindsは民事上の罰金に直面する可能性があり、申し立てられた違反に対して「その他の衡平法上の救済」を提供する必要があります. この訴訟はまた、SolarWinds が関連する連邦証券法に今後違反することを禁止するものです。
SolarWinds は、最近 SEC に提出したフォーム 8-K で、SEC の潜在的な執行措置を明らかにしました。 提出書類の中で、SolarWinds は、規制当局の執行スタッフが承認を行ったことを指摘する、いわゆる「ウェルズ通知」を SEC から受け取ったと述べた。 執行措置を勧告する仮決定. 基本的にウェルズ通知 料金について回答者に通知する 証券規制当局が回答者に対して提起するつもりであるため、回答者は回答を準備する機会があります。
SolarWinds は、「開示、公式声明、管理、および手順は適切であった」と主張しました。 同社は、この問題に関する SEC 執行スタッフの立場への対応を準備すると述べた。
SolarWinds のシステムへの侵入は、 2020年後半まで発見、Mandiant がその赤いチームのツールが攻撃で盗まれたことを発見したとき.
集団訴訟の和解
これとは別に、しかし同じ提出書類で、SolarWinds は、26 万ドルを支払うことに同意したと述べた。 集団訴訟 同社とその幹部の一部に対して提訴された。 訴訟は、同社がサイバーセキュリティの慣行と管理について、公式声明で投資家を誤解させたと主張していた。 和解は、事件に対する過失、責任、または不正行為の承認を構成するものではありません。 和解は、承認された場合、会社の該当する賠償責任保険によって支払われます。
8-Kフォームでの開示は、ほぼXNUMX年後に行われます SolarWinds は、攻撃者が — 後にロシアの脅威グループと特定 ノーベリウム — 同社の Orion ネットワーク管理プラットフォームのビルド環境に侵入し、ソフトウェアにバックドアを仕掛けました。 Sunburst と呼ばれるこのバックドアは、後に正規のソフトウェア アップデートとして同社の顧客に配布されました。 約 18,000 人の顧客が、有害なアップデートを受け取りました。 しかし、そのうち実際に侵害されたのは 100 未満でした。 Nobelium の被害者には、Microsoft や Intel などの企業のほか、米国司法省やエネルギー省などの政府機関が含まれていました。
SolarWinds が完全な再構築を実行
SolarWinds は、それ以来、同じことが二度と起こらないように、開発環境と IT 環境に複数の変更を実装したと述べています。 同社の新しいセキュア バイ デザイン アプローチの中核にあるのは、2019 年に発生した種類の攻撃を実行するのをはるかに困難にし、ほぼ不可能にするように設計された新しいビルド システムです。
SolarWinds の CISO である Tim Brown 氏は、Dark Reading との最近の会話の中で、新しい開発環境を、開発者パイプライン、ステージング パイプライン、および生産パイプラインという XNUMX つの並行ビルドでソフトウェアが開発される環境であると説明しています。
「パイプライン ビルドのすべてにアクセスできる人は一人もいません」と Brown 氏は言います。 「リリース前に、ビルド間の比較を行い、比較が一致することを確認します。」 XNUMX つの個別のビルドを持つ目的は、コードに対する予期しない変更 (悪意があるかどうかに関係なく) がソフトウェア開発ライフ サイクルの次の段階に持ち越されないようにすることです。
「あるビルドに影響を与えたい場合、次のビルドに影響を与えることはできません」と彼は言います。 「そのビルドに再び影響を与えるには、人々の間で結託する必要があります。」
SolarWinds の新しいセキュア バイ デザイン アプローチのもう XNUMX つの重要な要素は、Brown がエフェメラル オペレーションと呼んでいるものです。これは、攻撃者が侵害する長期的な環境がない場所です。 このアプローチでは、リソースは必要に応じてスピンアップされ、割り当てられたタスクが完了すると破棄されるため、攻撃が存在する機会がありません。
侵害を「想定」する
全体的なセキュリティ強化プロセスの一環として、SolarWinds は、すべての IT および開発スタッフにハードウェア トークン ベースの多要素認証を実装し、ソフトウェア開発中に発生するすべてのことを記録、ログ、および監査するためのメカニズムを展開した、と Brown 氏は言います。 侵害の後、同社はさらに「侵害の想定」の考え方を採用しており、そのためにレッドチームの演習と侵入テストが不可欠な要素となっています。
「私は常に自分のビルド システムに侵入しようとしています」と Brown 氏は言います。 「たとえば、最終的にステージングまたは本番環境になるような変更を開発に加えることはできますか?」
レッド チームは、SolarWinds のビルド システム内のすべてのコンポーネントとサービスを調べて、それらのコンポーネントの構成が適切であることを確認し、場合によっては、それらのコンポーネントを取り巻くインフラストラクチャも安全であることを確認します、と彼は言います。
「新機能の開発を停止し、セキュリティだけに集中するのに XNUMX か月かかりました」と、より安全な環境に到達するまでに Brown 氏は言います。 SolarWinds が新機能を搭載した最初のリリースを行ったのは、侵害が発見されてから XNUMX ~ XNUMX か月後だった、と彼は言います。 彼は、SolarWinds がソフトウェア セキュリティを強化するために行った作業を「重労働」であると説明していますが、会社にとっては報われたと考えています。
「それらは、自分たちを正しくするための主要な投資であり、サイクル全体で可能な限り多くのリスクを軽減するためのものでした」と Brown は言います。 共通の重要な教訓 彼の会社は 2020 年の攻撃から学びました。
