미국 증권거래위원회(SEC)는 회사의 2019년 데이터 침해에 대해 진술 및 공개할 때 엔터프라이즈 소프트웨어 회사가 연방 증권법을 위반했다고 주장하는 SolarWinds에 대해 집행 조치를 취할 준비가 되어 있는 것으로 보입니다.
SEC가 앞으로 나아갈 경우 SolarWinds는 민사 금전적 처벌을 받을 수 있으며 위반 혐의에 대해 "기타 공평한 구제"를 제공해야 합니다. 이 조치는 또한 SolarWinds가 향후 관련 연방 증권법 위반에 가담하는 것을 금지할 것입니다.
SolarWinds는 최근 SEC에 제출한 Form 8-K를 통해 SEC의 잠재적 집행 조치를 공개했습니다. 서류에서 SolarWinds는 SEC로부터 규제 당국의 집행 직원이 집행 조치를 권고하는 예비 결정. Wells 공지는 기본적으로 피고인에게 혐의에 대해 알립니다. 증권 규제 기관이 피고인을 상대로 제기할 의도가 있으므로 피고인은 응답을 준비할 기회를 갖게 됩니다.
SolarWinds는 "공개, 공개 성명, 통제 및 절차가 적절했다"고 주장했습니다. 회사는 해당 문제에 대한 SEC 집행 직원의 입장에 대한 답변을 준비할 것이라고 밝혔습니다.
SolarWinds 시스템에 대한 침해는 그렇지 않았습니다. 2020년 말까지 발견, Mandiant는 레드팀 도구가 공격 중에 도난당했다는 사실을 발견했습니다.
집단소송 합의
이와 별도로, 같은 서류에서 SolarWinds는 청구를 해결하기 위해 26만 달러를 지불하기로 합의했다고 밝혔습니다. 집단 소송 회사와 그 임원 일부를 상대로 소송을 제기했습니다. 소송은 회사가 사이버 보안 관행 및 통제에 대한 공개 성명에서 투자자를 오도했다고 주장했습니다. 합의는 해당 사건에 대한 어떠한 잘못, 책임 또는 잘못을 인정하는 것을 의미하지 않습니다. 승인된 합의금은 회사의 해당 책임 보험을 통해 지급됩니다.
8-K 양식의 공개는 거의 XNUMX년 후에 이루어졌습니다. SolarWinds는 공격자가 다음과 같이 보고했습니다. — 나중에 러시아 위협 그룹으로 확인됨 노벨륨 — 회사의 Orion 네트워크 관리 플랫폼의 구축 환경을 침해하고 소프트웨어에 백도어를 설치했습니다. Sunburst라고 불리는 백도어는 나중에 합법적인 소프트웨어 업데이트로 회사 고객에게 푸시되었습니다. 약 18,000명의 고객이 악성 업데이트를 받았습니다. 그러나 그 중 나중에 실제로 손상된 것은 100개 미만이었습니다. 노벨리움의 피해자에는 마이크로소프트(Microsoft), 인텔(Intel)과 같은 기업뿐만 아니라 미국 법무부 및 에너지부와 같은 정부 기관도 포함되었습니다.
SolarWinds, 완전한 재구축 실행
SolarWinds는 이후 동일한 일이 다시 발생하지 않도록 개발 및 IT 환경에 여러 가지 변경 사항을 적용했다고 밝혔습니다. 회사의 새로운 보안 기반 설계 접근 방식의 핵심은 2019년에 발생한 종류의 공격을 훨씬 더 어렵게 만들고 거의 불가능하게 만들기 위해 설계된 새로운 빌드 시스템입니다.
최근 Dark Reading과의 대화에서 SolarWinds CISO Tim Brown은 새로운 개발 환경을 소프트웨어가 개발자 파이프라인, 스테이징 파이프라인, 프로덕션 파이프라인이라는 세 가지 병렬 빌드로 개발되는 환경으로 설명합니다.
Brown은 "모든 파이프라인 빌드에 액세스할 수 있는 사람은 없습니다."라고 말합니다. "출시하기 전에 우리가 하는 일은 빌드를 비교하고 비교 결과가 일치하는지 확인하는 것입니다." 세 가지 별도의 빌드를 갖는 목표는 악의적이든 아니든 예상치 못한 코드 변경이 소프트웨어 개발 수명 주기의 다음 단계로 넘어가지 않도록 하는 것입니다.
"한 빌드에 영향을 미치고 싶다면 다음 빌드에 영향을 줄 수는 없습니다."라고 그는 말합니다. "그 건물에 다시 영향을 미치려면 사람들 사이의 공모가 필요합니다."
SolarWinds의 새로운 보안 기반 설계 접근 방식의 또 다른 중요한 구성 요소는 Brown이 임시 작업이라고 부르는 것입니다. 즉, 공격자가 손상될 수 있는 장기간 환경이 없습니다. 이 접근 방식에서는 리소스가 요청에 따라 가동되고 할당된 작업이 완료되면 파괴되므로 공격이 해당 리소스에 존재감을 확립할 기회가 없습니다.
위반을 "가정"
전반적인 보안 강화 프로세스의 일환으로 SolarWinds는 모든 IT 및 개발 직원을 위한 하드웨어 토큰 기반 다단계 인증을 구현했으며 소프트웨어 개발 중에 발생하는 모든 것을 기록, 로깅 및 감사하기 위한 메커니즘을 배포했다고 Brown은 말합니다. 침해 이후 회사는 레드팀 훈련과 침투 테스트가 필수 구성 요소인 "침해 가정" 사고방식을 채택했습니다.
Brown은 “나는 항상 내 빌드 시스템에 침입하려고 노력하고 있습니다.”라고 말합니다. "예를 들어, 개발 단계에서 준비 단계나 프로덕션 단계로 넘어가는 변경을 할 수 있나요?"
레드 팀은 SolarWinds의 빌드 시스템 내의 모든 구성 요소와 서비스를 살펴보고 해당 구성 요소의 구성이 양호한지 확인하고 경우에 따라 해당 구성 요소를 둘러싼 인프라도 안전한지 확인합니다.
Brown은 “새로운 기능 개발을 중단하고 보안에만 집중하는 데 XNUMX개월이 걸렸습니다”라고 Brown은 말합니다. SolarWinds가 새로운 기능을 탑재한 첫 번째 릴리스는 침해 발견 후 XNUMX~XNUMX개월 사이였다고 그는 말합니다. 그는 SolarWinds가 소프트웨어 보안을 강화하기 위해 수행한 작업을 "무거운 작업"으로 설명했지만 회사에 성과를 거두었다고 생각합니다.
"그것은 단지 우리 자신을 바로잡고 전체 주기에서 가능한 한 많은 위험을 줄이기 위한 대규모 투자였습니다."라고 Brown은 말합니다. 공유된 핵심 강의 그의 회사는 2020년 공격으로부터 교훈을 얻었습니다.
