De Amerikaanse Securities and Exchange Commission (SEC) lijkt klaar om handhavingsmaatregelen te nemen tegen SolarWinds wegens de vermeende schending van de federale effectenwetten door het ondernemingssoftwarebedrijf bij het afleggen van verklaringen en onthullingen over het datalek in 2019 bij het bedrijf.
Als de SEC verder zou gaan, zou SolarWinds civielrechtelijke geldboetes kunnen krijgen en verplicht worden om "andere billijke hulp" te bieden voor de vermeende schendingen. De actie zou SolarWinds ook verplichten zich in te laten met toekomstige schendingen van de relevante federale effectenwetten.
SolarWinds maakte de mogelijke handhavingsmaatregelen van de SEC bekend in een recente Formulier 8-K-aanvraag bij de SEC. In de aanvraag zei SolarWinds dat het een zogenaamde "Wells Notice" van de SEC had ontvangen waarin werd opgemerkt dat het handhavingspersoneel van de toezichthouder een voorlopige beslissing om de handhavingsactie aan te bevelen. Eigenlijk een Wells Notice informeert een respondent over kosten die een effectentoezichthouder van plan is in te dienen tegen een respondent, zodat deze laatste de gelegenheid heeft om een reactie voor te bereiden.
SolarWinds hield vol dat haar "onthullingen, openbare verklaringen, controles en procedures gepast waren". Het bedrijf merkte op dat het een reactie zou voorbereiden op het standpunt van het handhavingspersoneel van de SEC over deze kwestie.
De inbraak in de systemen van SolarWinds was dat niet ontdekt tot eind 2020, toen Mandiant ontdekte dat de tools van het rode team waren gestolen tijdens de aanval.
Collectieve schikking
Afzonderlijk, maar in dezelfde aanvraag, zei SolarWinds dat het had ingestemd om $ 26 miljoen te betalen om claims te schikken in een class action-rechtszaak ingediend tegen het bedrijf en enkele van zijn leidinggevenden. De rechtszaak had beweerd dat het bedrijf investeerders had misleid in openbare verklaringen over zijn cyberbeveiligingspraktijken en -controles. De schikking houdt geen erkenning in van enige fout, aansprakelijkheid of wangedrag met betrekking tot het incident. De schikking, indien goedgekeurd, zal worden betaald door de toepasselijke aansprakelijkheidsverzekering van het bedrijf.
De onthullingen in het 8-K-formulier komen bijna twee jaar later SolarWinds meldde dat aanvallers - later geïdentificeerd als Russische dreigingsgroep Nobelium — had de build-omgeving van het Orion-netwerkbeheerplatform van het bedrijf geschonden en een achterdeur in de software geplant. De achterdeur, genaamd Sunburst, werd later als legitieme software-updates naar de klanten van het bedrijf gepusht. Zo'n 18,000 klanten ontvingen de vergiftigde updates. Maar minder dan 100 van hen werden later daadwerkelijk gecompromitteerd. Tot de slachtoffers van Nobelium behoorden bedrijven als Microsoft en Intel, maar ook overheidsinstanties zoals de Amerikaanse ministeries van Justitie en Energie.
SolarWinds voert een volledige herbouw uit
SolarWinds heeft gezegd dat het sindsdien meerdere wijzigingen heeft doorgevoerd in zijn ontwikkelings- en IT-omgevingen om ervoor te zorgen dat hetzelfde niet opnieuw gebeurt. De kern van de nieuwe 'secure by design'-benadering van het bedrijf is een nieuw gebouwd systeem dat is ontworpen om aanvallen van het soort dat in 2019 plaatsvond veel moeilijker - en bijna onmogelijk - uit te voeren.
In een recent gesprek met Dark Reading beschrijft Tim Brown, CISO van SolarWind, de nieuwe ontwikkelomgeving als een omgeving waarin software wordt ontwikkeld in drie parallelle builds: een ontwikkelaarspijplijn, een stagingpijplijn en een productiepijplijn.
"Er is niemand die toegang heeft tot al die pijplijnconstructies", zegt Brown. "Voordat we vrijgeven, maken we een vergelijking tussen de builds en zorgen we ervoor dat de vergelijking overeenkomt." Het doel van het hebben van drie afzonderlijke builds is om ervoor te zorgen dat onverwachte wijzigingen in code - kwaadaardig of anderszins - niet worden overgedragen naar de volgende fase van de levenscyclus van softwareontwikkeling.
"Als je een build zou willen beïnvloeden, zou je niet de mogelijkheid hebben om de volgende build te beïnvloeden", zegt hij. "Je hebt collusie tussen mensen nodig om die build opnieuw te beïnvloeden."
Een ander cruciaal onderdeel van de nieuwe 'secure-by-design'-benadering van SolarWinds is wat Brown kortstondige operaties noemt: waarbij er geen langlevende omgevingen zijn waar aanvallers compromissen kunnen sluiten. Onder de aanpak worden middelen op verzoek geactiveerd en vernietigd wanneer de taak waaraan ze zijn toegewezen is voltooid, zodat aanvallen geen kans hebben om er een aanwezigheid op te vestigen.
"Veronderstellen" een schending
Als onderdeel van het algehele beveiligingsverbeteringsproces heeft SolarWinds ook hardware-token-gebaseerde multifactor-authenticatie geïmplementeerd voor alle IT- en ontwikkelingsmedewerkers en mechanismen geïmplementeerd voor het vastleggen, loggen en controleren van alles wat er gebeurt tijdens de softwareontwikkeling, zegt Brown. Na de inbreuk heeft het bedrijf bovendien een “veronderstelde inbreuk”-mentaliteit aangenomen waarvan oefeningen van het rode team en penetratietesten een essentieel onderdeel zijn.
"Ik probeer de hele tijd in te breken in mijn bouwsysteem", zegt Brown. "Zou ik bijvoorbeeld een verandering in de ontwikkeling kunnen aanbrengen die in enscenering of productie terecht zou komen?"
Het rode team kijkt naar elk onderdeel en elke service binnen het bouwsysteem van SolarWinds en zorgt ervoor dat de configuratie van die onderdelen goed is en in sommige gevallen ook de infrastructuur rondom die onderdelen veilig is, zegt hij.
"Het kostte zes maanden om de ontwikkeling van nieuwe functies stop te zetten en alleen op beveiliging te focussen" om tot een veiligere omgeving te komen, zegt Brown. De eerste release van SolarWinds met nieuwe functies was acht tot negen maanden na de ontdekking van de inbreuk, zegt hij. Hij beschrijft het werk dat SolarWinds heeft gestoken om de softwarebeveiliging te versterken als een "zware lift", maar een die volgens hem zijn vruchten heeft afgeworpen voor het bedrijf.
"Het waren gewoon grote investeringen om onszelf goed te krijgen [en] zoveel mogelijk risico's in de hele cyclus te verkleinen", zegt Brown, die onlangs ook gedeelde belangrijkste lessen zijn bedrijf leerde van de aanval in 2020.
