US Securities and Exchange Commission (SEC) ser ut til å iverksette håndhevelsestiltak mot SolarWinds for programvareselskapets påståtte brudd på føderale verdipapirlover når de kommer med uttalelser og avsløringer om datainnbruddet i 2019 i selskapet.
Hvis SEC skulle gå videre, kan SolarWinds møte sivile pengestraff og bli pålagt å gi "annen rettferdig lettelse" for de påståtte bruddene. Handlingen ville også påby SolarWinds å engasjere seg i fremtidige brudd på de relevante føderale verdipapirlovene.
SolarWinds avslørte SECs potensielle håndhevelsestiltak i en fersk Form 8-K-innlevering til SEC. I innleveringen sa SolarWinds at de hadde mottatt en såkalt "Wells Notice" fra SEC som bemerket at regulatorens håndhevingspersonell hadde gjort en foreløpig avgjørelse om å anbefale tvangsfullbyrdelseshandlingen. En Wells Notice i utgangspunktet varsler en respondent om belastninger som en verdipapirtilsyn har til hensikt å bringe mot en respondent, slik at sistnevnte har en mulighet til å forberede et tilsvar.
SolarWinds hevdet at dets "avsløringer, offentlige uttalelser, kontroller og prosedyrer var passende." Selskapet bemerket at det ville forberede et svar på SEC-håndhevelsespersonalets holdning til saken.
Bruddet på SolarWinds sine systemer var det ikke oppdaget til slutten av 2020, da Mandiant fant ut at dets røde team-verktøy hadde blitt stjålet i angrepet.
Klassesøksmål
Separat, men i samme innlevering, sa SolarWinds at de hadde gått med på å betale 26 millioner dollar for å avgjøre krav i en klassesaksjonen anlagt mot selskapet og noen av dets ledere. Søksmålet hadde hevdet at selskapet hadde villedet investorer i offentlige uttalelser, om dets cybersikkerhetspraksis og kontroller. Forliket vil ikke innebære noen innrømmelse av feil, ansvar eller forseelser knyttet til hendelsen. Oppgjøret, hvis godkjent, betales av selskapets gjeldende ansvarsforsikring.
Avsløringene i 8-K-skjemaet kommer nesten to år etter SolarWinds rapporterte at angripere — senere identifisert som russisk trusselgruppe Nobel — hadde brutt byggemiljøet til selskapets Orion-nettverksadministrasjonsplattform og plantet en bakdør i programvaren. Bakdøren, kalt Sunburst, ble senere skjøvet ut til selskapets kunder som legitime programvareoppdateringer. Rundt 18,000 100 kunder mottok de forgiftede oppdateringene. Men færre enn XNUMX av dem ble senere faktisk kompromittert. Nobeliums ofre inkluderte selskaper som Microsoft og Intel, samt offentlige etater som de amerikanske justis- og energidepartementene.
SolarWinds utfører en fullstendig gjenoppbygging
SolarWinds har sagt at de har implementert flere endringer siden den gang i utviklingen og IT-miljøene for å sikre at det samme ikke skjer igjen. I kjernen av selskapets nye designsikre tilnærming er et nytt byggesystem designet for å gjøre angrep av typen som skjedde i 2019 mye vanskeligere – og nesten umulig – å utføre.
I en nylig samtale med Dark Reading beskriver SolarWinds CISO Tim Brown det nye utviklingsmiljøet som et hvor programvare utvikles i tre parallelle bygg: en utviklerpipeline, en staging pipeline og en produksjonspipeline.
"Det er ingen person som har tilgang til alle disse rørledningsbyggene," sier Brown. "Før vi slipper ut, er det vi gjør en sammenligning mellom byggene og sørger for at sammenligningen stemmer." Målet med å ha tre separate bygg er å sikre at eventuelle uventede endringer i kode – skadelige eller andre – ikke blir overført til neste fase av livssyklusen for programvareutvikling.
"Hvis du ønsket å påvirke ett bygg, ville du ikke ha muligheten til å påvirke det neste bygget," sier han. "Du trenger samarbeid mellom mennesker for å påvirke den bygningen igjen."
En annen kritisk komponent i SolarWinds sin nye design-sikre tilnærming er det Brown kaller flyktige operasjoner – der det ikke er langlivede miljøer for angripere å gå på akkord med. Under tilnærmingen blir ressurser spunnet opp på forespørsel og ødelagt når oppgaven de har blitt tildelt er fullført, slik at angrep ikke har noen mulighet til å etablere en tilstedeværelse på den.
"Anta" et brudd
Som en del av den overordnede sikkerhetsforbedringsprosessen har SolarWinds også implementert maskinvaretoken-basert multifaktorautentisering for alle IT- og utviklingsmedarbeidere og distribuert mekanismer for registrering, logging og revisjon av alt som skjer under programvareutvikling, sier Brown. Etter bruddet har selskapet i tillegg tatt i bruk en "antatt brudd"-mentalitet hvor øvelser for røde lag og penetrasjonstesting er en vesentlig komponent.
"Jeg er der inne og prøver å bryte meg inn i byggesystemet mitt hele tiden," sier Brown. "Kan jeg for eksempel gjøre en endring i utviklingen som vil ende opp i iscenesettelse eller ende opp i produksjon?"
Det røde teamet ser på hver komponent og tjeneste i SolarWinds sitt byggesystem, og sørger for at konfigurasjonen av disse komponentene er god, og i noen tilfeller er infrastrukturen rundt disse komponentene også sikker, sier han.
"Det tok seks måneder med å stenge utviklingen av nye funksjoner og fokusere på sikkerhet alene" for å komme til et sikrere miljø, sier Brown. Den første utgivelsen SolarWinds la ut med nye funksjoner var mellom åtte og ni måneder etter oppdagelse av brudd, sier han. Han beskriver arbeidet som SolarWinds har lagt ned for å styrke programvaresikkerheten som et "tungt løft", men som han mener har lønnet seg for selskapet.
"De var bare store investeringer for å få oss til rette [og] redusere så mye risiko som mulig i hele syklusen," sier Brown, som også nylig delte nøkkelleksjoner selskapet hans lærte av angrepet i 2020.
