Wydaje się, że amerykańska Komisja Papierów Wartościowych i Giełd (SEC) jest gotowa do podjęcia działań egzekucyjnych przeciwko SolarWinds w związku z domniemanym naruszeniem federalnych przepisów dotyczących papierów wartościowych przez firmę produkującą oprogramowanie dla przedsiębiorstw podczas składania oświadczeń i ujawniania informacji na temat naruszenia danych w firmie w 2019 roku.
Gdyby SEC posunęła się naprzód, SolarWinds może zostać narażony na cywilne kary pieniężne i zostać zobowiązany do zapewnienia „innego godziwego zadośćuczynienia” za domniemane naruszenia. Działanie to uniemożliwiłoby również firmie SolarWinds angażowanie się w przyszłe naruszenia odpowiednich federalnych przepisów dotyczących papierów wartościowych.
SolarWinds ujawnił potencjalne działania egzekucyjne SEC w niedawnym zgłoszeniu formularza 8-K do SEC. W zgłoszeniu SolarWinds powiedział, że otrzymał tak zwane „Zawiadomienie Wellsa” od SEC, zauważając, że pracownicy organów regulacyjnych dokonali wstępna decyzja o zaleceniu wykonania czynności egzekucyjnej. Zawiadomienie Wellsa w zasadzie zawiadamia respondenta o zarzutach które organ nadzoru rynku papierów wartościowych zamierza wnieść przeciwko pozwanemu, aby ten ostatni miał możliwość przygotowania odpowiedzi.
SolarWinds utrzymywał, że „ujawnienia, publiczne oświadczenia, kontrole i procedury były odpowiednie”. Spółka zaznaczyła, że przygotuje odpowiedź na stanowisko organów ścigania SEC w tej sprawie.
Włamanie do systemów SolarWinds nie było odkryte do końca 2020 roku, kiedy Mandiant odkrył, że narzędzia jego drużyny czerwonej zostały skradzione podczas ataku.
Ugoda z pozwu zbiorowego
Oddzielnie, ale w tym samym zgłoszeniu, SolarWinds powiedział, że zgodził się zapłacić 26 milionów dolarów na zaspokojenie roszczeń w pozew zbiorowy przeciwko firmie i niektórym jej kierownictwu. W pozwie twierdzono, że firma wprowadzała inwestorów w błąd w publicznych oświadczeniach na temat swoich praktyk i kontroli w zakresie cyberbezpieczeństwa. Ugoda nie stanowiłaby przyznania się do jakiejkolwiek winy, odpowiedzialności lub wykroczenia w związku z incydentem. Ugoda, jeśli zostanie zatwierdzona, zostanie opłacona przez obowiązujące ubezpieczenie od odpowiedzialności cywilnej firmy.
Ujawnienia w formularzu 8-K pojawiają się prawie dwa lata później SolarWinds poinformował o atakujących — później zidentyfikowany jako rosyjska grupa zagrożenia Nobel — włamał się do środowiska kompilacji firmowej platformy zarządzania siecią Orion i umieścił w oprogramowaniu backdoora. Backdoor, nazwany Sunburst, został później wypchnięty do klientów firmy jako legalne aktualizacje oprogramowania. Około 18,000 100 klientów otrzymało zatrute aktualizacje. Ale mniej niż XNUMX z nich zostało później faktycznie narażonych na szwank. Wśród ofiar Nobelium znalazły się firmy takie jak Microsoft i Intel, a także agencje rządowe, takie jak departamenty sprawiedliwości i energii USA.
SolarWinds wykonuje kompletną przebudowę
SolarWinds powiedział, że od tego czasu wdrożył wiele zmian w swoich środowiskach programistycznych i informatycznych, aby upewnić się, że to samo się nie powtórzy. U podstaw nowego, bezpiecznego z założenia podejścia firmy leży nowy system kompilacji zaprojektowany tak, aby ataki takie jak te, które miały miejsce w 2019 r., były znacznie trudniejsze — i prawie niemożliwe — do przeprowadzenia.
W niedawnej rozmowie z Dark Reading, SolarWinds CISO Tim Brown opisuje nowe środowisko programistyczne jako takie, w którym oprogramowanie jest rozwijane w trzech równoległych kompilacjach: potoku deweloperskim, potoku przejściowym i potoku produkcyjnym.
„Nie ma jednej osoby, która ma dostęp do wszystkich tych kompilacji potoków” — mówi Brown. „Przed wydaniem porównujemy kompilacje i upewniamy się, że porównanie pasuje”. Celem posiadania trzech oddzielnych kompilacji jest zapewnienie, że wszelkie nieoczekiwane zmiany w kodzie — złośliwe lub inne — nie zostaną przeniesione do następnej fazy cyklu życia oprogramowania.
„Gdybyś chciał wpłynąć na jedną konfigurację, nie miałbyś możliwości wpływania na następną” — mówi. „Potrzebujesz zmowy między ludźmi, aby ponownie wpłynąć na tę konstrukcję”.
Innym krytycznym elementem nowego podejścia firmy SolarWinds do projektowania zabezpieczeń jest to, co Brown nazywa operacjami efemerycznymi — w których nie ma długotrwałych środowisk, w których atakujący mogliby się naruszyć. W ramach tego podejścia zasoby są uruchamiane na żądanie i niszczone, gdy zadanie, do którego zostały przydzielone, zostanie zakończone, więc ataki nie mają możliwości ustanowienia na nim obecności.
„Załóż” naruszenie
W ramach ogólnego procesu zwiększania bezpieczeństwa firma SolarWinds wdrożyła również uwierzytelnianie wieloskładnikowe oparte na tokenach sprzętowych dla całego personelu IT i programistów oraz wdrożyła mechanizmy rejestrowania, rejestrowania i audytowania wszystkiego, co dzieje się podczas tworzenia oprogramowania, mówi Brown. Po włamaniu firma dodatkowo przyjęła mentalność „domniemanego naruszenia”, której istotnym elementem są ćwiczenia czerwonej drużyny i testy penetracyjne.
„Cały czas próbuję włamać się do mojego systemu kompilacji” — mówi Brown. „Na przykład, czy mógłbym dokonać zmiany w rozwoju, która zakończyłaby się inscenizacją lub produkcją?”
Czerwony zespół przygląda się każdemu komponentowi i usłudze w systemie kompilacji SolarWinds, upewniając się, że konfiguracja tych komponentów jest dobra, aw niektórych przypadkach infrastruktura otaczająca te komponenty jest również bezpieczna, mówi.
„Przejście do bezpieczniejszego środowiska zajęło sześć miesięcy od zaprzestania opracowywania nowych funkcji i skupienia się wyłącznie na bezpieczeństwie”, mówi Brown. Pierwsze wydanie SolarWinds z nowymi funkcjami miało miejsce od ośmiu do dziewięciu miesięcy po wykryciu naruszenia, mówi. Opisuje pracę włożoną przez firmę SolarWinds w celu wzmocnienia bezpieczeństwa oprogramowania jako „dużą zmianę”, ale taką, która jego zdaniem opłaciła się firmie.
„Były to po prostu duże inwestycje, które miały na celu poprawienie sytuacji [i] zmniejszenie jak największego ryzyka w całym cyklu” — mówi Brown, który również niedawno wspólne kluczowe lekcje jego firma wyciągnęła wnioski z ataku z 2020 roku.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
