A Comissão de Valores Mobiliários dos EUA (SEC) parece preparada para tomar medidas coercivas contra a SolarWinds pela alegada violação das leis federais de valores mobiliários pela empresa de software empresarial ao fazer declarações e divulgações sobre a violação de dados de 2019 na empresa.
Se a SEC avançasse, a SolarWinds poderia enfrentar penalidades monetárias civis e ser obrigada a fornecer “outras medidas equitativas” para as alegadas violações. A ação também proibiria a SolarWinds de se envolver em futuras violações das leis de valores mobiliários federais relevantes.
A SolarWinds divulgou a possível ação coerciva da SEC em um recente formulário 8-K arquivado na SEC. No documento, a SolarWinds disse ter recebido o chamado “Aviso de Poços” da SEC, observando que a equipe de fiscalização do regulador havia feito uma decisão preliminar para recomendar a ação de execução. Um aviso de poços basicamente notifica um entrevistado sobre cobranças que um regulador de valores mobiliários pretende mover contra um réu, para que este último tenha a oportunidade de preparar uma resposta.
A SolarWinds afirmou que suas “divulgações, declarações públicas, controles e procedimentos eram apropriados”. A empresa observou que prepararia uma resposta à posição da equipe de fiscalização da SEC sobre o assunto.
A violação dos sistemas da SolarWinds não foi descoberto até o final de 2020, quando a Mandiant descobriu que suas ferramentas do time vermelho haviam sido roubadas no ataque.
Acordo de ação coletiva
Separadamente, mas no mesmo processo, a SolarWinds disse que concordou em pagar US$ 26 milhões para resolver reivindicações em um acordo classe ação judicial movidas contra a empresa e alguns de seus executivos. O processo alegou que a empresa enganou os investidores em declarações públicas sobre suas práticas e controles de segurança cibernética. O acordo não constituiria qualquer admissão de qualquer culpa, responsabilidade ou irregularidade sobre o incidente. O acordo, se aprovado, será pago pelo seguro de responsabilidade civil aplicável à empresa.
As divulgações no Formulário 8-K ocorrem quase dois anos depois SolarWinds relatou que invasores - mais tarde identificado como grupo de ameaça russo Nobélio – violou o ambiente de construção da plataforma de gerenciamento de rede Orion da empresa e plantou um backdoor no software. O backdoor, apelidado de Sunburst, foi posteriormente distribuído aos clientes da empresa como atualizações legítimas de software. Cerca de 18,000 clientes receberam as atualizações envenenadas. Mas menos de 100 deles foram posteriormente comprometidos. As vítimas do Nobelium incluíam empresas como a Microsoft e a Intel, bem como agências governamentais, como os departamentos de Justiça e Energia dos EUA.
SolarWinds executa uma reconstrução completa
A SolarWinds disse que implementou várias mudanças desde então em seus ambientes de desenvolvimento e de TI para garantir que a mesma coisa não aconteça novamente. No centro da nova abordagem segura desde o design da empresa está um novo sistema de construção projetado para tornar ataques do tipo que aconteceram em 2019 muito mais difíceis – e quase impossíveis – de realizar.
Em uma conversa recente com Dark Reading, o CISO da SolarWinds, Tim Brown, descreve o novo ambiente de desenvolvimento como aquele em que o software é desenvolvido em três construções paralelas: um pipeline de desenvolvedor, um pipeline de teste e um pipeline de produção.
“Não há uma pessoa que tenha acesso a todas essas construções de pipeline”, diz Brown. “Antes de lançarmos, o que fazemos é uma comparação entre as compilações e garantir que a comparação corresponda.” O objetivo de ter três compilações separadas é garantir que quaisquer alterações inesperadas no código – maliciosas ou não – não sejam transportadas para a próxima fase do ciclo de vida de desenvolvimento de software.
“Se você quisesse afetar uma construção, não teria a capacidade de afetar a próxima”, diz ele. “Você precisa de conluio entre as pessoas para afetar essa construção novamente.”
Outro componente crítico da nova abordagem segura por design da SolarWinds é o que Brown chama de operações efêmeras – onde não há ambientes de longa duração que os invasores possam comprometer. Segundo esta abordagem, os recursos são mobilizados a pedido e destruídos quando a tarefa para a qual foram atribuídos é concluída, de modo que os ataques não têm oportunidade de estabelecer uma presença neles.
“Presuma” uma violação
Como parte do processo geral de aprimoramento da segurança, a SolarWinds também implementou autenticação multifatorial baseada em token de hardware para toda a equipe de TI e desenvolvimento e implantou mecanismos para registrar, registrar e auditar tudo o que acontece durante o desenvolvimento de software, diz Brown. Após a violação, a empresa também adotou uma mentalidade de “violação presumida”, da qual os exercícios da equipe vermelha e os testes de penetração são um componente essencial.
“Estou lá tentando invadir meu sistema de construção o tempo todo”, diz Brown. “Por exemplo, eu poderia fazer uma mudança no desenvolvimento que acabaria em preparação ou em produção?”
A equipe vermelha analisa cada componente e serviço do sistema de construção da SolarWinds, certificando-se de que a configuração desses componentes seja boa e, em alguns casos, a infraestrutura em torno desses componentes também seja segura, diz ele.
“Foram necessários seis meses para encerrar o desenvolvimento de novos recursos e focar apenas na segurança” para chegar a um ambiente mais seguro, diz Brown. O primeiro lançamento que a SolarWinds lançou com novos recursos ocorreu entre oito e nove meses após a descoberta da violação, diz ele. Ele descreve o trabalho que a SolarWinds realizou para reforçar a segurança do software como um “trabalho pesado”, mas que ele acha que valeu a pena para a empresa.
“Eles foram apenas grandes investimentos para nos acertarmos [e] reduzirmos o máximo de risco possível em todo o ciclo”, diz Brown, que também recentemente lições chave compartilhadas sua empresa aprendeu com o ataque de 2020.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
