Комиссия по ценным бумагам и биржам США (SEC), похоже, готова принять принудительные меры против SolarWinds в связи с предполагаемым нарушением компанией-разработчиком корпоративного программного обеспечения федеральных законов о ценных бумагах при заявлениях и раскрытии информации об утечке данных в компании в 2019 году.
Если SEC будет двигаться вперед, SolarWinds может столкнуться с гражданскими денежными штрафами и должна будет предоставить «другие средства правовой защиты по праву справедливости» за предполагаемые нарушения. Это действие также запретит SolarWinds участвовать в будущих нарушениях соответствующих федеральных законов о ценных бумагах.
SolarWinds раскрыла потенциальные принудительные действия SEC в недавней подаче формы 8-K в SEC. В заявлении SolarWinds говорится, что она получила так называемое «Уведомление об скважинах» от Комиссии по ценным бумагам и биржам, в котором отмечается, что правоохранительные органы регулятора сделали предварительное решение о рекомендации принудительных мер. Уведомление Уэллса в основном уведомляет респондента о начислениях которые регулятор ценных бумаг намерен предъявить ответчику, поэтому у последнего есть возможность подготовить ответ.
SolarWinds утверждала, что ее «раскрытие информации, публичные заявления, средства контроля и процедуры были надлежащими». В компании отметили, что подготовят ответ на позицию правоохранительных органов SEC по этому вопросу.
Взлом систем SolarWinds не был обнаружены до конца 2020 г., когда Mandiant обнаружил, что его инструменты красной команды были украдены во время атаки.
Коллективный иск
Отдельно, но в том же документе, SolarWinds заявила, что согласилась выплатить 26 миллионов долларов для урегулирования претензий в иск группового иска подано против компании и некоторых ее руководителей. В иске утверждалось, что компания вводила инвесторов в заблуждение в публичных заявлениях о своих методах кибербезопасности и средствах контроля. Урегулирование не будет означать признания какой-либо вины, ответственности или правонарушений в связи с инцидентом. Урегулирование, в случае одобрения, будет оплачено применимой страховкой ответственности компании.
Раскрытие информации в форме 8-K произошло почти через два года после SolarWinds сообщила, что злоумышленники - позже идентифицированный как российская группа угрозы Нобелий — взломал среду сборки корпоративной платформы управления сетью Orion и внедрил в программное обеспечение бэкдор. Бэкдор, получивший название Sunburst, позже был предоставлен клиентам компании в виде законных обновлений программного обеспечения. Около 18,000 100 клиентов получили отравленные обновления. Но менее XNUMX из них впоследствии были скомпрометированы. Среди жертв Nobelium были такие компании, как Microsoft и Intel, а также правительственные учреждения, такие как министерства юстиции и энергетики США.
SolarWinds выполняет полную перестройку
SolarWinds заявила, что с тех пор она внедрила несколько изменений в свою среду разработки и ИТ, чтобы гарантировать, что то же самое больше не повторится. В основе нового подхода компании к безопасному дизайну лежит новая система сборки, разработанная для того, чтобы сделать атаки, подобные тем, которые произошли в 2019 году, намного сложнее — и почти невозможно — осуществить.
В недавней беседе с Dark Reading директор по информационной безопасности SolarWinds Тим Браун описывает новую среду разработки как среду, в которой программное обеспечение разрабатывается в трех параллельных сборках: конвейер разработки, промежуточный конвейер и производственный конвейер.
«Нет ни одного человека, который имел бы доступ ко всем этим конвейерным сборкам, — говорит Браун. «Перед выпуском мы сравниваем сборки и убеждаемся, что сравнение совпадает». Цель наличия трех отдельных сборок — гарантировать, что любые неожиданные изменения в коде — вредоносные или иные — не будут перенесены на следующую фазу жизненного цикла разработки программного обеспечения.
«Если бы вы хотели повлиять на одну сборку, у вас не было бы возможности повлиять на следующую сборку», — говорит он. «Вам нужен сговор среди людей, чтобы снова повлиять на эту постройку».
Еще одним важным компонентом нового подхода SolarWinds к обеспечению безопасности по дизайну является то, что Браун называет эфемерными операциями, когда злоумышленники не могут скомпрометировать долгоживущие среды. В соответствии с этим подходом ресурсы запускаются по запросу и уничтожаются, когда задача, для которой они были назначены, выполнена, поэтому атаки не имеют возможности закрепиться на ней.
«Предположим» нарушение
По словам Брауна, в рамках общего процесса повышения безопасности SolarWinds внедрила многофакторную аутентификацию на основе аппаратных токенов для всех ИТ-специалистов и разработчиков, а также развернула механизмы для записи, регистрации и аудита всего, что происходит во время разработки программного обеспечения. После взлома компания также приняла менталитет «предполагаемого нарушения», важным компонентом которого являются упражнения красной команды и тестирование на проникновение.
«Я все время пытаюсь взломать свою систему сборки, — говорит Браун. «Например, могу ли я внести изменение в разработку, которое в конечном итоге окажется на стадии подготовки или в конечном итоге окажется в производстве?»
По его словам, красная команда проверяет каждый компонент и службу в системе сборки SolarWinds, чтобы убедиться, что конфигурация этих компонентов хороша, а в некоторых случаях инфраструктура, окружающая эти компоненты, также безопасна.
«Потребовалось шесть месяцев, чтобы прекратить разработку новых функций и сосредоточиться только на безопасности», чтобы создать более безопасную среду, — говорит Браун. По его словам, первый выпуск SolarWinds с новыми функциями вышел через восемь-девять месяцев после обнаружения взлома. Он описывает работу, проделанную SolarWinds для повышения безопасности программного обеспечения, как «тяжелую работу», но, по его мнению, она окупилась для компании.
«Это были просто крупные инвестиции, чтобы сделать себя правильно [и] снизить как можно больше рисков в течение всего цикла», — говорит Браун, который также недавно общие ключевые уроки его компания извлекла уроки из атаки 2020 года.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
