US Securities and Exchange Commission (SEC) verkar redo att vidta verkställighetsåtgärder mot SolarWinds för företagsmjukvaruföretagets påstådda brott mot federala värdepapperslagar när de gör uttalanden och avslöjanden om 2019 års dataintrång hos företaget.
Om SEC skulle gå framåt kan SolarWinds möta civila penningrättsliga påföljder och bli skyldig att tillhandahålla "annan rättvis lättnad" för de påstådda kränkningarna. Åtgärden skulle också ålägga SolarWinds att engagera sig i framtida brott mot de relevanta federala värdepapperslagarna.
SolarWinds avslöjade SEC:s potentiella verkställighetsåtgärd i en nyligen genomförd Form 8-K-anmälan till SEC. I anmälan sa SolarWinds att de hade fått ett så kallat "Wells Notice" från SEC som noterade att tillsynsmyndighetens tillsynspersonal hade gjort en preliminärt beslut att rekommendera verkställighetsåtgärden. En Wells Notice i princip meddelar en respondent om avgifter som en värdepappersmyndighet har för avsikt att föra mot en svarande, så denne har möjlighet att förbereda ett svar.
SolarWinds hävdade att dess "avslöjande, offentliga uttalanden, kontroller och procedurer var lämpliga." Företaget noterade att det skulle förbereda ett svar på SEC-tillsynspersonalens ståndpunkt i frågan.
Intrånget i SolarWinds system var det inte upptäckt till slutet av 2020, när Mandiant upptäckte att dess röda team-verktyg hade stulits i attacken.
Förlikning för grupptalan
Separat, men i samma anmälan, sa SolarWinds att de hade gått med på att betala 26 miljoner dollar för att reglera fordringar i en klagomål väckts mot företaget och några av dess chefer. Rättegången hävdade att företaget hade vilselett investerare i offentliga uttalanden, om dess cybersäkerhetspraxis och kontroller. Förlikningen skulle inte innebära något erkännande av något fel, ansvar eller fel i händelsen. Avräkningen, om den godkänns, kommer att betalas av bolagets gällande ansvarsförsäkring.
Avslöjandena i 8-K-formuläret kommer nästan två år efter SolarWinds rapporterade att angripare — senare identifierad som rysk hotgrupp Nobel — hade brutit mot byggmiljön för företagets Orion-nätverkshanteringsplattform och planterat en bakdörr i programvaran. Bakdörren, kallad Sunburst, sköts senare ut till företagets kunder som legitima mjukvaruuppdateringar. Cirka 18,000 100 kunder fick de förgiftade uppdateringarna. Men färre än XNUMX av dem blev senare faktiskt äventyrade. Bland Nobeliums offer fanns företag som Microsoft och Intel samt statliga myndigheter som de amerikanska justitie- och energidepartementen.
SolarWinds utför en komplett ombyggnad
SolarWinds har sagt att de har genomfört flera förändringar sedan dess i sin utveckling och IT-miljöer för att säkerställa att samma sak inte gör det igen. Kärnan i företagets nya konstruktionssäkra tillvägagångssätt är ett nytt byggsystem utformat för att göra attacker av det slag som hände 2019 mycket svårare – och nästan omöjliga – att utföra.
I ett samtal nyligen med Dark Reading beskriver SolarWinds CISO Tim Brown den nya utvecklingsmiljön som en där mjukvara utvecklas i tre parallella byggen: en utvecklarpipeline, en staging pipeline och en produktionspipeline.
"Det finns ingen person som har tillgång till alla dessa pipelinebyggen", säger Brown. "Innan vi släpper, vad vi gör är att vi gör en jämförelse mellan byggen och ser till att jämförelsen matchar." Målet med att ha tre separata versioner är att säkerställa att eventuella oväntade ändringar av koden – skadliga eller på annat sätt – inte förs över till nästa fas av mjukvaruutvecklingens livscykel.
"Om du ville påverka en byggnad skulle du inte ha möjlighet att påverka nästa byggnad", säger han. "Du behöver samverkan mellan människor för att kunna påverka den byggnaden igen."
En annan kritisk komponent i SolarWinds nya design-säkra tillvägagångssätt är vad Brown kallar för tillfälliga operationer – där det inte finns några långlivade miljöer för angripare att kompromissa med. Enligt tillvägagångssättet snurras resurser på begäran och förstörs när uppgiften som de har tilldelats är klar så att attacker inte har någon möjlighet att etablera en närvaro på den.
"Anta" ett brott
Som en del av den övergripande säkerhetsförbättringsprocessen har SolarWinds även implementerat hårdvarutoken-baserad multifaktorautentisering för all IT- och utvecklingspersonal och distribuerat mekanismer för att registrera, logga och granska allt som händer under mjukvaruutveckling, säger Brown. Efter intrånget har företaget dessutom antagit en "antagen överträdelse"-mentalitet där röda lagövningar och penetrationstester är en väsentlig komponent.
"Jag är där och försöker bryta mig in i mitt byggsystem hela tiden," säger Brown. "Kan jag till exempel göra en förändring i utvecklingen som skulle hamna i iscensättning eller hamna i produktion?"
Det röda teamet tittar på varje komponent och tjänst inom SolarWinds byggsystem, och ser till att konfigurationen av dessa komponenter är bra och, i vissa fall, är infrastrukturen kring dessa komponenter också säker, säger han.
"Det tog sex månader att stänga av utvecklingen av nya funktioner och fokusera på enbart säkerhet" för att komma till en säkrare miljö, säger Brown. Den första versionen av SolarWinds med nya funktioner var mellan åtta och nio månader efter upptäckten av intrång, säger han. Han beskriver det arbete som SolarWinds har lagt ner för att stärka mjukvarusäkerheten som ett "tungt lyft", men ett som han tycker har lönat sig för företaget.
"De var bara stora investeringar för att göra oss rätt [och] minska så mycket risk som möjligt under hela cykeln", säger Brown, som också nyligen delade nyckellektioner hans företag lärde sig av attacken 2020.
