SolarWinds เผชิญกับการบังคับใช้พระราชบัญญัติ ก.ล.ต. ที่อาจเกิดขึ้นเหนือ Orion Breach

สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐอเมริกา (SEC) ดูเหมือนจะพร้อมที่จะดำเนินการบังคับใช้กับ SolarWinds สำหรับบริษัทซอฟต์แวร์ระดับองค์กรที่ถูกกล่าวหาว่าละเมิดกฎหมายหลักทรัพย์ของรัฐบาลกลาง เมื่อจัดทำแถลงการณ์และการเปิดเผยเกี่ยวกับการละเมิดข้อมูลในปี 2019 ที่บริษัท

หาก ก.ล.ต. จะต้องก้าวไปข้างหน้า SolarWinds อาจต้องเผชิญกับบทลงโทษทางการเงินทางแพ่ง และจะต้องให้ “การบรรเทาทุกข์อื่น ๆ ที่เท่าเทียมกัน” สำหรับการละเมิดที่ถูกกล่าวหา การดำเนินการดังกล่าวจะสั่งห้าม SolarWinds ไม่ให้มีส่วนร่วมในการละเมิดกฎหมายหลักทรัพย์ของรัฐบาลกลางที่เกี่ยวข้องในอนาคต

SolarWinds เปิดเผยการดำเนินการบังคับใช้ที่อาจเกิดขึ้นของ ก.ล.ต. ในการยื่นแบบฟอร์ม 8-K ล่าสุดกับ ก.ล.ต. ในการยื่นฟ้อง SolarWinds กล่าวว่าได้รับสิ่งที่เรียกว่า “ประกาศเวลส์” จาก ก.ล.ต. โดยสังเกตว่าเจ้าหน้าที่บังคับใช้ของหน่วยงานกำกับดูแลได้ทำ การตัดสินใจเบื้องต้นเพื่อเสนอแนะการดำเนินการบังคับใช้. โดยพื้นฐานแล้วประกาศของ Wells แจ้งให้ผู้ถูกกล่าวหาทราบเกี่ยวกับการเรียกเก็บเงิน ที่หน่วยงานกำกับดูแลหลักทรัพย์ตั้งใจที่จะฟ้องร้องผู้ถูกร้อง ดังนั้นผู้ถูกร้องจึงมีโอกาสที่จะเตรียมการตอบโต้

SolarWinds ยืนยันว่า “การเปิดเผย คำแถลงสาธารณะ การควบคุม และขั้นตอนต่างๆ มีความเหมาะสม” บริษัทตั้งข้อสังเกตว่าจะเตรียมการตอบสนองต่อจุดยืนของเจ้าหน้าที่บังคับใช้ ก.ล.ต. ในเรื่องนี้

การละเมิดระบบของ SolarWinds ไม่ใช่ ค้นพบจนถึงปลายปี 2020เมื่อ Mandiant พบว่าเครื่องมือของทีมสีแดงถูกขโมยไปในการโจมตี

การระงับคดีแบบกลุ่ม

แยกกัน แต่ในการยื่นแบบเดียวกัน SolarWinds กล่าวว่าได้ตกลงที่จะจ่ายเงิน 26 ล้านดอลลาร์เพื่อชำระข้อเรียกร้องใน class action คดีความ ฟ้องบริษัทและผู้บริหารบางส่วน คดีดังกล่าวอ้างว่าบริษัทได้หลอกลวงนักลงทุนในแถลงการณ์สาธารณะเกี่ยวกับแนวทางปฏิบัติและการควบคุมความปลอดภัยทางไซเบอร์ ข้อตกลงดังกล่าวจะไม่ถือเป็นการยอมรับความผิด ความรับผิด หรือการกระทำผิดใดๆ เกี่ยวกับเหตุการณ์ดังกล่าว หากได้รับอนุมัติ ข้อตกลงดังกล่าวจะชำระโดยการประกันภัยความรับผิดที่เกี่ยวข้องของบริษัท

การเปิดเผยข้อมูลในแบบฟอร์ม 8-K เกิดขึ้นเกือบสองปีหลังจากนั้น SolarWinds รายงานว่าผู้โจมตี — ต่อมาถูกระบุว่าเป็นกลุ่มภัยคุกคามรัสเซีย โนบีเลียม — ได้ละเมิดสภาพแวดล้อมการสร้างของแพลตฟอร์มการจัดการเครือข่าย Orion ของบริษัท และวางแบ็คดอร์ในซอฟต์แวร์ แบ็คดอร์ซึ่งมีชื่อว่า Sunburst ได้ถูกส่งต่อไปยังลูกค้าของบริษัทในภายหลัง เนื่องจากการอัพเดตซอฟต์แวร์ที่ถูกต้องตามกฎหมาย ลูกค้าประมาณ 18,000 รายได้รับการอัปเดตที่เป็นพิษ แต่น้อยกว่า 100 คนถูกบุกรุกในเวลาต่อมา เหยื่อของโนเบเลียมรวมถึงบริษัทต่างๆ เช่น Microsoft และ Intel ตลอดจนหน่วยงานรัฐบาล เช่น กระทรวงยุติธรรมและพลังงานของสหรัฐอเมริกา

SolarWinds ดำเนินการสร้างใหม่ทั้งหมด

SolarWinds ได้กล่าวว่าได้ดำเนินการเปลี่ยนแปลงหลายครั้งตั้งแต่นั้นมาในการพัฒนาและสภาพแวดล้อมด้านไอทีเพื่อให้แน่ใจว่าสิ่งเดียวกันจะไม่เกิดขึ้นอีก หัวใจหลักของแนวทางการออกแบบความปลอดภัยแบบใหม่ของบริษัทคือระบบการสร้างใหม่ที่ออกแบบมาเพื่อทำให้การโจมตีประเภทที่เกิดขึ้นในปี 2019 ยากขึ้นมาก — และแทบจะเป็นไปไม่ได้เลย — ที่จะดำเนินการ

ในการสนทนาล่าสุดกับ Dark Reading, Tim Brown CISO ของ SolarWinds อธิบายถึงสภาพแวดล้อมการพัฒนาใหม่ว่าเป็นสภาพแวดล้อมที่ซอฟต์แวร์ได้รับการพัฒนาในสามบิลด์คู่ขนาน: ไปป์ไลน์ของนักพัฒนา, ไปป์ไลน์การแสดงละคร และไปป์ไลน์การผลิต 

“ไม่มีใครสามารถเข้าถึงท่อส่งทั้งหมดเหล่านั้นได้” บราวน์กล่าว “ก่อนที่เราจะวางจำหน่าย สิ่งที่เราทำคือเปรียบเทียบระหว่างบิลด์ต่างๆ และตรวจสอบให้แน่ใจว่าการเปรียบเทียบนั้นตรงกัน” เป้าหมายในการมีสามบิลด์แยกกันคือเพื่อให้แน่ใจว่าการเปลี่ยนแปลงโค้ดที่ไม่คาดคิด ไม่ว่าจะเป็นอันตรายหรืออย่างอื่น จะไม่ถูกส่งต่อไปยังขั้นตอนถัดไปของวงจรชีวิตการพัฒนาซอฟต์แวร์ 

“หากคุณต้องการสร้างผลกระทบต่อบิลด์หนึ่ง คุณจะไม่สามารถส่งผลกระทบต่อบิลด์ถัดไปได้” เขากล่าว “คุณต้องมีการสมรู้ร่วมคิดระหว่างผู้คนเพื่อที่จะส่งผลกระทบต่อโครงสร้างนั้นอีกครั้ง”

องค์ประกอบที่สำคัญอีกประการหนึ่งของแนวทางการออกแบบที่ปลอดภัยแบบใหม่ของ SolarWinds คือสิ่งที่ Brown เรียกว่าการดำเนินการชั่วคราว ซึ่งไม่มีสภาพแวดล้อมที่ยาวนานสำหรับผู้โจมตีที่จะประนีประนอม ภายใต้แนวทางนี้ ทรัพยากรจะถูกปั่นตามความต้องการและถูกทำลายเมื่องานที่พวกเขาได้รับมอบหมายเสร็จสิ้น ดังนั้นการโจมตีจึงไม่มีโอกาสปรากฏให้เห็น

“สมมติ” ว่าเป็นการละเมิด

ในฐานะส่วนหนึ่งของกระบวนการปรับปรุงความปลอดภัยโดยรวม SolarWinds ยังได้นำการตรวจสอบสิทธิ์หลายปัจจัยที่ใช้โทเค็นฮาร์ดแวร์มาใช้สำหรับเจ้าหน้าที่ไอทีและการพัฒนาทั้งหมด และปรับใช้กลไกสำหรับการบันทึก การบันทึก และตรวจสอบทุกสิ่งที่เกิดขึ้นระหว่างการพัฒนาซอฟต์แวร์ Brown กล่าว หลังจากการฝ่าฝืน บริษัทยังได้นำแนวคิด “การสันนิษฐานว่าฝ่าฝืน” มาใช้ ซึ่งการฝึกซ้อมของทีมแดงและการทดสอบการเจาะเป็นองค์ประกอบสำคัญ

“ฉันอยู่ในนั้นโดยพยายามเจาะเข้าไปในระบบงานสร้างของฉันตลอดเวลา” บราวน์กล่าว “ตัวอย่างเช่น ฉันสามารถเปลี่ยนแปลงการพัฒนาที่จะลงเอยด้วยการจัดเตรียมหรือลงเอยด้วยการผลิตได้หรือไม่” 

ทีมสีแดงตรวจสอบทุกส่วนประกอบและบริการภายในระบบสร้างของ SolarWinds ตรวจสอบให้แน่ใจว่าการกำหนดค่าของส่วนประกอบเหล่านั้นนั้นดี และในบางกรณี โครงสร้างพื้นฐานที่อยู่รอบส่วนประกอบเหล่านั้นก็ปลอดภัยเช่นกัน เขากล่าว

“ต้องใช้เวลาหกเดือนในการปิดการพัฒนาฟีเจอร์ใหม่และมุ่งเน้นไปที่ความปลอดภัยเพียงอย่างเดียว” เพื่อเข้าถึงสภาพแวดล้อมที่ปลอดภัยยิ่งขึ้น Brown กล่าว SolarWinds รุ่นแรกที่ออกมาพร้อมกับคุณสมบัติใหม่อยู่ระหว่างแปดถึงเก้าเดือนหลังจากการค้นพบการละเมิดเขากล่าว เขาอธิบายงานที่ SolarWinds วางไว้เพื่อสนับสนุนความปลอดภัยของซอฟต์แวร์ว่าเป็น “การยกระดับที่หนักหน่วง” แต่เป็นงานที่เขาคิดว่าได้ให้ผลตอบแทนแก่บริษัทแล้ว 

“พวกเขาเป็นเพียงการลงทุนครั้งใหญ่เพื่อทำให้ตัวเองถูกต้อง [และ] ลดความเสี่ยงให้มากที่สุดเท่าที่จะเป็นไปได้ตลอดทั้งวงจร” บราวน์ซึ่งเพิ่งกล่าวเมื่อไม่นานมานี้ แบ่งปันบทเรียนสำคัญ บริษัทของเขาได้เรียนรู้จากการโจมตีในปี 2020