ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), kurumsal yazılım şirketinin şirketteki 2019 veri ihlaliyle ilgili açıklamalar ve açıklamalar yaparken federal menkul kıymetler yasalarını ihlal ettiği iddiası nedeniyle SolarWinds'e karşı yaptırım uygulamaya hazır görünüyor.
SEC'in ilerlemesi halinde SolarWinds hukuki para cezalarıyla karşı karşıya kalabilir ve iddia edilen ihlaller için "diğer adil telafi" sağlaması gerekebilir. Eylem ayrıca SolarWinds'in ilgili federal menkul kıymetler yasalarını gelecekte ihlal etmesini de yasaklayacak.
SolarWinds, SEC'e yakın zamanda sunduğu 8-K Formunda SEC'in olası yaptırım eylemini açıkladı. Başvuruda SolarWinds, SEC'den, düzenleyicinin icra personelinin bir bildirimde bulunduğunu belirten sözde bir "Wells Bildirimi" aldığını söyledi. icra eyleminin önerilmesine yönelik ön karar. Temel olarak bir Wells Bildirimi katılımcıya suçlamalar hakkında bilgi verir bir menkul kıymetler düzenleyicisinin davalıya karşı dava açmayı planladığı, dolayısıyla davalının bir cevap hazırlama fırsatına sahip olduğu.
SolarWinds "açıklamalarının, kamuoyuna yaptığı açıklamaların, kontrollerinin ve prosedürlerinin uygun olduğunu" savundu. Şirket, SEC icra personelinin konuyla ilgili tutumuna bir yanıt hazırlayacağını belirtti.
SolarWinds'in sistemlerine yapılan ihlal 2020'nin sonlarına kadar keşfedildiMandiant, saldırıda kırmızı takım araçlarının çalındığını fark ettiğinde.
Toplu Dava Uzlaşması
Ayrı olarak, ancak aynı dosyada SolarWinds, tazminat taleplerini kısa sürede çözmek için 26 milyon dolar ödemeyi kabul ettiğini söyledi. sınıf davası davası Şirket ve bazı yöneticileri aleyhine dava açıldı. Dava, şirketin siber güvenlik uygulamaları ve kontrolleri hakkında kamuoyuna yaptığı açıklamalarda yatırımcıları yanılttığını iddia etmişti. Anlaşma, olayla ilgili herhangi bir hatanın, sorumluluğun veya yanlış bir davranışın kabulü anlamına gelmez. Anlaşma onaylandığı takdirde, şirketin geçerli sorumluluk sigortası tarafından ödenecektir.
8-K Formu'ndaki açıklamalar neredeyse iki yıl sonra geldi SolarWinds, saldırganların - daha sonra Rus tehdit grubu olarak tanımlandı Nobel - Şirketin Orion ağ yönetimi platformunun yapım ortamını ihlal etmiş ve yazılıma bir arka kapı yerleştirmişti. Sunburst adı verilen arka kapı daha sonra meşru yazılım güncellemeleri olarak şirketin müşterilerine sunuldu. Yaklaşık 18,000 müşteri zehirli güncellemeleri aldı. Ancak daha sonra bunların 100'den azı gerçekten ele geçirildi. Nobelium'un kurbanları arasında Microsoft ve Intel gibi şirketlerin yanı sıra ABD Adalet ve Enerji bakanlıkları gibi devlet kurumları da vardı.
SolarWinds Tam Bir Yeniden Oluşturma Gerçekleştiriyor
SolarWinds, aynı şeyin bir daha yaşanmamasını sağlamak için o zamandan bu yana geliştirme ve BT ortamlarında çok sayıda değişiklik uyguladığını söyledi. Şirketin yeni tasarım gereği güvenli yaklaşımının temelinde, 2019'da gerçekleşen türden saldırıların gerçekleştirilmesini çok daha zor ve neredeyse imkansız hale getirmek için tasarlanmış yeni bir yapı sistemi yer alıyor.
SolarWinds CISO'su Tim Brown, Dark Reading ile yakın zamanda yapılan bir sohbette yeni geliştirme ortamını, yazılımın üç paralel yapıda geliştirildiği bir ortam olarak tanımlıyor: bir geliştirici hattı, bir aşamalandırma hattı ve bir üretim hattı.
Brown, "Tüm bu boru hattı yapılarına erişimi olan tek bir kişi yok" diyor. "Yayınlamadan önce yaptığımız şey, yapılar arasında bir karşılaştırma yapmak ve karşılaştırmanın eşleştiğinden emin olmak." Üç ayrı yapıya sahip olmanın amacı, kodda yapılan beklenmedik değişikliklerin (kötü niyetli veya başka türlü) yazılım geliştirme yaşam döngüsünün bir sonraki aşamasına taşınmamasını sağlamaktır.
"Bir yapıyı etkilemek isteseydiniz, bir sonraki yapıyı etkileme yeteneğine sahip olmazdınız" diyor. "Bu yapıyı tekrar etkilemek için insanlar arasında gizli anlaşmaya ihtiyacınız var."
SolarWinds'in yeni tasarım gereği güvenli yaklaşımının bir diğer kritik bileşeni, Brown'ın geçici operasyonlar olarak adlandırdığı, yani saldırganların tehlikeye atabileceği uzun ömürlü ortamların bulunmadığı operasyonlardır. Bu yaklaşıma göre, kaynaklar talep üzerine etkinleştirilir ve atandıkları görev tamamlandığında yok edilir, böylece saldırıların bu kaynaklarda varlık oluşturma fırsatı kalmaz.
Bir İhlal “Varsayın”
Brown, genel güvenlik geliştirme sürecinin bir parçası olarak SolarWinds'in ayrıca tüm BT ve geliştirme personeli için donanım belirteci tabanlı çok faktörlü kimlik doğrulamayı uyguladığını ve yazılım geliştirme sırasında meydana gelen her şeyi kaydetmek, günlüğe kaydetmek ve denetlemek için konuşlandırılmış mekanizmalar uyguladığını söylüyor. İhlalin ardından şirket ayrıca, kırmızı takım tatbikatlarının ve sızma testlerinin önemli bir bileşen olduğu bir "ihlal olduğu varsayıldı" zihniyetini benimsedi.
Brown, "Her zaman yapım sistemime girmeye çalışıyorum" diyor. "Örneğin, geliştirme aşamasında sahnelemeyle veya üretimle sonuçlanacak bir değişiklik yapabilir miyim?"
Kırmızı ekip, SolarWinds'in yapı sistemindeki her bileşene ve hizmete bakıyor, bu bileşenlerin yapılandırmasının iyi olduğundan ve bazı durumlarda bu bileşenleri çevreleyen altyapının da güvenli olduğundan emin oluyor, diyor.
Brown, "Daha güvenli bir ortama ulaşmak için yeni özellik geliştirmeyi durdurmak ve yalnızca güvenliğe odaklanmak altı ay sürdü" diyor. SolarWinds'in yeni özelliklerle çıkardığı ilk sürümün, ihlalin keşfedilmesinden sonraki sekiz ila dokuz ay arasında olduğunu söylüyor. SolarWinds'in yazılım güvenliğini desteklemek için yaptığı çalışmayı "ağır bir yük" olarak tanımlıyor ancak bunun şirket için karşılığını aldığını düşünüyor.
Brown, "Bunlar kendimizi doğru yola sokmak [ve] tüm döngü boyunca mümkün olduğunca fazla riski azaltmak için yapılan büyük yatırımlardı" diyor. paylaşılan önemli dersler şirketi 2020 saldırısından ders aldı.
