Комісія з цінних паперів і бірж США (SEC), схоже, готова вжити примусових заходів проти SolarWinds за ймовірне порушення компанією з корпоративного програмного забезпечення федеральних законів про цінні папери, коли вона робила заяви та розкривала інформацію про витік даних у компанії в 2019 році.
Якщо SEC зробить крок вперед, SolarWinds може зіткнутися з цивільними грошовими штрафами та зобов’язатися надати «інший справедливий захист» за ймовірні порушення. Ця дія також заборонить SolarWinds брати участь у майбутніх порушеннях відповідних федеральних законів про цінні папери.
Компанія SolarWinds оприлюднила потенційні примусові дії SEC у нещодавній формі 8-K, поданій до SEC. У заяві SolarWinds стверджує, що отримала так зване «повідомлення Wells» від SEC, у якому зазначено, що співробітники регуляторного органу зробили попереднє рішення про вжиття виконавчих дій. По суті, повідомлення Уеллса повідомляє респондента про звинувачення який регулятор цінних паперів має намір подати проти відповідача, щоб останній мав можливість підготувати відповідь.
SolarWinds стверджувала, що її «розкриття інформації, публічні заяви, засоби контролю та процедури були належними». Компанія зазначила, що підготує відповідь на позицію правоохоронних органів SEC з цього приводу.
Злому в системи SolarWinds не було виявлено до кінця 2020 року, коли Mandiant виявив, що інструменти його червоної команди були вкрадені під час нападу.
Груповий позов
Окремо, але в тій самій заявці, SolarWinds заявила, що погодилася виплатити 26 мільйонів доларів для врегулювання претензій у судовий процес у класі подали проти компанії та деяких її керівників. У позові стверджувалося, що компанія ввела в оману інвесторів у публічних заявах щодо своїх методів кібербезпеки та контролю. Угода не означатиме визнання будь-якої провини, відповідальності чи протиправних дій у зв’язку з інцидентом. Розрахунок, у разі схвалення, буде сплачено відповідним страхуванням відповідальності компанії.
Розкриття інформації у формі 8-K надійшло майже через два роки SolarWinds повідомляє, що зловмисники — пізніше визначений як російська група загрози Нобелій — зламав середовище збірки платформи керування мережею Orion і встановив бекдор у програмному забезпеченні. Бекдор, який отримав назву Sunburst, пізніше був представлений клієнтам компанії як законні оновлення програмного забезпечення. Близько 18,000 100 клієнтів отримали отруєні оновлення. Але пізніше було скомпрометовано менше XNUMX із них. Жертвами Nobelium були такі компанії, як Microsoft і Intel, а також державні установи, такі як міністерство юстиції та енергетики США.
SolarWinds виконує повне відновлення
Компанія SolarWinds заявила, що з тих пір внесла численні зміни в середовище розробки та ІТ-середовища, щоб гарантувати, що те саме не повториться. В основі нового безпечного підходу компанії лежить нова система збірки, розроблена для того, щоб зробити атаки типу, що стався у 2019 році, набагато складнішим — і майже неможливим — для здійснення.
У нещодавній розмові з Dark Reading, керівник SolarWinds CISO Тім Браун описує нове середовище розробки як таке, де програмне забезпечення розробляється трьома паралельними збірками: конвеєром розробника, конвеєром проміжної обробки та конвеєром виробництва.
«Немає жодної людини, яка має доступ до всіх цих конструкцій конвеєрів», — каже Браун. «Перед тим, як випустити, ми порівнюємо між збірками й переконаємося, що порівняння збігається». Мета створення трьох окремих збірок полягає в тому, щоб будь-які несподівані зміни в коді (зловмисні чи інші) не переносилися на наступний етап життєвого циклу розробки програмного забезпечення.
«Якби ви хотіли вплинути на одну збірку, ви не мали б можливості вплинути на наступну», — каже він. «Вам потрібна змова між людьми, щоб знову вплинути на цю будівлю».
Ще один важливий компонент нового підходу SolarWinds до безпеки за проектом — це те, що Браун називає ефемерними операціями — де немає довготривалих середовищ, які зловмисники можуть зламати. Відповідно до цього підходу ресурси розгортаються на вимогу та знищуються, коли завдання, для якого вони були призначені, виконано, тому атаки не мають можливості встановити присутність на ньому.
«Припустити» порушення
У рамках загального процесу підвищення безпеки SolarWinds також реалізувала багатофакторну автентифікацію на основі апаратних маркерів для всього ІТ-персоналу та розробників, а також розгорнула механізми для запису, журналювання та аудиту всього, що відбувається під час розробки програмного забезпечення, каже Браун. Крім того, після злому компанія прийняла менталітет «передбачуваного порушення», важливим компонентом якого є вправи червоної команди та тестування на проникнення.
«Я весь час намагаюся зламати свою систему збірки», — каже Браун. «Наприклад, чи можу я внести зміни в розробку, які закінчаться постановкою чи виробництвом?»
«Червона команда» розглядає кожен компонент і службу в системі збірки SolarWinds, переконавшись, що конфігурація цих компонентів правильна, а в деяких випадках інфраструктура, що оточує ці компоненти, також є безпечною, говорить він.
«Потрібно було шість місяців припинити розробку нових функцій і зосередитися лише на безпеці», щоб отримати більш безпечне середовище, каже Браун. Перший випуск SolarWinds із новими функціями вийшов через вісім-дев’ять місяців після виявлення зламу, каже він. Він описує роботу, здійснену SolarWinds для підвищення безпеки програмного забезпечення, як «важку роботу», але, на його думку, компанія окупилася.
«Вони були лише великими інвестиціями, щоб виправити себе [і] зменшити якомога більше ризиків у всьому циклі», — каже Браун, який також нещодавно поділився ключовими уроками його компанія вчилася з атаки 2020 року.
