Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) dường như đã sẵn sàng thực hiện hành động cưỡng chế chống lại SolarWinds vì công ty phần mềm doanh nghiệp bị cáo buộc vi phạm luật chứng khoán liên bang khi đưa ra tuyên bố và tiết lộ về vụ vi phạm dữ liệu năm 2019 tại công ty.
Nếu SEC tiếp tục, SolarWinds có thể phải đối mặt với các hình phạt dân sự bằng tiền và được yêu cầu cung cấp “các biện pháp hỗ trợ công bằng khác” cho các vi phạm bị cáo buộc. Hành động này cũng sẽ cấm SolarWinds tham gia vào các hành vi vi phạm luật chứng khoán liên bang có liên quan trong tương lai.
SolarWinds tiết lộ hành động thực thi tiềm năng của SEC trong hồ sơ Mẫu 8-K gần đây gửi cho SEC. Trong hồ sơ, SolarWinds cho biết họ đã nhận được cái gọi là “Thông báo về giếng” từ SEC lưu ý rằng nhân viên thực thi của cơ quan quản lý đã đưa ra quyết định quyết định sơ bộ đề xuất biện pháp cưỡng chế. Thông báo Wells về cơ bản thông báo cho người trả lời về các khoản phí rằng một cơ quan quản lý chứng khoán dự định đưa ra chống lại một người trả lời, vì vậy người sau có cơ hội để chuẩn bị một câu trả lời.
SolarWinds khẳng định rằng “các tiết lộ, tuyên bố công khai, biện pháp kiểm soát và thủ tục của họ là phù hợp”. Công ty lưu ý rằng họ sẽ chuẩn bị phản hồi quan điểm của nhân viên thực thi SEC về vấn đề này.
Việc xâm nhập vào hệ thống của SolarWinds không phải phát hiện cho đến cuối năm 2020, khi Mandiant phát hiện ra rằng các công cụ của nhóm đỏ đã bị đánh cắp trong cuộc tấn công.
Dàn Xếp Vụ Kiện Tập Thể
Riêng biệt, nhưng trong cùng một hồ sơ, SolarWinds cho biết họ đã đồng ý trả 26 triệu đô la để giải quyết các khiếu nại trong một vụ kiện. vụ kiện tập thể đã đệ đơn kiện công ty và một số giám đốc điều hành của nó. Vụ kiện cáo buộc công ty đã đánh lừa các nhà đầu tư trong các tuyên bố công khai về các hoạt động và biện pháp kiểm soát an ninh mạng của mình. Việc giải quyết sẽ không cấu thành bất kỳ sự thừa nhận nào về bất kỳ lỗi, trách nhiệm pháp lý hoặc hành vi sai trái nào đối với vụ việc. Việc giải quyết, nếu được chấp thuận, sẽ được thanh toán bằng bảo hiểm trách nhiệm hiện hành của công ty.
Các tiết lộ trong Biểu mẫu 8-K xuất hiện gần hai năm sau SolarWinds đã báo cáo rằng những kẻ tấn công - sau đó được xác định là nhóm đe dọa của Nga Nobeli — đã vi phạm môi trường xây dựng nền tảng quản lý mạng Orion của công ty và cài một cửa hậu vào phần mềm. Cửa sau, được đặt tên là Sunburst, sau đó đã được cung cấp cho khách hàng của công ty dưới dạng bản cập nhật phần mềm hợp pháp. Khoảng 18,000 khách hàng đã nhận được bản cập nhật bị nhiễm độc. Nhưng ít hơn 100 trong số đó sau đó thực sự bị xâm phạm. Nạn nhân của Nobelium bao gồm các công ty như Microsoft và Intel cũng như các cơ quan chính phủ như Bộ Tư pháp và Năng lượng Hoa Kỳ.
SolarWinds thực hiện xây dựng lại hoàn chỉnh
SolarWinds cho biết họ đã thực hiện nhiều thay đổi kể từ đó đối với môi trường CNTT và phát triển của mình để đảm bảo điều tương tự sẽ không xảy ra nữa. Cốt lõi của phương pháp tiếp cận bảo mật theo thiết kế mới của công ty là một hệ thống xây dựng mới được thiết kế để khiến các cuộc tấn công thuộc loại xảy ra vào năm 2019 khó thực hiện hơn nhiều — và gần như không thể — thực hiện.
Trong một cuộc trò chuyện gần đây với Dark Reading, SolarWinds CISO Tim Brown mô tả môi trường phát triển mới là môi trường nơi phần mềm được phát triển theo ba bản dựng song song: quy trình phát triển, quy trình dàn dựng và quy trình sản xuất.
Brown nói: “Không có ai có quyền truy cập vào tất cả các công trình xây dựng đường ống đó. “Trước khi phát hành, những gì chúng tôi làm là so sánh giữa các bản dựng và đảm bảo rằng sự so sánh đó khớp với nhau.” Mục tiêu của việc có ba bản dựng riêng biệt là để đảm bảo rằng mọi thay đổi không mong muốn đối với mã - độc hại hoặc nói cách khác - sẽ không được chuyển sang giai đoạn tiếp theo của vòng đời phát triển phần mềm.
Ông nói: “Nếu bạn muốn tác động đến một công trình, bạn sẽ không có khả năng tác động đến công trình tiếp theo. “Bạn cần có sự thông đồng giữa mọi người để tác động trở lại đến công trình đó.”
Một thành phần quan trọng khác trong phương pháp tiếp cận bảo mật theo thiết kế mới của SolarWinds là cái mà Brown gọi là các hoạt động phù du – nơi không có môi trường tồn tại lâu dài để những kẻ tấn công thỏa hiệp. Theo cách tiếp cận này, các tài nguyên được tạo ra theo yêu cầu và bị phá hủy khi nhiệm vụ được giao hoàn thành nên các cuộc tấn công không có cơ hội thiết lập sự hiện diện trên đó.
“Giả sử” một vi phạm
Brown cho biết, là một phần của quy trình nâng cao bảo mật tổng thể, SolarWinds cũng đã triển khai xác thực đa yếu tố dựa trên mã thông báo phần cứng cho tất cả nhân viên CNTT và nhân viên phát triển, đồng thời triển khai các cơ chế ghi lại, ghi nhật ký và kiểm tra mọi thứ xảy ra trong quá trình phát triển phần mềm. Ngoài ra, sau vụ vi phạm, công ty đã áp dụng tâm lý “giả định vi phạm” trong đó các bài tập của đội đỏ và thử nghiệm thâm nhập là một thành phần thiết yếu.
Brown nói: “Tôi luôn cố gắng đột nhập vào hệ thống xây dựng của mình. “Ví dụ: tôi có thể thực hiện một thay đổi trong quá trình phát triển mà sẽ kết thúc ở giai đoạn dàn dựng hoặc sản xuất không?”
Đội đỏ xem xét mọi thành phần và dịch vụ trong hệ thống xây dựng của SolarWinds, đảm bảo rằng cấu hình của các thành phần đó tốt và trong một số trường hợp, cơ sở hạ tầng xung quanh các thành phần đó cũng được an toàn, ông nói.
Brown cho biết: “Phải mất sáu tháng ngừng phát triển tính năng mới và chỉ tập trung vào bảo mật” để có được một môi trường an toàn hơn. Ông cho biết, bản phát hành đầu tiên mà SolarWinds đưa ra với các tính năng mới là từ tám đến chín tháng sau khi phát hiện ra vi phạm. Anh ấy mô tả công việc mà SolarWinds đã thực hiện để tăng cường bảo mật phần mềm là một “nâng cao” nhưng anh ấy cho rằng công việc đó đã mang lại thành quả cho công ty.
“Đó chỉ là những khoản đầu tư lớn để giúp chúng tôi đi đúng hướng [và] giảm thiểu rủi ro nhiều nhất có thể trong toàn bộ chu kỳ,” Brown, người gần đây cũng cho biết. bài học quan trọng được chia sẻ công ty của anh ấy đã học được từ cuộc tấn công năm 2020.
