美国证券交易委员会 (SEC) 似乎准备对 SolarWinds 采取执法行动,因为该企业软件公司在发布有关 2019 年数据泄露的声明和披露时涉嫌违反联邦证券法。
如果 SEC 继续推进,SolarWinds 可能会面临民事罚款,并被要求为涉嫌违规行为提供“其他公平救济”。该行动还将禁止 SolarWinds 今后继续违反相关联邦证券法。
SolarWinds 在最近向 SEC 提交的 8-K 表中披露了 SEC 可能采取的执法行动。 SolarWinds 在文件中表示,它已收到 SEC 的所谓“威尔斯通知”,指出监管机构的执法人员已做出 建议采取执法行动的初步决定。基本上是威尔斯通知 通知受访者有关费用的信息 证券监管机构打算对被告提起诉讼,因此后者有机会准备回应。
SolarWinds 坚称其“披露、公开声明、控制和程序是适当的”。该公司表示,将针对 SEC 执法人员在此事上的立场做出回应。
SolarWinds 系统的入侵并非如此 直到2020年底才发现,当时 Mandiant 发现其红队工具在攻击中被盗。
集体诉讼和解
SolarWinds 在同一份文件中表示,它已同意支付 26 万美元来解决索赔问题。 集体诉讼 对该公司及其部分高管提起诉讼。该诉讼声称该公司在有关网络安全实践和控制的公开声明中误导了投资者。和解协议并不构成对本次事件的任何过错、责任或不当行为的承认。如果获得批准,和解金将由公司适用的责任保险支付。
8-K 表格中的披露是在近两年后 SolarWinds 报告称,攻击者 ——后来被确定为俄罗斯威胁组织 锘 — 破坏了该公司 Orion 网络管理平台的构建环境,并在软件中植入了后门。这个被称为 Sunburst 的后门后来作为合法软件更新推送给了该公司的客户。大约 18,000 名客户收到了有毒的更新。但其中只有不到 100 个后来真正受到损害。 Nobelium 的受害者包括微软和英特尔等公司以及美国司法部和能源部等政府机构。
SolarWinds 执行全面重建
SolarWinds 表示,自那时以来,它已对其开发和 IT 环境进行了多次更改,以确保同样的事情不会再次发生。该公司新的安全设计方法的核心是一个新的构建系统,旨在使 2019 年发生的此类攻击更加难以实施,而且几乎不可能实施。
在最近与 Dark Reading 的一次对话中,SolarWinds CISO Tim Brown 将新的开发环境描述为通过三个并行构建来开发软件的环境:开发人员管道、登台管道和生产管道。
“没有人能够访问所有这些管道建设,”布朗说。 “在发布之前,我们所做的就是对各个版本进行比较,并确保比较匹配。”进行三个独立构建的目的是确保对代码的任何意外更改(无论是恶意的还是其他形式)都不会延续到软件开发生命周期的下一阶段。
“如果你想影响一个构建,你就没有能力影响下一个构建,”他说。 “你需要人们之间的勾结才能再次影响那个建筑。”
SolarWinds 新的安全设计方法的另一个关键组成部分是 Brown 所说的短暂操作,即不存在可供攻击者妥协的长期环境。在这种方法下,资源会按需启动,并在分配给它们的任务完成后被销毁,因此攻击没有机会在其上建立存在。
“假设”违约
Brown 表示,作为整体安全增强流程的一部分,SolarWinds 还为所有 IT 和开发人员实施了基于硬件令牌的多因素身份验证,并部署了用于记录、记录和审核软件开发过程中发生的所有情况的机制。发生违规事件后,该公司还采取了“假定违规”的心态,其中红队演习和渗透测试是重要组成部分。
“我一直在尝试闯入我的构建系统,”布朗说。 “例如,我可以在开发中做出改变,从而最终进入分阶段或最终进入生产吗?”
他说,红色团队会检查 SolarWinds 构建系统中的每个组件和服务,确保这些组件的配置良好,并且在某些情况下,这些组件周围的基础设施也是安全的。
布朗表示,“我们花了六个月的时间停止了新功能的开发,只专注于安全”,才获得了更安全的环境。他说,SolarWinds 在发现漏洞后八到九个月内发布了第一个具有新功能的版本。他将 SolarWinds 为加强软件安全所做的工作描述为“沉重的负担”,但他认为这已经为公司带来了回报。
布朗表示:“它们只是重大投资,目的是让我们自己走上正轨,并在整个周期中尽可能降低风险。” 分享关键经验教训 他的公司从 2020 年的袭击中吸取了教训。
