ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), şirketteki 2019 veri ihlali hakkında açıklamalar ve açıklamalar yaparken kurumsal yazılım şirketinin federal menkul kıymetler yasalarını ihlal ettiği iddiası nedeniyle SolarWinds’e karşı yaptırım eylemi yapmaya hazır görünüyor.
SEC ilerlemeye devam ederse, SolarWinds parasal para cezaları ile karşı karşıya kalabilir ve iddia edilen ihlaller için “başka adil bir yardım” sağlaması istenebilir. Eylem ayrıca SolarWinds’in ilgili federal menkul kıymetler yasalarının gelecekteki ihlallerine karışmasını da yasaklayacaktır.
SolarWinds, SEC’e yapılan son bir Form 8-K dosyasında SEC’in potansiyel yaptırım eylemini açıkladı. Dosyalamada SolarWinds, SEC’den düzenleyicinin icra personelinin bir açıklama yaptığını belirten sözde bir “Wells Notice” aldığını söyledi. icra eylemini önermek için ön karar. Temel olarak bir Wells Bildirimi bir davalıyı masraflar hakkında bilgilendirir Bir menkul kıymetler düzenleyicisinin bir davalıya karşı dava açmayı amaçladığı, dolayısıyla davalının bir yanıt hazırlama fırsatına sahip olduğu anlamına gelir.
SolarWinds, “ifşaatlarının, kamu açıklamalarının, kontrollerinin ve prosedürlerinin uygun olduğunu” savundu. Şirket, SEC icra personelinin konuyla ilgili pozisyonuna bir yanıt hazırlayacağını kaydetti.
SolarWinds’in sistemlerine yönelik ihlal, Mandiant’ın saldırıda kırmızı takım araçlarının çalındığını öğrendiği 2020’nin sonlarına kadar keşfedilmedi.
Toplu Dava Uzlaşması
Ayrı ayrı, ancak aynı dosyada SolarWinds, şirkete ve bazı yöneticilerine karşı açılan bir toplu davada iddiaları çözmek için 26 milyon dolar ödemeyi kabul ettiğini söyledi. Dava, şirketin siber güvenlik uygulamaları ve kontrolleri hakkında kamuoyuna yaptığı açıklamalarda yatırımcıları yanlış yönlendirdiğini iddia etmişti. Anlaşma, olayla ilgili herhangi bir kusur, sorumluluk veya suistimalin kabul edildiği anlamına gelmez. Anlaşma, onaylandığı takdirde, şirketin geçerli sorumluluk sigortası tarafından ödenecektir.
8-K Formundaki açıklamalar, SolarWinds’in daha sonra Rus tehdit grubu Nobelium olarak tanımlanan saldırganların şirketin Orion ağ yönetim platformunun yapı ortamını ihlal ettiğini ve yazılıma bir arka kapı yerleştirdiğini bildirmesinden yaklaşık iki yıl sonra geldi. Sunburst olarak adlandırılan arka kapı daha sonra yasal yazılım güncellemeleri olarak şirketin müşterilerine sunuldu. Yaklaşık 18.000 müşteri zehirli güncellemeleri aldı. Ancak 100’den daha azı daha sonra gerçekten tehlikeye girdi. Nobelium’un kurbanları arasında Microsoft ve Intel gibi şirketler ile ABD Adalet ve Enerji departmanları gibi devlet kurumları yer aldı.
SolarWinds Tam Bir Yeniden Oluşturma Gerçekleştiriyor
SolarWinds, aynı şeyin tekrarlanmamasını sağlamak için o zamandan beri geliştirme ve BT ortamlarında çok sayıda değişiklik uyguladığını söyledi. Şirketin yeni tasarım yoluyla güvenli yaklaşımının temelinde, 2019’da gerçekleşen bu tür saldırıları gerçekleştirmeyi çok daha zor ve neredeyse imkansız hale getirmek için tasarlanmış yeni bir yapı sistemi yer alıyor.
Dark Reading ile yakın zamanda yaptığı bir konuşmada, SolarWinds CISO’su Tim Brown, yeni geliştirme ortamını, yazılımın üç paralel yapıda geliştirildiği bir ortam olarak tanımlıyor: bir geliştirici hattı, bir hazırlama hattı ve bir üretim hattı.
Brown, “Bütün bu boru hattı yapılarına erişimi olan kimse yok” diyor. “Yayınlamadan önce yaptığımız şey, yapılar arasında bir karşılaştırma yapmak ve karşılaştırmanın eşleştiğinden emin olmak.” Üç ayrı yapıya sahip olmanın amacı, kodda yapılan beklenmedik değişikliklerin (kötü amaçlı veya başka türlü) yazılım geliştirme yaşam döngüsünün bir sonraki aşamasına taşınmamasını sağlamaktır.
“Bir yapıyı etkilemek isteseydiniz, bir sonraki yapıyı etkileme yeteneğiniz olmazdı” diyor. “Bu yapıyı tekrar etkilemek için insanlar arasında gizli anlaşmaya ihtiyacınız var.”
SolarWinds’in yeni güvenli tasarım yaklaşımının bir diğer kritik bileşeni, Brown’ın geçici operasyonlar olarak adlandırdığı, saldırganların tehlikeye atabileceği uzun ömürlü ortamların olmadığı işlemlerdir. Yaklaşımda, kaynaklar talep üzerine döndürülür ve atandıkları görev tamamlandığında imha edilir, böylece saldırıların üzerinde bir varlık oluşturma fırsatı olmaz.
Bir İhlal “Varsayın”
Brown, genel güvenlik geliştirme sürecinin bir parçası olarak SolarWinds’in tüm BT ve geliştirme personeli için donanım belirteci tabanlı çok faktörlü kimlik doğrulaması uyguladığını ve yazılım geliştirme sırasında gerçekleşen her şeyi kaydetme, günlüğe kaydetme ve denetleme için mekanizmalar yerleştirdiğini söylüyor. İhlalden sonra şirket ayrıca, kırmızı takım egzersizleri ve sızma testinin önemli bir bileşen olduğu bir “varsayılan ihlal” zihniyetini benimsemiştir.
Brown, “İçeride her zaman yapı sistemime girmeye çalışıyorum” diyor. “Örneğin, geliştirmede sahnelemeyle veya üretimle sonuçlanacak bir değişiklik yapabilir miyim?”
Kırmızı ekip, SolarWinds’in yapı sistemindeki her bileşene ve hizmete bakar ve bu bileşenlerin yapılandırmasının iyi olduğundan ve bazı durumlarda bu bileşenleri çevreleyen altyapının da güvenli olduğundan emin olur.
Brown, “Daha güvenli bir ortama ulaşmak için yeni özellik geliştirmeyi kapatmak ve yalnızca güvenliğe odaklanmak altı ay sürdü” diyor. SolarWinds’in yeni özelliklerle ortaya koyduğu ilk sürüm, ihlal keşfinden sekiz ila dokuz ay sonra olduğunu söylüyor. SolarWinds’in yazılım güvenliğini desteklemek için yaptığı işi “ağır bir yük” olarak tanımlıyor, ancak şirket için karşılığını verdiğini düşündüğü bir çalışma.
“Onlar sadece kendimizi düzeltmek için yapılan büyük yatırımlardı. [and] tüm döngüde mümkün olduğunca fazla riski azaltın” diyor Brown, kısa süre önce şirketinin 2020 saldırısından öğrendiği önemli dersleri de paylaşıyor.