0
0
A Comissão de Valores Mobiliários dos EUA (SEC) parece pronta para tomar medidas de execução contra a SolarWinds pela suposta violação das leis federais de valores mobiliários da empresa de software corporativo ao fazer declarações e divulgações sobre a violação de dados de 2019 na empresa.
Se a SEC avançasse, a SolarWinds poderia enfrentar penalidades monetárias civis e ser obrigada a fornecer “outras medidas equitativas” para as supostas violações. A ação também impediria a SolarWinds de se envolver em futuras violações das leis federais de valores mobiliários relevantes.
A SolarWinds divulgou a possível ação de fiscalização da SEC em um recente formulário 8-K arquivado na SEC. No arquivamento, a SolarWinds disse que recebeu o chamado “Aviso de Wells” da SEC, observando que a equipe de fiscalização do regulador havia tomado uma decisão preliminar de recomendar a ação de fiscalização. Uma Notificação de Wells basicamente notifica um respondente sobre acusações que um regulador de valores mobiliários pretende apresentar contra um respondente, para que este tenha a oportunidade de preparar uma resposta.
A SolarWinds sustentou que suas “divulgações, declarações públicas, controles e procedimentos eram apropriados”. A empresa observou que prepararia uma resposta à posição da equipe de fiscalização da SEC sobre o assunto.
A violação nos sistemas da SolarWinds não foi descoberta até o final de 2020 , quando a Mandiant descobriu que suas ferramentas de equipe vermelha haviam sido roubadas no ataque.
Acordo de Ação Coletiva
Separadamente, mas no mesmo processo, a SolarWinds disse que concordou em pagar US$ 26 milhões para resolver reivindicações em uma ação coletiva movida contra a empresa e alguns de seus executivos. O processo alegava que a empresa havia enganado investidores em declarações públicas, sobre suas práticas e controles de segurança cibernética. O acordo não constituiria qualquer admissão de qualquer culpa, responsabilidade ou irregularidade sobre o incidente. A liquidação, se aprovada, será paga pelo seguro de responsabilidade civil aplicável da empresa.
As divulgações no formulário 8-K ocorrem quase dois anos depois que a SolarWinds informou que os invasores – posteriormente identificados como o grupo de ameaças russo Nobelium – violaram o ambiente de construção da plataforma de gerenciamento de rede Orion da empresa e plantaram um backdoor no software. O backdoor, apelidado de Sunburst, foi posteriormente divulgado aos clientes da empresa como atualizações de software legítimas. Cerca de 18.000 clientes receberam as atualizações envenenadas. Mas menos de 100 deles foram posteriormente comprometidos. As vítimas do Nobelium incluíam empresas como Microsoft e Intel, bem como agências governamentais, como os departamentos de Justiça e Energia dos EUA.
SolarWinds executa uma reconstrução completa
A SolarWinds disse que implementou várias mudanças desde então em seus ambientes de desenvolvimento e TI para garantir que a mesma coisa não aconteça novamente. No centro da nova abordagem de design seguro da empresa está um novo sistema de construção projetado para tornar os ataques do tipo que aconteceram em 2019 muito mais difíceis – e quase impossíveis – de realizar.
Em uma conversa recente com a Dark Reading, o CISO da SolarWinds, Tim Brown, descreve o novo ambiente de desenvolvimento como aquele em que o software é desenvolvido em três compilações paralelas: um pipeline de desenvolvedor, um pipeline de teste e um pipeline de produção.
“Não há uma pessoa que tenha acesso a todas essas construções de pipeline”, diz Brown. “Antes de lançar, o que fazemos é fazer uma comparação entre as compilações e garantir que a comparação corresponda.” O objetivo de ter três compilações separadas é garantir que quaisquer alterações inesperadas no código – maliciosas ou não – não sejam transferidas para a próxima fase do ciclo de vida de desenvolvimento de software.
“Se você quisesse afetar uma construção, não teria a capacidade de afetar a próxima construção”, diz ele. “Você precisa de conluio entre as pessoas para afetar essa construção novamente.”
Outro componente crítico da nova abordagem de segurança por design da SolarWinds é o que Brown chama de operações efêmeras — onde não há ambientes de longa duração para os invasores comprometerem. Sob a abordagem, os recursos são gerados sob demanda e destruídos quando a tarefa para a qual foram atribuídos é concluída, de modo que os ataques não têm oportunidade de estabelecer uma presença nele.
“Assumir” uma violação
Como parte do processo geral de aprimoramento de segurança, a SolarWinds também implementou autenticação multifatorial baseada em token de hardware para toda a equipe de TI e desenvolvimento e implantou mecanismos para registrar, registrar e auditar tudo o que acontece durante o desenvolvimento de software, diz Brown. Após a violação, a empresa também adotou uma mentalidade de “violação presumida”, da qual exercícios de equipe vermelha e testes de penetração são um componente essencial.
“Estou lá tentando invadir meu sistema de construção o tempo todo”, diz Brown. “Por exemplo, eu poderia fazer uma mudança no desenvolvimento que acabaria na preparação ou terminaria na produção?”
A equipe vermelha analisa todos os componentes e serviços do sistema de construção da SolarWinds, certificando-se de que a configuração desses componentes seja boa e, em alguns casos, a infraestrutura em torno desses componentes também seja segura, diz ele.
“Foram necessários seis meses para encerrar o desenvolvimento de novos recursos e focar apenas na segurança” para chegar a um ambiente mais seguro, diz Brown. A primeira versão lançada pela SolarWinds com novos recursos ocorreu entre oito e nove meses após a descoberta da violação, diz ele. Ele descreve o trabalho que a SolarWinds fez para reforçar a segurança do software como um “trabalho pesado”, mas que ele acha que valeu a pena para a empresa.
“Foram apenas grandes investimentos para nos acertarmos [e] reduzir o máximo de risco possível em todo o ciclo”, diz Brown, que também compartilhou recentemente as principais lições que sua empresa aprendeu com o ataque de 2020.
FONTE: DARK READING