SolarWinds 攻击堪称史上最广泛的供应链攻击的典范了。攻击范围影响之广,不可为不大。但是最近美国证券交易委员会对SolarWinds进行了指控。
周一,美国证券交易委员会 (SEC) 对 SolarWinds 及其首席信息安全官 (CISO) 蒂莫西·G·布朗 (Timothy G. Brown) 提出指控,指控这家软件公司在其产品信息方面误导了投资者,这令网络安全界感到震惊。网络安全实践和已知风险。
这些指控源于该公司在 2018 年 10 月首次公开募股 (IPO) 到 2020 年 12 月揭露被称为“SUNBURST”的复杂网络攻击期间发生的与已知网络安全漏洞相关的涉嫌欺诈和内部控制失败。
软件供应链网络攻击 涉及与俄罗斯有关的威胁行为者在 2019 年或更早入侵 SolarWinds 系统。黑客破坏了该公司 Orion 监控软件的自动化构建环境,并在 2020 年春季向 SolarWinds 客户推出了恶意 Orion 更新。
根据美国证券交易委员会提交的起诉书,总部位于德克萨斯州奥斯汀的 SolarWinds 和 Brown 被指控夸大公司的网络安全实践,同时低估或未披露已知风险,从而欺骗投资者。美国证券交易委员会指控 SolarWinds 仅披露模糊和假设的风险,同时在内部承认具体的网络安全缺陷和不断升级的威胁,从而误导了投资者。
投诉中引用的一个关键证据是由 SolarWinds 工程师准备的 2018 年内部演示文稿,该演示文稿在内部共享,包括与 Brown 共享。该演示文稿指出,SolarWinds 的远程访问设置“不太安全”,利用该漏洞可能会导致该公司“重大声誉和财务损失”。同样,布朗在 2018 年和 2019 年的演讲也表达了对该公司网络安全状况的担忧。
SEC 的投诉还指出,包括 Brown 在内的 SolarWinds 员工在 2019 年和 2020 年的内部沟通,引发了对该公司保护其关键资产免受网络攻击的能力的质疑。2020 年 6 月,Brown 担心攻击者可能会使用 SolarWinds 的软件进行更大规模的攻击,并指出“我们的后端没有那么强的弹性”。此外,2020 年 9 月与 Brown 和其他人分享的一份内部文件指出,“上个月发现的安全问题数量[原文如此]超出了工程团队的解决能力。”
美国证券交易委员会声称,尽管布朗意识到这些网络安全风险和漏洞,但未能在公司内部充分解决这些问题。因此,该公司无法合理保证其最有价值的资产(包括其旗舰 Orion 产品)得到充分保护。
SolarWinds 在 2020 年 12 月 14 日提交的 8-K 表格中未完整披露有关 SUNBURST 攻击的信息,导致该公司股价大幅下跌,在接下来的两天内下跌了约 25%,到月底下跌了约 35% 。
美国证券交易委员会执法部门主管 Gurbir Grewal 表示:“我们声称,多年来,SolarWinds 和 Brown 一直忽视 SolarWinds 网络风险的危险信号,这些风险在整个公司众所周知,并导致 Brown 的一名下属得出结论:“我们距离成为一家注重安全的公司还很远。” SolarWinds 和 Brown 没有解决这些漏洞,而是开展了一场活动,为公司的网络控制环境描绘虚假图景,从而剥夺了投资者准确的重大信息。”
美国证券交易委员会在纽约南区提起的诉讼指控 SolarWinds 和 Brown 违反了 1933 年《证券法》和 1934 年《证券交易法》的反欺诈条款。SolarWinds 还被指控违反了交易所的报告和内部控制条款法案,而布朗被指控协助和教唆该公司的违法行为。该诉状寻求永久禁令救济、返还判决前利息、民事处罚以及禁止布朗的官员和董事。
SolarWinds 总裁兼首席执行官 Sudhakar Ramakrishna 声称,该公司在 SUNBURST 事件发生之前确实保持了适当的网络安全控制,并表示该公司将“强烈反对 SEC 的这一行动”。
Ramakrishna 认为,美国证券交易委员会“现在对该公司采取了我们认为是误导性和不当的执法行动”,这是令人震惊的,他表示,这是一系列倒退的观点和行动,与行业和政府需要取得的进展不符。鼓励。
Ramakrishna在一篇针对这些指控的博客文章中指出:“美国证券交易委员会的指控现在面临着整个行业公开信息共享的风险,网络安全专家认为,这对于我们的集体安全是必要的。” “他们还冒着剥夺全国各地热心网络安全专业人员权利的风险,让这些网络战士离开前线。我担心这些行动将阻碍公私伙伴关系的发展和更广泛的信息共享,使我们更容易受到安全攻击。”
SolarWinds 发言人称:“我们对 SEC 对俄罗斯对一家美国公司进行网络攻击的毫无根据的指控感到失望,并深切担心这一行动将使我们的国家安全面临风险。SEC 决定对我们和我们的 CISO 提出索赔,这是该机构越权的另一个例子,应该引起全国所有上市公司和致力于网络安全专业人士的警惕。我们期待在法庭上澄清事实,并继续通过我们的“安全设计”承诺来支持我们的客户。”
