SolarWinds 攻擊堪稱史上最廣泛的供應(yīng)鏈攻擊的典范了。攻擊范圍影響之廣，不可為不大。但是最近美國證券交易委員會對SolarWinds進行了指控。

周一，美國證券交易委員會 (SEC) 對 SolarWinds 及其首席信息安全官 (CISO) 蒂莫西·G·布朗 (Timothy G. Brown) 提出指控，指控這家軟件公司在其產(chǎn)品信息方面誤導了投資者，這令網(wǎng)絡(luò)安全界感到震驚。網(wǎng)絡(luò)安全實踐和已知風險。

這些指控源于該公司在 2018 年 10 月首次公開募股 (IPO) 到 2020 年 12 月揭露被稱為“SUNBURST”的復雜網(wǎng)絡(luò)攻擊期間發(fā)生的與已知網(wǎng)絡(luò)安全漏洞相關(guān)的涉嫌欺詐和內(nèi)部控制失敗。

軟件供應(yīng)鏈網(wǎng)絡(luò)攻擊 涉及與俄羅斯有關(guān)的威脅行為者在 2019 年或更早入侵 SolarWinds 系統(tǒng)。黑客破壞了該公司 Orion 監(jiān)控軟件的自動化構(gòu)建環(huán)境，并在 2020 年春季向 SolarWinds 客戶推出了惡意 Orion 更新。

根據(jù)美國證券交易委員會提交的起訴書，總部位于德克薩斯州奧斯汀的 SolarWinds 和 Brown 被指控夸大公司的網(wǎng)絡(luò)安全實踐，同時低估或未披露已知風險，從而欺騙投資者。美國證券交易委員會指控 SolarWinds 僅披露模糊和假設(shè)的風險，同時在內(nèi)部承認具體的網(wǎng)絡(luò)安全缺陷和不斷升級的威脅，從而誤導了投資者。

投訴中引用的一個關(guān)鍵證據(jù)是由 SolarWinds 工程師準備的 2018 年內(nèi)部演示文稿，該演示文稿在內(nèi)部共享，包括與 Brown 共享。該演示文稿指出，SolarWinds 的遠程訪問設(shè)置“不太安全”，利用該漏洞可能會導致該公司“重大聲譽和財務(wù)損失”。同樣，布朗在 2018 年和 2019 年的演講也表達了對該公司網(wǎng)絡(luò)安全狀況的擔憂。

SEC 的投訴還指出，包括 Brown 在內(nèi)的 SolarWinds 員工在 2019 年和 2020 年的內(nèi)部溝通，引發(fā)了對該公司保護其關(guān)鍵資產(chǎn)免受網(wǎng)絡(luò)攻擊的能力的質(zhì)疑。2020 年 6 月，Brown 擔心攻擊者可能會使用 SolarWinds 的軟件進行更大規(guī)模的攻擊，并指出“我們的后端沒有那么強的彈性”。此外，2020 年 9 月與 Brown 和其他人分享的一份內(nèi)部文件指出，“上個月發(fā)現(xiàn)的安全問題數(shù)量[原文如此]超出了工程團隊的解決能力?！?/p>

美國證券交易委員會聲稱，盡管布朗意識到這些網(wǎng)絡(luò)安全風險和漏洞，但未能在公司內(nèi)部充分解決這些問題。因此，該公司無法合理保證其最有價值的資產(chǎn)（包括其旗艦 Orion 產(chǎn)品）得到充分保護。

SolarWinds 在 2020 年 12 月 14 日提交的 8-K 表格中未完整披露有關(guān) SUNBURST 攻擊的信息，導致該公司股價大幅下跌，在接下來的兩天內(nèi)下跌了約 25%，到月底下跌了約 35% 。

美國證券交易委員會執(zhí)法部門主管 Gurbir Grewal 表示：“我們聲稱，多年來，SolarWinds 和 Brown 一直忽視 SolarWinds 網(wǎng)絡(luò)風險的危險信號，這些風險在整個公司眾所周知，并導致 Brown 的一名下屬得出結(jié)論：“我們距離成為一家注重安全的公司還很遠。” SolarWinds 和 Brown 沒有解決這些漏洞，而是開展了一場活動，為公司的網(wǎng)絡(luò)控制環(huán)境描繪虛假圖景，從而剝奪了投資者準確的重大信息?！?/p>

美國證券交易委員會在紐約南區(qū)提起的訴訟指控 SolarWinds 和 Brown 違反了 1933 年《證券法》和 1934 年《證券交易法》的反欺詐條款。SolarWinds 還被指控違反了交易所的報告和內(nèi)部控制條款法案，而布朗被指控協(xié)助和教唆該公司的違法行為。該訴狀尋求永久禁令救濟、返還判決前利息、民事處罰以及禁止布朗的官員和董事。

SolarWinds 總裁兼首席執(zhí)行官 Sudhakar Ramakrishna 聲稱，該公司在 SUNBURST 事件發(fā)生之前確實保持了適當?shù)木W(wǎng)絡(luò)安全控制，并表示該公司將“強烈反對 SEC 的這一行動”。

Ramakrishna 認為，美國證券交易委員會“現(xiàn)在對該公司采取了我們認為是誤導性和不當?shù)膱?zhí)法行動”，這是令人震驚的，他表示，這是一系列倒退的觀點和行動，與行業(yè)和政府需要取得的進展不符。鼓勵。

Ramakrishna在一篇針對這些指控的博客文章中指出：“美國證券交易委員會的指控現(xiàn)在面臨著整個行業(yè)公開信息共享的風險，網(wǎng)絡(luò)安全專家認為，這對于我們的集體安全是必要的。” “他們還冒著剝奪全國各地熱心網(wǎng)絡(luò)安全專業(yè)人員權(quán)利的風險，讓這些網(wǎng)絡(luò)戰(zhàn)士離開前線。我擔心這些行動將阻礙公私伙伴關(guān)系的發(fā)展和更廣泛的信息共享，使我們更容易受到安全攻擊。”

SolarWinds 發(fā)言人稱：“我們對 SEC 對俄羅斯對一家美國公司進行網(wǎng)絡(luò)攻擊的毫無根據(jù)的指控感到失望，并深切擔心這一行動將使我們的國家安全面臨風險。SEC 決定對我們和我們的 CISO 提出索賠，這是該機構(gòu)越權(quán)的另一個例子，應(yīng)該引起全國所有上市公司和致力于網(wǎng)絡(luò)安全專業(yè)人士的警惕。我們期待在法庭上澄清事實，并繼續(xù)通過我們的“安全設(shè)計”承諾來支持我們的客戶。”