SolarWinds 攻擊堪稱史上最廣泛的供應(yīng)鏈攻擊的典范了。攻擊范圍影響之廣，不可為不大。但是最近美國(guó)證券交易委員會(huì)對(duì)SolarWinds進(jìn)行了指控。

周一，美國(guó)證券交易委員會(huì) (SEC) 對(duì) SolarWinds 及其首席信息安全官 (CISO) 蒂莫西·G·布朗 (Timothy G. Brown) 提出指控，指控這家軟件公司在其產(chǎn)品信息方面誤導(dǎo)了投資者，這令網(wǎng)絡(luò)安全界感到震驚。網(wǎng)絡(luò)安全實(shí)踐和已知風(fēng)險(xiǎn)。

這些指控源于該公司在 2018 年 10 月首次公開(kāi)募股 (IPO) 到 2020 年 12 月揭露被稱為“SUNBURST”的復(fù)雜網(wǎng)絡(luò)攻擊期間發(fā)生的與已知網(wǎng)絡(luò)安全漏洞相關(guān)的涉嫌欺詐和內(nèi)部控制失敗。

軟件供應(yīng)鏈網(wǎng)絡(luò)攻擊 涉及與俄羅斯有關(guān)的威脅行為者在 2019 年或更早入侵 SolarWinds 系統(tǒng)。黑客破壞了該公司 Orion 監(jiān)控軟件的自動(dòng)化構(gòu)建環(huán)境，并在 2020 年春季向 SolarWinds 客戶推出了惡意 Orion 更新。

根據(jù)美國(guó)證券交易委員會(huì)提交的起訴書(shū)，總部位于德克薩斯州奧斯汀的 SolarWinds 和 Brown 被指控夸大公司的網(wǎng)絡(luò)安全實(shí)踐，同時(shí)低估或未披露已知風(fēng)險(xiǎn)，從而欺騙投資者。美國(guó)證券交易委員會(huì)指控 SolarWinds 僅披露模糊和假設(shè)的風(fēng)險(xiǎn)，同時(shí)在內(nèi)部承認(rèn)具體的網(wǎng)絡(luò)安全缺陷和不斷升級(jí)的威脅，從而誤導(dǎo)了投資者。

投訴中引用的一個(gè)關(guān)鍵證據(jù)是由 SolarWinds 工程師準(zhǔn)備的 2018 年內(nèi)部演示文稿，該演示文稿在內(nèi)部共享，包括與 Brown 共享。該演示文稿指出，SolarWinds 的遠(yuǎn)程訪問(wèn)設(shè)置“不太安全”，利用該漏洞可能會(huì)導(dǎo)致該公司“重大聲譽(yù)和財(cái)務(wù)損失”。同樣，布朗在 2018 年和 2019 年的演講也表達(dá)了對(duì)該公司網(wǎng)絡(luò)安全狀況的擔(dān)憂。

SEC 的投訴還指出，包括 Brown 在內(nèi)的 SolarWinds 員工在 2019 年和 2020 年的內(nèi)部溝通，引發(fā)了對(duì)該公司保護(hù)其關(guān)鍵資產(chǎn)免受網(wǎng)絡(luò)攻擊的能力的質(zhì)疑。2020 年 6 月，Brown 擔(dān)心攻擊者可能會(huì)使用 SolarWinds 的軟件進(jìn)行更大規(guī)模的攻擊，并指出“我們的后端沒(méi)有那么強(qiáng)的彈性”。此外，2020 年 9 月與 Brown 和其他人分享的一份內(nèi)部文件指出，“上個(gè)月發(fā)現(xiàn)的安全問(wèn)題數(shù)量[原文如此]超出了工程團(tuán)隊(duì)的解決能力。”

美國(guó)證券交易委員會(huì)聲稱，盡管布朗意識(shí)到這些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和漏洞，但未能在公司內(nèi)部充分解決這些問(wèn)題。因此，該公司無(wú)法合理保證其最有價(jià)值的資產(chǎn)（包括其旗艦 Orion 產(chǎn)品）得到充分保護(hù)。

SolarWinds 在 2020 年 12 月 14 日提交的 8-K 表格中未完整披露有關(guān) SUNBURST 攻擊的信息，導(dǎo)致該公司股價(jià)大幅下跌，在接下來(lái)的兩天內(nèi)下跌了約 25%，到月底下跌了約 35% 。

美國(guó)證券交易委員會(huì)執(zhí)法部門(mén)主管 Gurbir Grewal 表示：“我們聲稱，多年來(lái)，SolarWinds 和 Brown 一直忽視 SolarWinds 網(wǎng)絡(luò)風(fēng)險(xiǎn)的危險(xiǎn)信號(hào)，這些風(fēng)險(xiǎn)在整個(gè)公司眾所周知，并導(dǎo)致 Brown 的一名下屬得出結(jié)論：“我們距離成為一家注重安全的公司還很遠(yuǎn)。” SolarWinds 和 Brown 沒(méi)有解決這些漏洞，而是開(kāi)展了一場(chǎng)活動(dòng)，為公司的網(wǎng)絡(luò)控制環(huán)境描繪虛假圖景，從而剝奪了投資者準(zhǔn)確的重大信息。”

美國(guó)證券交易委員會(huì)在紐約南區(qū)提起的訴訟指控 SolarWinds 和 Brown 違反了 1933 年《證券法》和 1934 年《證券交易法》的反欺詐條款。SolarWinds 還被指控違反了交易所的報(bào)告和內(nèi)部控制條款法案，而布朗被指控協(xié)助和教唆該公司的違法行為。該訴狀尋求永久禁令救濟(jì)、返還判決前利息、民事處罰以及禁止布朗的官員和董事。

SolarWinds 總裁兼首席執(zhí)行官 Sudhakar Ramakrishna 聲稱，該公司在 SUNBURST 事件發(fā)生之前確實(shí)保持了適當(dāng)?shù)木W(wǎng)絡(luò)安全控制，并表示該公司將“強(qiáng)烈反對(duì) SEC 的這一行動(dòng)”。

Ramakrishna 認(rèn)為，美國(guó)證券交易委員會(huì)“現(xiàn)在對(duì)該公司采取了我們認(rèn)為是誤導(dǎo)性和不當(dāng)?shù)膱?zhí)法行動(dòng)”，這是令人震驚的，他表示，這是一系列倒退的觀點(diǎn)和行動(dòng)，與行業(yè)和政府需要取得的進(jìn)展不符。鼓勵(lì)。

Ramakrishna在一篇針對(duì)這些指控的博客文章中指出：“美國(guó)證券交易委員會(huì)的指控現(xiàn)在面臨著整個(gè)行業(yè)公開(kāi)信息共享的風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全專家認(rèn)為，這對(duì)于我們的集體安全是必要的。” “他們還冒著剝奪全國(guó)各地?zé)嵝木W(wǎng)絡(luò)安全專業(yè)人員權(quán)利的風(fēng)險(xiǎn)，讓這些網(wǎng)絡(luò)戰(zhàn)士離開(kāi)前線。我擔(dān)心這些行動(dòng)將阻礙公私伙伴關(guān)系的發(fā)展和更廣泛的信息共享，使我們更容易受到安全攻擊。”

SolarWinds 發(fā)言人稱：“我們對(duì) SEC 對(duì)俄羅斯對(duì)一家美國(guó)公司進(jìn)行網(wǎng)絡(luò)攻擊的毫無(wú)根據(jù)的指控感到失望，并深切擔(dān)心這一行動(dòng)將使我們的國(guó)家安全面臨風(fēng)險(xiǎn)。SEC 決定對(duì)我們和我們的 CISO 提出索賠，這是該機(jī)構(gòu)越權(quán)的另一個(gè)例子，應(yīng)該引起全國(guó)所有上市公司和致力于網(wǎng)絡(luò)安全專業(yè)人士的警惕。我們期待在法庭上澄清事實(shí)，并繼續(xù)通過(guò)我們的“安全設(shè)計(jì)”承諾來(lái)支持我們的客戶。”