SolarWinds 攻擊堪稱史上最廣泛的供應鏈攻擊的典范了。攻擊范圍影響之廣，不可為不大。但是最近美國證券交易委員會對SolarWinds進行了指控。

周一，美國證券交易委員會 (SEC) 對 SolarWinds 及其首席信息安全官 (CISO) 蒂莫西·G·布朗 (Timothy G. Brown) 提出指控，指控這家軟件公司在其產品信息方面誤導了投資者，這令網絡安全界感到震驚。網絡安全實踐和已知風險。

這些指控源于該公司在 2018 年 10 月首次公開募股 (IPO) 到 2020 年 12 月揭露被稱為“SUNBURST”的復雜網絡攻擊期間發生的與已知網絡安全漏洞相關的涉嫌欺詐和內部控制失敗。

軟件供應鏈網絡攻擊 涉及與俄羅斯有關的威脅行為者在 2019 年或更早入侵 SolarWinds 系統。黑客破壞了該公司 Orion 監控軟件的自動化構建環境，并在 2020 年春季向 SolarWinds 客戶推出了惡意 Orion 更新。

根據美國證券交易委員會提交的起訴書，總部位于德克薩斯州奧斯汀的 SolarWinds 和 Brown 被指控夸大公司的網絡安全實踐，同時低估或未披露已知風險，從而欺騙投資者。美國證券交易委員會指控 SolarWinds 僅披露模糊和假設的風險，同時在內部承認具體的網絡安全缺陷和不斷升級的威脅，從而誤導了投資者。

投訴中引用的一個關鍵證據是由 SolarWinds 工程師準備的 2018 年內部演示文稿，該演示文稿在內部共享，包括與 Brown 共享。該演示文稿指出，SolarWinds 的遠程訪問設置“不太安全”，利用該漏洞可能會導致該公司“重大聲譽和財務損失”。同樣，布朗在 2018 年和 2019 年的演講也表達了對該公司網絡安全狀況的擔憂。

SEC 的投訴還指出，包括 Brown 在內的 SolarWinds 員工在 2019 年和 2020 年的內部溝通，引發了對該公司保護其關鍵資產免受網絡攻擊的能力的質疑。2020 年 6 月，Brown 擔心攻擊者可能會使用 SolarWinds 的軟件進行更大規模的攻擊，并指出“我們的后端沒有那么強的彈性”。此外，2020 年 9 月與 Brown 和其他人分享的一份內部文件指出，“上個月發現的安全問題數量[原文如此]超出了工程團隊的解決能力?！?/p>

美國證券交易委員會聲稱，盡管布朗意識到這些網絡安全風險和漏洞，但未能在公司內部充分解決這些問題。因此，該公司無法合理保證其最有價值的資產（包括其旗艦 Orion 產品）得到充分保護。

SolarWinds 在 2020 年 12 月 14 日提交的 8-K 表格中未完整披露有關 SUNBURST 攻擊的信息，導致該公司股價大幅下跌，在接下來的兩天內下跌了約 25%，到月底下跌了約 35% 。

美國證券交易委員會執法部門主管 Gurbir Grewal 表示：“我們聲稱，多年來，SolarWinds 和 Brown 一直忽視 SolarWinds 網絡風險的危險信號，這些風險在整個公司眾所周知，并導致 Brown 的一名下屬得出結論：“我們距離成為一家注重安全的公司還很遠?！?nbsp;SolarWinds 和 Brown 沒有解決這些漏洞，而是開展了一場活動，為公司的網絡控制環境描繪虛假圖景，從而剝奪了投資者準確的重大信息?！?/p>

美國證券交易委員會在紐約南區提起的訴訟指控 SolarWinds 和 Brown 違反了 1933 年《證券法》和 1934 年《證券交易法》的反欺詐條款。SolarWinds 還被指控違反了交易所的報告和內部控制條款法案，而布朗被指控協助和教唆該公司的違法行為。該訴狀尋求永久禁令救濟、返還判決前利息、民事處罰以及禁止布朗的官員和董事。

SolarWinds 總裁兼首席執行官 Sudhakar Ramakrishna 聲稱，該公司在 SUNBURST 事件發生之前確實保持了適當的網絡安全控制，并表示該公司將“強烈反對 SEC 的這一行動”。

Ramakrishna 認為，美國證券交易委員會“現在對該公司采取了我們認為是誤導性和不當的執法行動”，這是令人震驚的，他表示，這是一系列倒退的觀點和行動，與行業和政府需要取得的進展不符。鼓勵。

Ramakrishna在一篇針對這些指控的博客文章中指出：“美國證券交易委員會的指控現在面臨著整個行業公開信息共享的風險，網絡安全專家認為，這對于我們的集體安全是必要的。” “他們還冒著剝奪全國各地熱心網絡安全專業人員權利的風險，讓這些網絡戰士離開前線。我擔心這些行動將阻礙公私伙伴關系的發展和更廣泛的信息共享，使我們更容易受到安全攻擊?！?/p>

SolarWinds 發言人稱：“我們對 SEC 對俄羅斯對一家美國公司進行網絡攻擊的毫無根據的指控感到失望，并深切擔心這一行動將使我們的國家安全面臨風險。SEC 決定對我們和我們的 CISO 提出索賠，這是該機構越權的另一個例子，應該引起全國所有上市公司和致力于網絡安全專業人士的警惕。我們期待在法庭上澄清事實，并繼續通過我們的“安全設計”承諾來支持我們的客戶?！?/p>