SolarWinds和CISO面临诈骗指控

关键要点

SolarWinds及其首席信息安全官Tim Brown因2020年Orion Sunburst供应链攻击事件受到美国证券交易委员会SEC的诈骗指控。SEC于10月30日提交68页的诉状，指控其夸大了公司的网络安全措施，同时低估了已知的风险。SolarWinds和Tim Brown否认指控，并计划在美国纽约南区地方法院抗辩。攻击者于2019年10月利用SolarWinds的自动构建环境获取Orion软件的访问权限，并在2020年3至6月推出了名为Sunburst的恶意更新。

SolarWinds及其首席信息安全官Tim Brown因2020年Orion Sunburst供应链攻击事件，被美国证券交易委员会SEC指控诈骗。SEC于10月30日提交了一份68页的申诉，指控SolarWinds及Brown夸大公司的网络安全措施，同时低估或未披露已知的风险，引发了投资者的不满。两者均表示将会抗辩这些指控。

旋风加速器ios

SEC在去年发出“Wells通告”，预示即将对SolarWinds和Brown采取行动，这些指控早在之前就有迹象可循。

攻击者自2019年10月起，通过SolarWinds的自动构建环境访问其核心Orion软件，并开始测试恶意代码注入的能力，最终于2020年发布了针对约1800名客户的恶意更新。SEC指控当时担任公司资讯安全副总裁的Brown知晓SolarWinds存在多种网络安全风险，但并没有采取行动来解决。

“我们声称，多年来，SolarWinds和Brown对公司网络风险的多次警示视而不见，最终导致Brown的一位下属得出结论：‘我们距离成为安全意识强的公司还很遥远，’”SEC执法部门主任Gurbir S Grewal表示。

Grewal进一步指出：“SolarWinds和Brown并未处理这些漏洞，而是展开了一场虚假展现公司网络控制环境的运动，从而剥夺了投资者获得准确资讯的权利。”

根据SEC的申诉，SolarWinds及Brown的行为“即便在遭受重大针对性网络攻击之前，也违反了联邦证券法。但这些违规行为在SolarWinds遭受攻击后变得尤为明显。”

SolarWinds和Brown誓言抵抗指控

在SolarWinds的官方网站上的公告中，SolarWinds总裁兼首席执行官Sudhakar Ramakrishna表示，SEC的指控令人震惊且不当。

“事实上，SolarWinds在SUNBURST事件发生之前始终维持了适当的网络安全措施，并自此以来不断根据行业标准和提高的网络安全威胁改进企业软件安全，”Ramakrishna表示。“因此，我们将全力反对SEC的此项行动。”

SolarWinds的一位发言人强调，SEC针对该公司的“无根据指控”是不公正的，是SEC为了制造对他们及其CISO的指控而做出的决定。

Brown的律师在一份声明中表示，Brown在担任副总裁及CISO期间已“以勤奋、诚信和卓越的表现履行职责”。“Brown先生在任期内不懈努力，负责任地提升公司的网络安全能力，我们期待捍卫他的声誉并纠正SEC申诉中的不准确之处。”

去年10月，SolarWinds以2600万美元和解了一起集体诉