比如,在工作中無意中挖到一個0Day漏洞時,是偷偷高價轉賣還是上報給公司?當發現某家客戶疑似被勒索攻擊是,是第一時間趕往現場應急還是束手一旁觀望形勢?或許在這些選擇面前邁錯一步,就會墜入深淵。無疑,本文中的Uber前首席安全官約瑟夫·沙利文就是擺在面前的前車之鑒。
2016年的時候,美國網約車巨頭優步(Uber)發生了一起重大黑客攻擊事件,這一安全事件的余波直到今天還沒有完全終結。
2022年10月,美國聯邦法院陪審團對Uber前首席安全官約瑟夫·沙利文(Joseph Sullivan)一案作出裁定——沙利文因為曾涉嫌向美國聯邦貿易委員會(FTC)掩蓋Uber在2016年發生的數據泄露事件,被裁定為妨礙司法公正罪和隱瞞罪行罪,可能面臨最高5年和最高3年的牢獄之災。
5700萬條隱私數據遭竊取
首席安全官選擇交錢保平安
據了解,這一案件起源于Uber收到的一封匿名電子郵件,兩名黑客在郵件中表示其發現了Uber的安全漏洞,能夠利用其遺留的數字密鑰進入公司的亞馬遜數據庫,從而成功入侵Uber數據庫并竊取了5700萬條Uber司機和乘客的個人信息。
得知這一消息后,約瑟夫·沙利文領導的安全團隊試圖掩蓋這一安全事件可能造成的不利影響,為了以合法的方式確保黑客不聲張此事,沙利文以發現安全漏洞賞金的名義向黑客支付了價值10萬美元的比特幣,并與黑客簽訂保密協議。保密協議中注明,該黑客并未獲取或存儲任何Uber用戶資料。
但該案最終還是遭到曝光,警方抓獲了兩名實施勒索的黑客后,同時也對沙利文提起了公訴,負責該案的檢察官稱,Sullivan滿足了黑客的勒索要求,與犯罪分子達成了保密協議,對其違法行為保持沉默。與此同時,沙利文將對安全勒索的付款行為偽裝成漏洞賞金,并為此做出虛假陳述,給警方偵辦案件造成了不利影響。
美國司法部表示,沙利文本可以選擇在24小時向執法機構報告,但沙利文選擇了隱瞞此次被攻擊事件。因沙利文故意隱瞞使得執法人員沒有注意到之前的數據泄露事件,黑客又再次成功入侵了其他公司的用戶數據庫。
該案的檢察官認為,公司有義務保護其所收集的數據,并在這些數據被黑客竊取時提醒客戶和警方。但有些企業高管更關心自己和企業的聲譽,而非保護用戶安全,從而選擇對公眾隱瞞重要信息,為了自身利益將用戶個人信息置于危險中,這樣的行為理應受到懲處。
事實上,由于大部分網絡安全團隊在應對黑客事件的問題上的模糊態度,類似于Sullivan支付安全贖金的事件屢見不鮮。Bugcrowd創始人Casey Ellis明確表明,絕不止Uber一家公司利用漏洞賞金計劃掩蓋了根據法律法規,本應披露的安全問題。安全公司Critical Insight創始人Michael Hamilton也表達同樣的觀點:“支付漏洞勒索贖金,實際上比大眾所認知的更為普遍。”
優步案件殷鑒不遠
在勒索攻擊面前應如何應對?
據Check Point 的一份報告顯示,2021年支付的勒索贖金已超過6.02億美元,其中僅支付給Conti一家就高達1.8億美元,但報告認為實際數據可能比已記錄數據還要高。
該報告提出了一個觀點:即使組織支付了贖金,或許也無法避免進一步的經濟損失,一方面,在使用來自攻擊者解密密鑰恢復被加密數據和業務系統時也需要花費大量的時間;另一方面,支付贖金并無法保證攻擊者已經全部刪除竊取的數據,泄露數據仍然存在被公開,甚至被反復勒索的風險。
在安全419此前就“在勒索攻擊面前,除了支付贖金還能怎么做?”的話題與業界專家進行交流時,安全專家們分享了來自各家的解決方案,但縱觀當前各家提出的勒索攻擊防御方案中,數據備份+網絡安全保險似乎正在成為主流思路。(延伸閱讀:安全419盤點 | 2022年第三季度勒索軟件攻擊形勢與應對建議)
為了更好的幫助大家應對勒索攻擊,我們匯總了以下建議與大家分享(注。以下建議來源于安全419《勒索攻擊解決方案》系列訪談中我們與多家知名網絡安全企業(綠盟科技、天融信、安恒信息、奇安信、深信服、CloudWonder 嘉云、威努特)交流總結所得)。
1
企業不斷的成長和新技術的廣泛應用,進一步加劇了安全風險和暴露面,鑒于安全重要性正在日益提升,設立專職崗位(如CSO)負責統籌全面的IT安全風險管理,是應對以勒索攻擊為首的網絡安全建設的重要前提;
2
真實勒索案例中,絕大多數勒索攻擊源于員工的意識疏忽所造成。企業一方面需系統的開展安全意識培訓工作,同時應針對具體的安全事件進行日常演練,以在攻擊發生時最大化降低企業生產運營損失;
3
同時安全意識應延伸至企業外部,這對大型生產制造業尤為重要,比如企業將IT運維承包給第三方機構,還有涉及龐大供應鏈當中的任何一環。可以以安全合約為抓手,建立安全責任制,強化外部的安全風險管理;
4
安全基線必不可少,利用專業安全廠商提供的防御、檢測類產品為勒索病毒設置重重障礙,可降低80%以上被勒索攻擊的可能性。其中終端安全更是重中之重,大量案例證明,特別是國內,終端缺乏安全防護是造成勒索加密的主要原因;安全基線產品或服務以威脅情報建立防御機制,也是應對勒索組織不斷變化趨勢的有力抓手;
5
勒索攻擊最終指向的是系統、應用和數據,對于處于數字經濟時代的我們,如何讓數據在各業務線上安全流通已成當務之急。《數據安全法》催生了數據安全產業的迅猛發展,以數據保護為抓手,應對勒索攻擊已是可行方案;
6
產品服務化趨勢,企業限于沒有專業的運維人員來管理網絡安全,會存在即使部署了安全產品也沒有得到有效利用,這是廣泛存在的現狀問題,大中型企業尚能自行解決問題,小型企業問題更為明顯。現在安全企業也注意到了這一問題,安全托管服務可以幫助企業解決這一難題;
7
企業應該認識到針對性地勒索攻擊致使數據加密,當前技術上是無法恢復的,應該立即著手數據備份工作,且強化數據備份的隔離加密,始終讓備份數據保持高可用性。對于生產經營性質企業,為了追求業務的持續運營,容災備份解決方案已成為他們的最佳選擇,該方案在保證數據高可用前提下,可支持系統在異地迅速再生;
8
企業承擔勒索攻擊所致損失的程度并不相同,為了避免遭受滅頂之災,可以考慮從網絡安全保險一側切入防范。網絡安全保險在國外相對成熟,在國內發展尚處起步階段,但未來應用的趨勢明顯。
更多信息可以來這里獲取==>>電子技術應用-AET<<
