近日,,著名音頻設(shè)備公司Bose在致新罕布什爾州司法部長John Formella的信中透露,該公司在今年3月7日遭到了勒索軟件攻擊,。作為一家全球知名,、擁有龐大用戶群的科技公司,Bose過去三個月隱瞞勒索軟件攻擊的做法引發(fā)了業(yè)界的廣泛爭議,,同時也可能對品牌產(chǎn)生不可逆的嚴重損害,。
Bose的通報信并未透露Bose遭受哪種勒索軟件攻擊,也沒有指明攻擊背后的組織,,僅指出該公司經(jīng)歷了復(fù)雜的網(wǎng)絡(luò)事件,,攻擊者在Bose的環(huán)境中部署了惡意軟件/勒索軟件。
根據(jù)安全牛此前的報道,,這并非Bose公司首次爆出網(wǎng)絡(luò)安全事件,。2017年,Bose曾因私自采集和銷售用戶隱私數(shù)據(jù)遭到起訴(竊聽門),;同年趨勢科技的的聯(lián)網(wǎng)音箱安全分析報告顯示,,Bose的網(wǎng)絡(luò)音箱產(chǎn)品存在嚴重安全漏洞,黑客可以完全接管音箱,、監(jiān)聽用戶甚至發(fā)動基于“聲音攻擊”的釣魚和社工攻擊,。
01 內(nèi)部數(shù)據(jù)泄漏
今年4月29日,Bose和取證分析人員確定,,勒索軟件攻擊者設(shè)法訪問了Bose人力資源內(nèi)部管理文件,;部分員工的社會安全號碼、地址和薪酬信息,,其中包括六名住在新罕布什爾州的員工,。
Bose表示,無法確認此次攻擊背后的人員是否將文件或信息從系統(tǒng)中竊走,,Bose也未透露是否支付了贖金,。
Bose在信中透露,正在與一家私營安全公司和FBI合作,,在暗網(wǎng)中搜索任何泄漏的信息,但未發(fā)現(xiàn)任何表明其數(shù)據(jù)已泄漏的跡象,。
據(jù)悉,,發(fā)現(xiàn)遭遇攻擊后,Bose已經(jīng)采取以下緩解措施:
在端點和服務(wù)器上部署了“增強型惡意軟件/勒索軟件保護”
阻止了攻擊期間惡意文件的橫向移動
部署了監(jiān)視工具以監(jiān)視后續(xù)攻擊,,識別攻擊意圖
更新防火墻配置,、封鎖惡意網(wǎng)站和攻擊者相關(guān)IP
更改所有賬戶密鑰
更改終端用戶和特權(quán)用戶賬戶密碼
5月19日,Bose還向所有受勒索軟件事件影響的人員發(fā)信,,告知他們保持警惕并監(jiān)控自己的賬戶,,六名居住在新罕布什爾州的Bose員工還獲得了為期12個月的IdentityForce免費身份保護服務(wù)。
網(wǎng)絡(luò)安全專家指出,強制要求遭遇勒索軟件攻擊的企業(yè)通報攻擊信息非常重要,,這可以幫助其他相關(guān)企業(yè)及時保護自己免受類似攻擊,。
02 Bose“瞞報”,后果可能很嚴重
Gurucul的首席執(zhí)行官Saryu Nayyar贊揚Bose公開披露了這次攻擊,,但指出該公司在信中描述的事件時間表很有問題,。
“重要的是及時分享攻擊者的動態(tài),以吸引必要主管部門和網(wǎng)絡(luò)防御專家的關(guān)注,,減輕攻擊的連鎖反應(yīng),。雖然Bose的公告內(nèi)容相當詳盡,但是披露的時間表很令人擔憂,。Bose在攻擊發(fā)生一個半月之后才搞清楚哪些數(shù)據(jù)被非法訪問,,又過了三周后才開始通知受影響的個人,如此漫長的事件響應(yīng)周期,,攻擊者幾乎可以對泄漏數(shù)據(jù)為所欲為,。”
其他專家還指出,,Bose的響應(yīng)時間過長,,這可能危及受此漏洞影響的其他個人和企業(yè)。
Pathlock總裁凱文·鄧恩(Kevin Dunne)表示,,Bose應(yīng)當更快地做出反應(yīng),,對這次襲擊承擔更多責任,同時還應(yīng)為如何防止未來攻擊制定明確的計劃,。
Dunne說:
“從Bose遭受的攻擊中,,所有企業(yè)都應(yīng)當吸取教訓(xùn)——應(yīng)該將關(guān)鍵業(yè)務(wù)數(shù)據(jù)保存在可以對其進行管理和監(jiān)視的應(yīng)用程序中,而不是電子表格或其他非托管數(shù)據(jù)庫中,?!?/p>
“員工數(shù)據(jù)是敏感數(shù)據(jù),就像與客戶,、財務(wù)或IP相關(guān)的數(shù)據(jù)一樣,。企業(yè)應(yīng)投資于HRM系統(tǒng),并確保其具有良好的訪問控制和數(shù)據(jù)丟失防護措施,,降低員工數(shù)據(jù)被泄漏的風險,。”
他補充說,,對于網(wǎng)絡(luò)安全攻擊的利益相關(guān)者來說,,人們的態(tài)度存在很大分歧。
他解釋說,,有些公司在報告遭遇的網(wǎng)絡(luò)攻擊時過于謹慎,,因為他們想避免吸引進一步的攻擊,,或者是向勒索軟件組織妥協(xié)。
但是無論如何,,隱私數(shù)據(jù)遭泄漏的員工應(yīng)當盡快得到通知,,以便他們可以監(jiān)控受感染帳戶中的任何異常活動,。
Dunne指出:“股東經(jīng)常處于兩難境地,,因為將遭受網(wǎng)絡(luò)攻擊的信息公開通常會對股價產(chǎn)生較大沖擊,但另一方面,,如果盡早告知公眾違規(guī)行為,,企業(yè)可以更好地管理預(yù)期?!?/p>
nVisium的首席執(zhí)行官Jack Mannino說,,不同的行政區(qū)和行業(yè)對報告事件有不同的要求。但他敦促所有受攻擊的公司主動通知受害者,,以免在事后調(diào)查中被動,。
Shared Assessments的CISO湯姆·加魯巴(Tom Garrubba)等專家表示,一些公司對安全事件信息披露的必要性依然存在誤解,,認為只有在公開交易(上市公司)或在受監(jiān)管的環(huán)境中運營時,,他們才必須披露違規(guī)信息。
“無論企業(yè)屬于何種行業(yè),、是否上市,,掩蓋或拖延事件披露的做法長期來看,會阻礙改善網(wǎng)絡(luò)衛(wèi)生狀況,、抵御未來攻擊的能力,。很多公司抱著僥幸心理,認為自己不會被閃電兩次擊中,?!盙arrubba繼續(xù)說道:“這導(dǎo)致了一種錯誤的安全感,即通過瞞報來大事化小,。但不幸的是,,如果你再次遭遇網(wǎng)絡(luò)攻擊,此前的隱瞞和拖延將被曝光,,對品牌和聲譽將產(chǎn)生更為嚴重的損害,。在今天這個數(shù)字化時代,企業(yè)成功的關(guān)鍵是透明度和信任,,信任才是全球通行的‘貨幣’?!?/p>