比如,,在工作中無意中挖到一個0Day漏洞時,,是偷偷高價轉(zhuǎn)賣還是上報給公司?當發(fā)現(xiàn)某家客戶疑似被勒索攻擊是,,是第一時間趕往現(xiàn)場應(yīng)急還是束手一旁觀望形勢,?或許在這些選擇面前邁錯一步,,就會墜入深淵。無疑,,本文中的Uber前首席安全官約瑟夫·沙利文就是擺在面前的前車之鑒,。
2016年的時候,美國網(wǎng)約車巨頭優(yōu)步(Uber)發(fā)生了一起重大黑客攻擊事件,,這一安全事件的余波直到今天還沒有完全終結(jié),。
2022年10月,美國聯(lián)邦法院陪審團對Uber前首席安全官約瑟夫·沙利文(Joseph Sullivan)一案作出裁定——沙利文因為曾涉嫌向美國聯(lián)邦貿(mào)易委員會(FTC)掩蓋Uber在2016年發(fā)生的數(shù)據(jù)泄露事件,,被裁定為妨礙司法公正罪和隱瞞罪行罪,,可能面臨最高5年和最高3年的牢獄之災(zāi)。
5700萬條隱私數(shù)據(jù)遭竊取
首席安全官選擇交錢保平安
據(jù)了解,,這一案件起源于Uber收到的一封匿名電子郵件,,兩名黑客在郵件中表示其發(fā)現(xiàn)了Uber的安全漏洞,能夠利用其遺留的數(shù)字密鑰進入公司的亞馬遜數(shù)據(jù)庫,,從而成功入侵Uber數(shù)據(jù)庫并竊取了5700萬條Uber司機和乘客的個人信息,。
得知這一消息后,約瑟夫·沙利文領(lǐng)導的安全團隊試圖掩蓋這一安全事件可能造成的不利影響,,為了以合法的方式確保黑客不聲張此事,,沙利文以發(fā)現(xiàn)安全漏洞賞金的名義向黑客支付了價值10萬美元的比特幣,并與黑客簽訂保密協(xié)議,。保密協(xié)議中注明,,該黑客并未獲取或存儲任何Uber用戶資料。
但該案最終還是遭到曝光,,警方抓獲了兩名實施勒索的黑客后,,同時也對沙利文提起了公訴,負責該案的檢察官稱,,Sullivan滿足了黑客的勒索要求,,與犯罪分子達成了保密協(xié)議,對其違法行為保持沉默,。與此同時,,沙利文將對安全勒索的付款行為偽裝成漏洞賞金,并為此做出虛假陳述,,給警方偵辦案件造成了不利影響,。
美國司法部表示,沙利文本可以選擇在24小時向執(zhí)法機構(gòu)報告,,但沙利文選擇了隱瞞此次被攻擊事件,。因沙利文故意隱瞞使得執(zhí)法人員沒有注意到之前的數(shù)據(jù)泄露事件,黑客又再次成功入侵了其他公司的用戶數(shù)據(jù)庫,。
該案的檢察官認為,,公司有義務(wù)保護其所收集的數(shù)據(jù),,并在這些數(shù)據(jù)被黑客竊取時提醒客戶和警方。但有些企業(yè)高管更關(guān)心自己和企業(yè)的聲譽,,而非保護用戶安全,,從而選擇對公眾隱瞞重要信息,為了自身利益將用戶個人信息置于危險中,,這樣的行為理應(yīng)受到懲處,。
事實上,由于大部分網(wǎng)絡(luò)安全團隊在應(yīng)對黑客事件的問題上的模糊態(tài)度,,類似于Sullivan支付安全贖金的事件屢見不鮮。Bugcrowd創(chuàng)始人Casey Ellis明確表明,,絕不止Uber一家公司利用漏洞賞金計劃掩蓋了根據(jù)法律法規(guī),,本應(yīng)披露的安全問題。安全公司Critical Insight創(chuàng)始人Michael Hamilton也表達同樣的觀點:“支付漏洞勒索贖金,,實際上比大眾所認知的更為普遍,。”
優(yōu)步案件殷鑒不遠
在勒索攻擊面前應(yīng)如何應(yīng)對,?
據(jù)Check Point 的一份報告顯示,,2021年支付的勒索贖金已超過6.02億美元,其中僅支付給Conti一家就高達1.8億美元,,但報告認為實際數(shù)據(jù)可能比已記錄數(shù)據(jù)還要高,。
該報告提出了一個觀點:即使組織支付了贖金,或許也無法避免進一步的經(jīng)濟損失,,一方面,,在使用來自攻擊者解密密鑰恢復(fù)被加密數(shù)據(jù)和業(yè)務(wù)系統(tǒng)時也需要花費大量的時間;另一方面,,支付贖金并無法保證攻擊者已經(jīng)全部刪除竊取的數(shù)據(jù),,泄露數(shù)據(jù)仍然存在被公開,甚至被反復(fù)勒索的風險,。
在安全419此前就“在勒索攻擊面前,,除了支付贖金還能怎么做?”的話題與業(yè)界專家進行交流時,,安全專家們分享了來自各家的解決方案,,但縱觀當前各家提出的勒索攻擊防御方案中,數(shù)據(jù)備份+網(wǎng)絡(luò)安全保險似乎正在成為主流思路,。(延伸閱讀:安全419盤點 | 2022年第三季度勒索軟件攻擊形勢與應(yīng)對建議)
為了更好的幫助大家應(yīng)對勒索攻擊,,我們匯總了以下建議與大家分享(注。以下建議來源于安全419《勒索攻擊解決方案》系列訪談中我們與多家知名網(wǎng)絡(luò)安全企業(yè)(綠盟科技,、天融信,、安恒信息,、奇安信、深信服,、CloudWonder 嘉云,、威努特)交流總結(jié)所得)。
1
企業(yè)不斷的成長和新技術(shù)的廣泛應(yīng)用,,進一步加劇了安全風險和暴露面,,鑒于安全重要性正在日益提升,設(shè)立專職崗位(如CSO)負責統(tǒng)籌全面的IT安全風險管理,,是應(yīng)對以勒索攻擊為首的網(wǎng)絡(luò)安全建設(shè)的重要前提,;
2
真實勒索案例中,絕大多數(shù)勒索攻擊源于員工的意識疏忽所造成,。企業(yè)一方面需系統(tǒng)的開展安全意識培訓工作,,同時應(yīng)針對具體的安全事件進行日常演練,以在攻擊發(fā)生時最大化降低企業(yè)生產(chǎn)運營損失,;
3
同時安全意識應(yīng)延伸至企業(yè)外部,,這對大型生產(chǎn)制造業(yè)尤為重要,比如企業(yè)將IT運維承包給第三方機構(gòu),,還有涉及龐大供應(yīng)鏈當中的任何一環(huán),。可以以安全合約為抓手,,建立安全責任制,,強化外部的安全風險管理;
4
安全基線必不可少,,利用專業(yè)安全廠商提供的防御,、檢測類產(chǎn)品為勒索病毒設(shè)置重重障礙,可降低80%以上被勒索攻擊的可能性,。其中終端安全更是重中之重,,大量案例證明,特別是國內(nèi),,終端缺乏安全防護是造成勒索加密的主要原因,;安全基線產(chǎn)品或服務(wù)以威脅情報建立防御機制,也是應(yīng)對勒索組織不斷變化趨勢的有力抓手,;
5
勒索攻擊最終指向的是系統(tǒng),、應(yīng)用和數(shù)據(jù),對于處于數(shù)字經(jīng)濟時代的我們,,如何讓數(shù)據(jù)在各業(yè)務(wù)線上安全流通已成當務(wù)之急,。《數(shù)據(jù)安全法》催生了數(shù)據(jù)安全產(chǎn)業(yè)的迅猛發(fā)展,以數(shù)據(jù)保護為抓手,,應(yīng)對勒索攻擊已是可行方案,;
6
產(chǎn)品服務(wù)化趨勢,企業(yè)限于沒有專業(yè)的運維人員來管理網(wǎng)絡(luò)安全,,會存在即使部署了安全產(chǎn)品也沒有得到有效利用,,這是廣泛存在的現(xiàn)狀問題,大中型企業(yè)尚能自行解決問題,,小型企業(yè)問題更為明顯?,F(xiàn)在安全企業(yè)也注意到了這一問題,安全托管服務(wù)可以幫助企業(yè)解決這一難題,;
7
企業(yè)應(yīng)該認識到針對性地勒索攻擊致使數(shù)據(jù)加密,,當前技術(shù)上是無法恢復(fù)的,應(yīng)該立即著手數(shù)據(jù)備份工作,,且強化數(shù)據(jù)備份的隔離加密,,始終讓備份數(shù)據(jù)保持高可用性。對于生產(chǎn)經(jīng)營性質(zhì)企業(yè),,為了追求業(yè)務(wù)的持續(xù)運營,,容災(zāi)備份解決方案已成為他們的最佳選擇,,該方案在保證數(shù)據(jù)高可用前提下,,可支持系統(tǒng)在異地迅速再生;
8
企業(yè)承擔勒索攻擊所致?lián)p失的程度并不相同,,為了避免遭受滅頂之災(zāi),,可以考慮從網(wǎng)絡(luò)安全保險一側(cè)切入防范。網(wǎng)絡(luò)安全保險在國外相對成熟,,在國內(nèi)發(fā)展尚處起步階段,,但未來應(yīng)用的趨勢明顯。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
