近日,著名音频设备公司Bose在致新罕布什尔州司法部长John Formella的信中透露,该公司在今年3月7日遭到了勒索软件攻击。作为一家全球知名、拥有庞大用户群的科技公司,Bose过去三个月隐瞒勒索软件攻击的做法引发了业界的广泛争议,同时也可能对品牌产生不可逆的严重损害。
Bose的通报信并未透露Bose遭受哪种勒索软件攻击,也没有指明攻击背后的组织,仅指出该公司经历了复杂的网络事件,攻击者在Bose的环境中部署了恶意软件/勒索软件。
1. 内部数据泄漏
今年4月29日,Bose和取证分析人员确定,勒索软件攻击者设法访问了Bose人力资源内部管理文件;部分员工的社会安全号码、地址和薪酬信息,其中包括六名住在新罕布什尔州的员工。
Bose表示,无法确认此次攻击背后的人员是否将文件或信息从系统中窃走,Bose也未透露是否支付了赎金。
Bose在信中透露,正在与一家私营安全公司和FBI合作,在暗网中搜索任何泄漏的信息,但未发现任何表明其数据已泄漏的迹象。
据悉,发现遭遇攻击后,Bose已经采取以下缓解措施:
- 在端点和服务器上部署了“增强型恶意软件/勒索软件保护”
- 阻止了攻击期间恶意文件的横向移动
- 部署了监视工具以监视后续攻击,识别攻击意图
- 更新防火墙配置、封锁恶意网站和攻击者相关IP
- 更改所有账户密钥
- 更改终端用户和特权用户账户密码
5月19日,Bose还向所有受勒索软件事件影响的人员发信,告知他们保持警惕并监控自己的账户,六名居住在新罕布什尔州的Bose员工还获得了为期12个月的IdentityForce免费身份保护服务。
网络安全专家指出,强制要求遭遇勒索软件攻击的企业通报攻击信息非常重要,这可以帮助其他相关企业及时保护自己免受类似攻击。
2. Bose“瞒报”,后果可能很严重
Gurucul的首席执行官Saryu Nayyar赞扬Bose公开披露了这次攻击,但指出该公司在信中描述的事件时间表很有问题。
“重要的是及时分享攻击者的动态,以吸引必要主管部门和网络防御专家的关注,减轻攻击的连锁反应。虽然Bose的公告内容相当详尽,但是披露的时间表很令人担忧。Bose在攻击发生一个半月之后才搞清楚哪些数据被非法访问,又过了三周后才开始通知受影响的个人,如此漫长的事件响应周期,攻击者几乎可以对泄漏数据为所欲为。”
其他专家还指出,Bose的响应时间过长,这可能危及受此漏洞影响的其他个人和企业。
Pathlock总裁凯文·邓恩(Kevin Dunne)表示,Bose应当更快地做出反应,对这次袭击承担更多责任,同时还应为如何防止未来攻击制定明确的计划。
Dunne说:
“从Bose遭受的攻击中,所有企业都应当吸取教训——应该将关键业务数据保存在可以对其进行管理和监视的应用程序中,而不是电子表格或其他非托管数据库中。” |
“员工数据是敏感数据,就像与客户、财务或IP相关的数据一样。企业应投资于HRM系统,并确保其具有良好的访问控制和数据丢失防护措施,降低员工数据被泄漏的风险。”
他补充说,对于网络安全攻击的利益相关者来说,人们的态度存在很大分歧。
他解释说,有些公司在报告遭遇的网络攻击时过于谨慎,因为他们想避免吸引进一步的攻击,或者是向勒索软件组织妥协。
但是无论如何,隐私数据遭泄漏的员工应当尽快得到通知,以便他们可以监控受感染帐户中的任何异常活动。
Dunne指出:“股东经常处于两难境地,因为将遭受网络攻击的信息公开通常会对股价产生较大冲击,但另一方面,如果尽早告知公众违规行为,企业可以更好地管理预期。”
nVisium的首席执行官Jack Mannino说,不同的行政区和行业对报告事件有不同的要求。但他敦促所有受攻击的公司主动通知受害者,以免在事后调查中被动。
Shared Assessments的CISO汤姆·加鲁巴(Tom Garrubba)等专家表示,一些公司对安全事件信息披露的必要性依然存在误解,认为只有在公开交易(上市公司)或在受监管的环境中运营时,他们才必须披露违规信息。
“无论企业属于何种行业、是否上市,掩盖或拖延事件披露的做法长期来看,会阻碍改善网络卫生状况、抵御未来攻击的能力。很多公司抱着侥幸心理,认为自己不会被闪电两次击中。”Garrubba继续说道:“这导致了一种错误的安全感,即通过瞒报来大事化小。但不幸的是,如果你再次遭遇网络攻击,此前的隐瞒和拖延将被曝光,对品牌和声誉将产生更为严重的损害。在今天这个数字化时代,企业成功的关键是透明度和信任,信任才是全球通行的‘货币’。”
参考资料:https://www.documentcloud.org/documents/20788053-bose-20210519
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】