近日，著名音頻設(shè)備公司Bose在致新罕布什爾州司法部長(zhǎng)John Formella的信中透露，該公司在今年3月7日遭到了勒索軟件攻擊。作為一家全球知名、擁有龐大用戶(hù)群的科技公司，Bose過(guò)去三個(gè)月隱瞞勒索軟件攻擊的做法引發(fā)了業(yè)界的廣泛爭(zhēng)議，同時(shí)也可能對(duì)品牌產(chǎn)生不可逆的嚴(yán)重?fù)p害。

Bose的通報(bào)信并未透露Bose遭受哪種勒索軟件攻擊，也沒(méi)有指明攻擊背后的組織，僅指出該公司經(jīng)歷了復(fù)雜的網(wǎng)絡(luò)事件，攻擊者在Bose的環(huán)境中部署了惡意軟件/勒索軟件。

[[401918]]

1. 內(nèi)部數(shù)據(jù)泄漏

今年4月29日，Bose和取證分析人員確定，勒索軟件攻擊者設(shè)法訪(fǎng)問(wèn)了Bose人力資源內(nèi)部管理文件;部分員工的社會(huì)安全號(hào)碼、地址和薪酬信息，其中包括六名住在新罕布什爾州的員工。

Bose表示，無(wú)法確認(rèn)此次攻擊背后的人員是否將文件或信息從系統(tǒng)中竊走，Bose也未透露是否支付了贖金。

Bose在信中透露，正在與一家私營(yíng)安全公司和FBI合作，在暗網(wǎng)中搜索任何泄漏的信息，但未發(fā)現(xiàn)任何表明其數(shù)據(jù)已泄漏的跡象。

據(jù)悉，發(fā)現(xiàn)遭遇攻擊后，Bose已經(jīng)采取以下緩解措施：

• 在端點(diǎn)和服務(wù)器上部署了“增強(qiáng)型惡意軟件/勒索軟件保護(hù)”
• 阻止了攻擊期間惡意文件的橫向移動(dòng)
• 部署了監(jiān)視工具以監(jiān)視后續(xù)攻擊，識(shí)別攻擊意圖
• 更新防火墻配置、封鎖惡意網(wǎng)站和攻擊者相關(guān)IP
• 更改所有賬戶(hù)密鑰
• 更改終端用戶(hù)和特權(quán)用戶(hù)賬戶(hù)密碼

5月19日，Bose還向所有受勒索軟件事件影響的人員發(fā)信，告知他們保持警惕并監(jiān)控自己的賬戶(hù)，六名居住在新罕布什爾州的Bose員工還獲得了為期12個(gè)月的IdentityForce免費(fèi)身份保護(hù)服務(wù)。

網(wǎng)絡(luò)安全專(zhuān)家指出，強(qiáng)制要求遭遇勒索軟件攻擊的企業(yè)通報(bào)攻擊信息非常重要，這可以幫助其他相關(guān)企業(yè)及時(shí)保護(hù)自己免受類(lèi)似攻擊。

2. Bose“瞞報(bào)”，后果可能很?chē)?yán)重

Gurucul的首席執(zhí)行官Saryu Nayyar贊揚(yáng)Bose公開(kāi)披露了這次攻擊，但指出該公司在信中描述的事件時(shí)間表很有問(wèn)題。

“重要的是及時(shí)分享攻擊者的動(dòng)態(tài)，以吸引必要主管部門(mén)和網(wǎng)絡(luò)防御專(zhuān)家的關(guān)注，減輕攻擊的連鎖反應(yīng)。雖然Bose的公告內(nèi)容相當(dāng)詳盡，但是披露的時(shí)間表很令人擔(dān)憂(yōu)。Bose在攻擊發(fā)生一個(gè)半月之后才搞清楚哪些數(shù)據(jù)被非法訪(fǎng)問(wèn)，又過(guò)了三周后才開(kāi)始通知受影響的個(gè)人，如此漫長(zhǎng)的事件響應(yīng)周期，攻擊者幾乎可以對(duì)泄漏數(shù)據(jù)為所欲為。”

其他專(zhuān)家還指出，Bose的響應(yīng)時(shí)間過(guò)長(zhǎng)，這可能危及受此漏洞影響的其他個(gè)人和企業(yè)。

Pathlock總裁凱文·鄧恩(Kevin Dunne)表示，Bose應(yīng)當(dāng)更快地做出反應(yīng)，對(duì)這次襲擊承擔(dān)更多責(zé)任，同時(shí)還應(yīng)為如何防止未來(lái)攻擊制定明確的計(jì)劃。

Dunne說(shuō)：

“員工數(shù)據(jù)是敏感數(shù)據(jù)，就像與客戶(hù)、財(cái)務(wù)或IP相關(guān)的數(shù)據(jù)一樣。企業(yè)應(yīng)投資于HRM系統(tǒng)，并確保其具有良好的訪(fǎng)問(wèn)控制和數(shù)據(jù)丟失防護(hù)措施，降低員工數(shù)據(jù)被泄漏的風(fēng)險(xiǎn)。”

他補(bǔ)充說(shuō)，對(duì)于網(wǎng)絡(luò)安全攻擊的利益相關(guān)者來(lái)說(shuō)，人們的態(tài)度存在很大分歧。

他解釋說(shuō)，有些公司在報(bào)告遭遇的網(wǎng)絡(luò)攻擊時(shí)過(guò)于謹(jǐn)慎，因?yàn)樗麄兿氡苊馕M(jìn)一步的攻擊，或者是向勒索軟件組織妥協(xié)。

但是無(wú)論如何，隱私數(shù)據(jù)遭泄漏的員工應(yīng)當(dāng)盡快得到通知，以便他們可以監(jiān)控受感染帳戶(hù)中的任何異常活動(dòng)。

Dunne指出：“股東經(jīng)常處于兩難境地，因?yàn)閷⒃馐芫W(wǎng)絡(luò)攻擊的信息公開(kāi)通常會(huì)對(duì)股價(jià)產(chǎn)生較大沖擊，但另一方面，如果盡早告知公眾違規(guī)行為，企業(yè)可以更好地管理預(yù)期。”

nVisium的首席執(zhí)行官Jack Mannino說(shuō)，不同的行政區(qū)和行業(yè)對(duì)報(bào)告事件有不同的要求。但他敦促所有受攻擊的公司主動(dòng)通知受害者，以免在事后調(diào)查中被動(dòng)。

Shared Assessments的CISO湯姆·加魯巴(Tom Garrubba)等專(zhuān)家表示，一些公司對(duì)安全事件信息披露的必要性依然存在誤解，認(rèn)為只有在公開(kāi)交易(上市公司)或在受監(jiān)管的環(huán)境中運(yùn)營(yíng)時(shí)，他們才必須披露違規(guī)信息。

“無(wú)論企業(yè)屬于何種行業(yè)、是否上市，掩蓋或拖延事件披露的做法長(zhǎng)期來(lái)看，會(huì)阻礙改善網(wǎng)絡(luò)衛(wèi)生狀況、抵御未來(lái)攻擊的能力。很多公司抱著僥幸心理，認(rèn)為自己不會(huì)被閃電兩次擊中。”Garrubba繼續(xù)說(shuō)道：“這導(dǎo)致了一種錯(cuò)誤的安全感，即通過(guò)瞞報(bào)來(lái)大事化小。但不幸的是，如果你再次遭遇網(wǎng)絡(luò)攻擊，此前的隱瞞和拖延將被曝光，對(duì)品牌和聲譽(yù)將產(chǎn)生更為嚴(yán)重的損害。在今天這個(gè)數(shù)字化時(shí)代，企業(yè)成功的關(guān)鍵是透明度和信任，信任才是全球通行的‘貨幣’。”

參考資料：https://www.documentcloud.org/documents/20788053-bose-20210519

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文