在Uber前首席安全官約瑟夫·沙利文（Joseph Sullivan）被判八年后，CSO們會人人自危嗎？

2022年10月，美國聯(lián)邦法院陪審團(tuán)對Uber前首席安全官約瑟夫·沙利文一案作出裁定——沙利文曾試圖向美國聯(lián)邦貿(mào)易委員會（FTC）隱瞞Uber在2016年的數(shù)據(jù)泄露事件。據(jù)悉，沙利文被裁定為妨礙司法公正罪和隱瞞罪行罪，可能面臨最高5年和最高3年的監(jiān)禁。

雖然不少人對于沙利文可能會遭受牢獄之災(zāi)早有預(yù)感，但當(dāng)判決正式落地時，依舊引起了諸多業(yè)界人士的關(guān)注和討論。從公開的信息來看，這是美國首例因“支付網(wǎng)絡(luò)安全贖金”導(dǎo)致企業(yè)CSO被公開起訴、宣判的案件。但可以肯定的是，Uber絕不是第一家以“漏洞賞金計(jì)劃”來掩蓋數(shù)據(jù)泄露問題的企業(yè)。

對于CSO來說，一邊是掩蓋企業(yè)數(shù)據(jù)泄露丑聞，一邊是被發(fā)現(xiàn)后被判入獄，究竟該如何選擇，未來是否將會戰(zhàn)戰(zhàn)兢兢，如履薄冰？許多法律和安全專家表示，“大可不必”。

企業(yè)遭遇勒索事件不算少數(shù)，而首席安全官被追責(zé)、判刑的情況比較罕見，普遍的情況是首席安全官引咎辭職。密碼學(xué)家喬恩·卡拉斯（Jon Callas）曾經(jīng)調(diào)侃，CISO的全稱是首席入侵替罪羊官（Chief Intrusion Scapegoat Officer），“CSO經(jīng)常處于一個無法成功的位置，他們負(fù)責(zé)一切安全事務(wù)，卻又無能為力，因?yàn)樗麄冎缿?yīng)該做什么來降低風(fēng)險，但得不到足夠支持?！?/p>

在這種困境下，幾乎90%的首席信息安全管認(rèn)為自己處于中度或高度壓力之下，許多人經(jīng)常換工作。根據(jù) Heidrick & Struggles 2022 年全球調(diào)查，近四分之一的 CSO 任職不到兩年，62% 的首席信息安全官任職不到一年。

安全專家建議，首席信息安全官最好在內(nèi)部發(fā)起和維護(hù)事件響應(yīng)手冊，涵蓋組織技術(shù)響應(yīng)、詳細(xì)說明與業(yè)務(wù)操作和流程的協(xié)調(diào)、危機(jī)管理和法律應(yīng)對。手冊有助于企業(yè)的安全團(tuán)隊(duì)和法律團(tuán)隊(duì)按照政策和程序共同應(yīng)對安全事件，確保該做什么、什么時候做。如果安全事件應(yīng)對不當(dāng)，與相應(yīng)手冊背道而馳，則它很可能成為一份“入獄指南”。

Uber遭遇勒索攻擊

10月8日，Uber前安全主管約瑟夫·沙利文因涉嫌參與掩蓋2016年黑客針對Uber公司的安全攻擊，被美國聯(lián)邦法院以妨礙司法罪和故意隱瞞重罪分別判處五年監(jiān)禁和三年監(jiān)禁。

約瑟夫·沙利文于2015年4月至2017年11月在Uber擔(dān)任首席安全官。2016年，Uber收到一封匿名郵件，郵件稱發(fā)現(xiàn)了Uber的安全漏洞，能利用其數(shù)字密鑰進(jìn)入公司的亞馬遜數(shù)據(jù)庫，查看并提取5700萬Uber乘客和司機(jī)的未加密備份數(shù)據(jù)。

沙利文和團(tuán)隊(duì)收到郵件后和黑客溝通，打算以Uber漏洞賞金計(jì)劃的形式向黑客支付最高一萬美元的報酬，作為交換條件，黑客需刪除相關(guān)數(shù)據(jù)。但雙方未能達(dá)成一致，黑客要求報酬不低于六位數(shù)，并威脅公開相關(guān)數(shù)據(jù)。在后續(xù)的長期溝通下，雙方以10萬美元的價格達(dá)成交易，沙利文要求對方銷毀盜取的數(shù)據(jù)，且對該行為保密。

但事與愿違，這起事件最終還是被曝光，涉事的兩名黑客被逮捕并供出了該事件。在聯(lián)邦貿(mào)易委員會（FTC）對Uber調(diào)查時，沙利文將該事件偽裝成漏洞賞金，向委員會提供虛假宣誓證詞，謊稱對方?jīng)]有竊取數(shù)據(jù)。2020年9月，沙利文被起訴，基于上述表現(xiàn)，陪審團(tuán)認(rèn)定他妨礙司法罪和故意隱瞞最成立。

據(jù)了解，F(xiàn)TC在2014年Uber違規(guī)事件（10萬名司機(jī)的姓名和車牌數(shù)據(jù)泄露）發(fā)生后一直在密切關(guān)注這家公司的數(shù)據(jù)安全性。2018年9月，Uber支付了1.48億美元來解決美國所有50個州和華盛頓特區(qū)的索賠，即披露黑客攻擊的速度太慢。

但面對越來越多的黑客攻擊，企業(yè)開始自顧不暇。加密貨幣的出現(xiàn)愈加方便勒索軟件攻擊者行兇，由于加密貨幣自身的隱匿特性，對貨幣資金去向進(jìn)行加密，使得收款者身份得以保密，大大降低了被溯源追蹤的風(fēng)險，所以近些年勒索軟件運(yùn)營者傾向于使用加密貨幣交易。

安全公司 SonicWall 11月初發(fā)布了《 2022 年網(wǎng)絡(luò)威脅報告》，勒索攻擊在經(jīng)歷連續(xù)兩年的增長后終于來到拐點(diǎn)開始下降，2022 年上半年共報告了 2.361 億次勒索軟件攻擊，同比下降23%，但 2022 年上半年的數(shù)量仍然高于 2017 年、2018 年和 2019 年各年的全年總數(shù)。

在全球發(fā)生的勒索攻擊中，醫(yī)療保健行業(yè)最易受到勒索軟件攻擊，每 42 個企業(yè)中就有一個受到勒索軟件的影響，同比增長5%。

支付贖金還是報案披露？

安全公司CyberEdge Group針對全球1000家企業(yè)進(jìn)行的一項(xiàng)調(diào)查研究發(fā)現(xiàn)，在遭受勒索攻擊的企業(yè)中，大約有40%的公司支付了贖金，但在這支付贖金的公司中，僅有一半左右的公司最終拿回了自己的數(shù)據(jù)。

那么，當(dāng)勒索攻擊發(fā)生后，是選擇支付贖金還是報案？從數(shù)據(jù)來看，支付贖金的企業(yè)，經(jīng)濟(jì)損失反而可能更大。IBM發(fā)布的《2022數(shù)據(jù)泄露成本報告》顯示，發(fā)生數(shù)據(jù)泄露事件時，選擇支付勒索軟件贖金的企業(yè)只比拒付贖金企業(yè)的平均成本少 61  萬美元，但這其中并未將贖金成本考慮進(jìn)去，如果將高昂的贖金（Sophos數(shù)據(jù)顯示，2021 年平均贖金高達(dá) 81.2  萬美元）納入成本考量，交付贖金的受害企業(yè)其經(jīng)濟(jì)損失可能會更大。更何況，支付贖金后，威脅者不一定會解密數(shù)據(jù)，也不一定會刪除所盜取的數(shù)據(jù)，甚至有可能進(jìn)行二次勒索，業(yè)內(nèi)稱為雙重勒索。

其次，支付贖金還有可能面臨制裁風(fēng)險。美國財(cái)政部外國資產(chǎn)控制辦公室(OFAC)10月1日發(fā)布一項(xiàng)建議《Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments》，警告向勒索攻擊者支付贖金可能面臨制裁和處罰風(fēng)險，因?yàn)樵S多勒索組織位列美國的制裁名單，支付贖金被視為對勒索組織的潛在經(jīng)濟(jì)支持。

在國內(nèi)，自2018年起，公安機(jī)關(guān)在“凈網(wǎng)2018”專項(xiàng)行動中針對各種網(wǎng)絡(luò)亂象開始實(shí)行“一案雙查”制度，即在對網(wǎng)絡(luò)違法犯罪案件開展偵查調(diào)查工作時，同步啟動對涉案網(wǎng)絡(luò)服務(wù)提供者法定網(wǎng)絡(luò)安全義務(wù)履行情況的監(jiān)督檢查。

由于報案后會“一案雙查”，許多企業(yè)傾向于不披露網(wǎng)絡(luò)攻擊事件。但《網(wǎng)絡(luò)安全法》第25條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險；在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報告。 所以法條并不提倡支付贖金，反而應(yīng)急預(yù)案是企業(yè)應(yīng)該重視的環(huán)節(jié)。

CSO應(yīng)該如何避免被“逮捕”

作為CSO，如何帶領(lǐng)安全團(tuán)隊(duì)建設(shè)企業(yè)安全、危機(jī)管理、安全運(yùn)營，如何避免被“逮捕”？首先，前置條件就是深入理解業(yè)務(wù)，作為企業(yè)安全建設(shè)帶頭人，應(yīng)該對所在企業(yè)的業(yè)務(wù)有深入了解，了解企業(yè)核心業(yè)務(wù)架構(gòu)、業(yè)務(wù)流程、業(yè)務(wù)技術(shù)團(tuán)隊(duì)等。了解上述信息有助于建設(shè)更貼合業(yè)務(wù)的企業(yè)安全體系。

其次是安全風(fēng)險管理，傳統(tǒng)的風(fēng)險管理主要參考ISO13335、COSO-ERM等標(biāo)準(zhǔn)體系，這些體系成熟、復(fù)用性強(qiáng)，但對于高速發(fā)展的互聯(lián)網(wǎng)企業(yè)來說，容易出現(xiàn)風(fēng)險評估結(jié)果和實(shí)際狀況出入較大，與業(yè)務(wù)場景契合度低等情況。對于CSO來說，安全風(fēng)險管理可以吸取成熟標(biāo)準(zhǔn)體系的長處，再結(jié)合實(shí)際業(yè)務(wù)部署風(fēng)險管理方案，識別業(yè)務(wù)風(fēng)險場景，分解技術(shù)方案、落地安全實(shí)踐。

再者是安全運(yùn)營，很多情況下勒索攻擊或者供應(yīng)鏈攻擊等引起嚴(yán)重后果的安全事件，都是因?yàn)樾畔⑾到y(tǒng)存在漏洞或后門，這時安全運(yùn)營的重要性愈發(fā)凸顯。做好安全運(yùn)營，從源頭上減少企業(yè)面臨勒索的幾率。安全運(yùn)營的兩個重要衡量指標(biāo)MTTD（平均檢測時間）和MTTR（平均響應(yīng)時間），能夠反映安全團(tuán)隊(duì)的感知發(fā)現(xiàn)能力和管控處置能力，做好安全運(yùn)營也是CSO工作的一大重點(diǎn)。

CSO能力要素雷達(dá)圖

其實(shí)，要成為優(yōu)秀的CSO需要具備很多能力，成為“全能型”選手。但現(xiàn)實(shí)中大家各有所長，能力并未達(dá)到面面俱到的程度，那么CSO可以從全局著手，協(xié)調(diào)各方資源識人善用，結(jié)合業(yè)務(wù)拿出最適合企業(yè)的安全建設(shè)方案，保護(hù)企業(yè)遠(yuǎn)離安全風(fēng)險。