繼上周微軟高管電子郵件被黑后，科技巨頭惠普企業(yè)(HPE)本周四也披露遭到類似黑客攻擊，俄羅斯APT組織在其網(wǎng)絡(luò)中潛伏了長達(dá)六個月之久，竊取了包括電子郵件在內(nèi)的敏感信息。

SEC披露新規(guī)引發(fā)“連環(huán)暴雷”

去年12月SEC(美國證券交易委員會)安全事件披露新規(guī)正式開始實(shí)施，美國上市公司必須在四日內(nèi)披露重大網(wǎng)絡(luò)攻擊事件。結(jié)果不到一個月內(nèi)，微軟和惠普接連“暴雷”，相繼披露黑客攻擊事件，成為新規(guī)生效后的首批重大披露(去年11月勒索軟件組織BlackCat曾舉報(bào)其受害者——上市軟件公司MeridianLink未按SEC規(guī)定披露事件，但當(dāng)時該披露規(guī)則尚未生效)，凸顯了上市公司安全事件披露政策的必要性和重要性。

根據(jù)惠普在1月24日向SEC提交的8-K披露表格，其系統(tǒng)遭到大名鼎鼎的俄羅斯高級持續(xù)威脅組織APT29(又名Cozy Bear、Midnight Blizzard和Nobelium)攻擊。

根據(jù)惠普的披露信息，去年5月APT29悄然潛入惠普的網(wǎng)絡(luò)，竊取了SharePoint和電子郵件文件，一直到去年12月才被發(fā)現(xiàn)。諷刺的是，該消息得以公開的原因竟不是源于安全檢測或技術(shù)突破，而是去年12與SEC頒布的一項(xiàng)新規(guī)——上市公司必須在四天內(nèi)報(bào)告“重大”網(wǎng)絡(luò)攻擊事件。

新的SEC披露規(guī)則無疑加大了上市公司網(wǎng)絡(luò)安全威脅的透明度，強(qiáng)制性四天報(bào)告期限迫使它們正視潛伏的網(wǎng)絡(luò)安全威脅。

雖然惠普強(qiáng)調(diào)此次攻擊不會對其運(yùn)營或財(cái)務(wù)狀況造成“重大”影響。然而，這起事件仍引發(fā)了投資者的擔(dān)憂，惠普的股價(jià)在披露事件后暴跌了近5%。

“瞞報(bào)”長達(dá)六個月

根據(jù)惠普在8-K表格和隨后的媒體聲明中披露的信息，2023年12月12日，惠普安全人員察覺Office 365郵箱環(huán)境遭到入侵，嫌疑線索指向APT29。隨即，惠普召集網(wǎng)絡(luò)安全專家，采取了“調(diào)查、遏制和補(bǔ)救措施，根除惡意活動”。

進(jìn)一步調(diào)查后，惠普發(fā)現(xiàn)這次攻擊可能與去年6月另一起APT29事件有關(guān)，當(dāng)時該組織竊取了“少量”SharePoint文件。公司表示：“調(diào)查結(jié)果顯示，從2023年5月開始，攻擊者訪問并竊取了少量惠普員工的郵箱數(shù)據(jù)，涉及網(wǎng)絡(luò)安全、市場營銷、業(yè)務(wù)部門和其他職能部門。

盡管6個月前就拉響了安全警報(bào)，但惠普的遏制和補(bǔ)救措施似乎并不徹底，APT29得以在網(wǎng)絡(luò)中潛伏了足足六個月。

一周內(nèi)兩家科技巨頭淪陷

就在惠普披露事件之前不到一周前，另一家跨國科技巨頭微軟公司的電子郵件系統(tǒng)也遭受嚴(yán)重攻擊，而且兩次黑客攻擊都被歸因于APT29。

作為規(guī)模最大的網(wǎng)絡(luò)安全公司(或許沒有之一)，微軟于1月19日透露，APT29組織訪問并竊取了其員工電子郵件帳戶的數(shù)據(jù)，高管團(tuán)隊(duì)的郵件賬號無一幸免。

但微軟“遙遙領(lǐng)先”惠普的一點(diǎn)是：微軟官方披露攻擊者在其內(nèi)網(wǎng)“僅僅”漫游了兩個月。

根據(jù)微軟提交給SEC的披露文件，“從2023年11月下旬開始，APT29通過密碼噴灑攻擊侵入一個一流的非生產(chǎn)測試租戶賬號獲得立足點(diǎn)，并利用該賬號的全縣訪問并竊取了微軟高管、安全團(tuán)隊(duì)、法務(wù)等部門員工的電子郵件及附件。

直到1月12日，也就是上周五微軟提交披露文件一周前，微軟才覺察到這次入侵，這意味著APT29在微軟的企業(yè)網(wǎng)絡(luò)中持續(xù)非法訪問了長達(dá)兩個月之久。

安全專家指出，如果上市公司“重大”網(wǎng)絡(luò)攻擊事件的“四日新規(guī)”沒有在上個月生效，那么這兩次攻擊可能都不會被公開。

基礎(chǔ)安全衛(wèi)生措施可防御99%的攻擊

微軟和惠普接連遭遇并不復(fù)雜的“身份攻擊”，凸顯了科技企業(yè)，甚至包括網(wǎng)絡(luò)安全企業(yè)自身往往未能實(shí)踐最基本的網(wǎng)絡(luò)安全實(shí)踐，例如弱密碼和不啟用MFA。

上周谷歌旗下的威脅情報(bào)公司Mandiant的X社交媒體賬號被黑客接管，同樣是因?yàn)槿趺艽a和未啟用MFA。

頗具諷刺意味的是，上周頒布上市公司披露新規(guī)的SEC自己也因未能遵守基本的安全實(shí)踐(未啟用MFA認(rèn)證和有效的密碼管理)導(dǎo)致其X社交媒體賬號被黑客接管用于發(fā)布加密貨幣詐騙信息。

正如微軟自己發(fā)布的《2023年數(shù)字防御報(bào)告》中所強(qiáng)調(diào)的：基本的安全衛(wèi)生措施依然可以防御99%的網(wǎng)絡(luò)攻擊，這包括啟用多因素身份驗(yàn)證(MFA)、應(yīng)用零信任原則、使用XDR和反惡意軟件、保持設(shè)備軟件的更新等。