比如,在工作中无意中挖到一个0Day漏洞时,是偷偷高价转卖还是上报给公司?当发现某家客户疑似被勒索攻击是,是第一时间赶往现场应急还是束手一旁观望形势?或许在这些选择面前迈错一步,就会坠入深渊。无疑,本文中的Uber前首席安全官约瑟夫·沙利文就是摆在面前的前车之鉴。
点击图片进入小程序
2016年的时候,美国网约车巨头优步(Uber)发生了一起重大黑客攻击事件,这一安全事件的余波直到今天还没有完全终结。
2022年10月,美国联邦法院陪审团对Uber前首席安全官约瑟夫·沙利文(Joseph Sullivan)一案作出裁定——沙利文因为曾涉嫌向美国联邦贸易委员会(FTC)掩盖Uber在2016年发生的数据泄露事件,被裁定为妨碍司法公正罪和隐瞒罪行罪,可能面临最高5年和最高3年的牢狱之灾。
优步前首席安全官Joseph Sullivan
5700万条隐私数据遭窃取 首席安全官选择交钱保平安
据了解,这一案件起源于Uber收到的一封匿名电子邮件,两名黑客在邮件中表示其发现了Uber的安全漏洞,能够利用其遗留的数字密钥进入公司的亚马逊数据库,从而成功入侵Uber数据库并窃取了5700万条Uber司机和乘客的个人信息。
得知这一消息后,约瑟夫·沙利文领导的安全团队试图掩盖这一安全事件可能造成的不利影响,为了以合法的方式确保黑客不声张此事,沙利文以发现安全漏洞赏金的名义向黑客支付了价值10万美元的比特币,并与黑客签订保密协议。保密协议中注明,该黑客并未获取或存储任何Uber用户资料。
但该案最终还是遭到曝光,警方抓获了两名实施勒索的黑客后,同时也对沙利文提起了公诉,负责该案的检察官称,Sullivan满足了黑客的勒索要求,与犯罪分子达成了保密协议,对其违法行为保持沉默。与此同时,沙利文将对安全勒索的付款行为伪装成漏洞赏金,并为此做出虚假陈述,给警方侦办案件造成了不利影响。
美国司法部表示,沙利文本可以选择在24小时向执法机构报告,但沙利文选择了隐瞒此次被攻击事件。因沙利文故意隐瞒使得执法人员没有注意到之前的数据泄露事件,黑客又再次成功入侵了其他公司的用户数据库。
该案的检察官认为,公司有义务保护其所收集的数据,并在这些数据被黑客窃取时提醒客户和警方。但有些企业高管更关心自己和企业的声誉,而非保护用户安全,从而选择对公众隐瞒重要信息,为了自身利益将用户个人信息置于危险中,这样的行为理应受到惩处。
事实上,由于大部分网络安全团队在应对黑客事件的问题上的模糊态度,类似于Sullivan支付安全赎金的事件屡见不鲜。Bugcrowd创始人Casey Ellis明确表明,绝不止Uber一家公司利用漏洞赏金计划掩盖了根据法律法规,本应披露的安全问题。安全公司Critical Insight创始人Michael Hamilton也表达同样的观点:“支付漏洞勒索赎金,实际上比大众所认知的更为普遍。”
优步案件殷鉴不远 在勒索攻击面前应如何应对?
据Check Point 的一份报告显示,2021年支付的勒索赎金已超过6.02亿美元,其中仅支付给Conti一家就高达1.8亿美元,但报告认为实际数据可能比已记录数据还要高。
该报告提出了一个观点:即使组织支付了赎金,或许也无法避免进一步的经济损失,一方面,在使用来自攻击者解密密钥恢复被加密数据和业务系统时也需要花费大量的时间;另一方面,支付赎金并无法保证攻击者已经全部删除窃取的数据,泄露数据仍然存在被公开,甚至被反复勒索的风险。
在安全419此前就“在勒索攻击面前,除了支付赎金还能怎么做?”的话题与业界专家进行交流时,安全专家们分享了来自各家的解决方案,但纵观当前各家提出的勒索攻击防御方案中,数据备份+网络安全保险似乎正在成为主流思路。(延伸阅读:安全419盘点 | 2022年第三季度勒索软件攻击形势与应对建议)
为了更好的帮助大家应对勒索攻击,我们汇总了以下建议与大家分享(注.以下建议来源于安全419《勒索攻击解决方案》系列访谈中我们与多家知名网络安全企业(绿盟科技、天融信、安恒信息、奇安信、深信服、CloudWonder 嘉云、威努特)交流总结所得)。
● 1.企业不断的成长和新技术的广泛应用,进一步加剧了安全风险和暴露面,鉴于安全重要性正在日益提升,设立专职岗位(如CSO)负责统筹全面的IT安全风险管理,是应对以勒索攻击为首的网络安全建设的重要前提;
● 2.真实勒索案例中,绝大多数勒索攻击源于员工的意识疏忽所造成。企业一方面需系统的开展安全意识培训工作,同时应针对具体的安全事件进行日常演练,以在攻击发生时最大化降低企业生产运营损失;
● 3.同时安全意识应延伸至企业外部,这对大型生产制造业尤为重要,比如企业将IT运维承包给第三方机构,还有涉及庞大供应链当中的任何一环。可以以安全合约为抓手,建立安全责任制,强化外部的安全风险管理;
● 4.安全基线必不可少,利用专业安全厂商提供的防御、检测类产品为勒索病毒设置重重障碍,可降低80%以上被勒索攻击的可能性。其中终端安全更是重中之重,大量案例证明,特别是国内,终端缺乏安全防护是造成勒索加密的主要原因;安全基线产品或服务以威胁情报建立防御机制,也是应对勒索组织不断变化趋势的有力抓手;
● 5.勒索攻击最终指向的是系统、应用和数据,对于处于数字经济时代的我们,如何让数据在各业务线上安全流通已成当务之急。《数据安全法》催生了数据安全产业的迅猛发展,以数据保护为抓手,应对勒索攻击已是可行方案;
● 6.产品服务化趋势,企业限于没有专业的运维人员来管理网络安全,会存在即使部署了安全产品也没有得到有效利用,这是广泛存在的现状问题,大中型企业尚能自行解决问题,小型企业问题更为明显。现在安全企业也注意到了这一问题,安全托管服务可以帮助企业解决这一难题;
● 7.企业应该认识到针对性地勒索攻击致使数据加密,当前技术上是无法恢复的,应该立即着手数据备份工作,且强化数据备份的隔离加密,始终让备份数据保持高可用性。对于生产经营性质企业,为了追求业务的持续运营,容灾备份解决方案已成为他们的最佳选择,该方案在保证数据高可用前提下,可支持系统在异地迅速再生;
● 8.企业承担勒索攻击所致损失的程度并不相同,为了避免遭受灭顶之灾,可以考虑从网络安全保险一侧切入防范。网络安全保险在国外相对成熟,在国内发展尚处起步阶段,但未来应用的趋势明显。
京公网安备 11010802033237号
