《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 優(yōu)步前首席安全官或因私下繳納勒索贖金入獄 對(duì)企業(yè)CSO們有何啟示,?

優(yōu)步前首席安全官或因私下繳納勒索贖金入獄 對(duì)企業(yè)CSO們有何啟示,?

2022-11-08
來源:安全419
關(guān)鍵詞: 勒索贖金

  

  比如,在工作中無意中挖到一個(gè)0Day漏洞時(shí),,是偷偷高價(jià)轉(zhuǎn)賣還是上報(bào)給公司,?當(dāng)發(fā)現(xiàn)某家客戶疑似被勒索攻擊是,是第一時(shí)間趕往現(xiàn)場(chǎng)應(yīng)急還是束手一旁觀望形勢(shì),?或許在這些選擇面前邁錯(cuò)一步,,就會(huì)墜入深淵。無疑,,本文中的Uber前首席安全官約瑟夫·沙利文就是擺在面前的前車之鑒,。

  2016年的時(shí)候,,美國(guó)網(wǎng)約車巨頭優(yōu)步(Uber)發(fā)生了一起重大黑客攻擊事件,這一安全事件的余波直到今天還沒有完全終結(jié),。

  2022年10月,,美國(guó)聯(lián)邦法院陪審團(tuán)對(duì)Uber前首席安全官約瑟夫·沙利文(Joseph Sullivan)一案作出裁定——沙利文因?yàn)樵嫦酉蛎绹?guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)掩蓋Uber在2016年發(fā)生的數(shù)據(jù)泄露事件,被裁定為妨礙司法公正罪和隱瞞罪行罪,,可能面臨最高5年和最高3年的牢獄之災(zāi),。

  5700萬條隱私數(shù)據(jù)遭竊取

  首席安全官選擇交錢保平安

  據(jù)了解,這一案件起源于Uber收到的一封匿名電子郵件,,兩名黑客在郵件中表示其發(fā)現(xiàn)了Uber的安全漏洞,,能夠利用其遺留的數(shù)字密鑰進(jìn)入公司的亞馬遜數(shù)據(jù)庫,從而成功入侵Uber數(shù)據(jù)庫并竊取了5700萬條Uber司機(jī)和乘客的個(gè)人信息,。

  得知這一消息后,,約瑟夫·沙利文領(lǐng)導(dǎo)的安全團(tuán)隊(duì)試圖掩蓋這一安全事件可能造成的不利影響,為了以合法的方式確保黑客不聲張此事,,沙利文以發(fā)現(xiàn)安全漏洞賞金的名義向黑客支付了價(jià)值10萬美元的比特幣,,并與黑客簽訂保密協(xié)議。保密協(xié)議中注明,,該黑客并未獲取或存儲(chǔ)任何Uber用戶資料,。

  但該案最終還是遭到曝光,警方抓獲了兩名實(shí)施勒索的黑客后,,同時(shí)也對(duì)沙利文提起了公訴,,負(fù)責(zé)該案的檢察官稱,Sullivan滿足了黑客的勒索要求,,與犯罪分子達(dá)成了保密協(xié)議,,對(duì)其違法行為保持沉默。與此同時(shí),,沙利文將對(duì)安全勒索的付款行為偽裝成漏洞賞金,,并為此做出虛假陳述,給警方偵辦案件造成了不利影響,。

  美國(guó)司法部表示,,沙利文本可以選擇在24小時(shí)向執(zhí)法機(jī)構(gòu)報(bào)告,但沙利文選擇了隱瞞此次被攻擊事件,。因沙利文故意隱瞞使得執(zhí)法人員沒有注意到之前的數(shù)據(jù)泄露事件,,黑客又再次成功入侵了其他公司的用戶數(shù)據(jù)庫。

  該案的檢察官認(rèn)為,,公司有義務(wù)保護(hù)其所收集的數(shù)據(jù),,并在這些數(shù)據(jù)被黑客竊取時(shí)提醒客戶和警方。但有些企業(yè)高管更關(guān)心自己和企業(yè)的聲譽(yù),而非保護(hù)用戶安全,,從而選擇對(duì)公眾隱瞞重要信息,,為了自身利益將用戶個(gè)人信息置于危險(xiǎn)中,這樣的行為理應(yīng)受到懲處,。

  事實(shí)上,,由于大部分網(wǎng)絡(luò)安全團(tuán)隊(duì)在應(yīng)對(duì)黑客事件的問題上的模糊態(tài)度,類似于Sullivan支付安全贖金的事件屢見不鮮,。Bugcrowd創(chuàng)始人Casey Ellis明確表明,,絕不止Uber一家公司利用漏洞賞金計(jì)劃掩蓋了根據(jù)法律法規(guī),本應(yīng)披露的安全問題,。安全公司Critical Insight創(chuàng)始人Michael Hamilton也表達(dá)同樣的觀點(diǎn):“支付漏洞勒索贖金,,實(shí)際上比大眾所認(rèn)知的更為普遍?!?/p>

  優(yōu)步案件殷鑒不遠(yuǎn)

  在勒索攻擊面前應(yīng)如何應(yīng)對(duì)?

  據(jù)Check Point 的一份報(bào)告顯示,,2021年支付的勒索贖金已超過6.02億美元,,其中僅支付給Conti一家就高達(dá)1.8億美元,但報(bào)告認(rèn)為實(shí)際數(shù)據(jù)可能比已記錄數(shù)據(jù)還要高,。

  該報(bào)告提出了一個(gè)觀點(diǎn):即使組織支付了贖金,,或許也無法避免進(jìn)一步的經(jīng)濟(jì)損失,一方面,,在使用來自攻擊者解密密鑰恢復(fù)被加密數(shù)據(jù)和業(yè)務(wù)系統(tǒng)時(shí)也需要花費(fèi)大量的時(shí)間,;另一方面,支付贖金并無法保證攻擊者已經(jīng)全部刪除竊取的數(shù)據(jù),,泄露數(shù)據(jù)仍然存在被公開,,甚至被反復(fù)勒索的風(fēng)險(xiǎn)。

  在安全419此前就“在勒索攻擊面前,,除了支付贖金還能怎么做,?”的話題與業(yè)界專家進(jìn)行交流時(shí),安全專家們分享了來自各家的解決方案,,但縱觀當(dāng)前各家提出的勒索攻擊防御方案中,,數(shù)據(jù)備份+網(wǎng)絡(luò)安全保險(xiǎn)似乎正在成為主流思路。(延伸閱讀:安全419盤點(diǎn) | 2022年第三季度勒索軟件攻擊形勢(shì)與應(yīng)對(duì)建議)

  為了更好的幫助大家應(yīng)對(duì)勒索攻擊,,我們匯總了以下建議與大家分享(注,。以下建議來源于安全419《勒索攻擊解決方案》系列訪談中我們與多家知名網(wǎng)絡(luò)安全企業(yè)(綠盟科技、天融信,、安恒信息,、奇安信、深信服,、CloudWonder 嘉云,、威努特)交流總結(jié)所得),。

  1

  企業(yè)不斷的成長(zhǎng)和新技術(shù)的廣泛應(yīng)用,進(jìn)一步加劇了安全風(fēng)險(xiǎn)和暴露面,,鑒于安全重要性正在日益提升,,設(shè)立專職崗位(如CSO)負(fù)責(zé)統(tǒng)籌全面的IT安全風(fēng)險(xiǎn)管理,是應(yīng)對(duì)以勒索攻擊為首的網(wǎng)絡(luò)安全建設(shè)的重要前提,;

  2

  真實(shí)勒索案例中,,絕大多數(shù)勒索攻擊源于員工的意識(shí)疏忽所造成。企業(yè)一方面需系統(tǒng)的開展安全意識(shí)培訓(xùn)工作,,同時(shí)應(yīng)針對(duì)具體的安全事件進(jìn)行日常演練,,以在攻擊發(fā)生時(shí)最大化降低企業(yè)生產(chǎn)運(yùn)營(yíng)損失;

  3

  同時(shí)安全意識(shí)應(yīng)延伸至企業(yè)外部,,這對(duì)大型生產(chǎn)制造業(yè)尤為重要,,比如企業(yè)將IT運(yùn)維承包給第三方機(jī)構(gòu),還有涉及龐大供應(yīng)鏈當(dāng)中的任何一環(huán),??梢砸园踩霞s為抓手,建立安全責(zé)任制,,強(qiáng)化外部的安全風(fēng)險(xiǎn)管理,;

  4

  安全基線必不可少,利用專業(yè)安全廠商提供的防御,、檢測(cè)類產(chǎn)品為勒索病毒設(shè)置重重障礙,,可降低80%以上被勒索攻擊的可能性。其中終端安全更是重中之重,,大量案例證明,,特別是國(guó)內(nèi),終端缺乏安全防護(hù)是造成勒索加密的主要原因,;安全基線產(chǎn)品或服務(wù)以威脅情報(bào)建立防御機(jī)制,,也是應(yīng)對(duì)勒索組織不斷變化趨勢(shì)的有力抓手;

  5

  勒索攻擊最終指向的是系統(tǒng),、應(yīng)用和數(shù)據(jù),,對(duì)于處于數(shù)字經(jīng)濟(jì)時(shí)代的我們,如何讓數(shù)據(jù)在各業(yè)務(wù)線上安全流通已成當(dāng)務(wù)之急,?!稊?shù)據(jù)安全法》催生了數(shù)據(jù)安全產(chǎn)業(yè)的迅猛發(fā)展,以數(shù)據(jù)保護(hù)為抓手,,應(yīng)對(duì)勒索攻擊已是可行方案,;

  6

  產(chǎn)品服務(wù)化趨勢(shì),企業(yè)限于沒有專業(yè)的運(yùn)維人員來管理網(wǎng)絡(luò)安全,會(huì)存在即使部署了安全產(chǎn)品也沒有得到有效利用,,這是廣泛存在的現(xiàn)狀問題,,大中型企業(yè)尚能自行解決問題,小型企業(yè)問題更為明顯?,F(xiàn)在安全企業(yè)也注意到了這一問題,,安全托管服務(wù)可以幫助企業(yè)解決這一難題;

  7

  企業(yè)應(yīng)該認(rèn)識(shí)到針對(duì)性地勒索攻擊致使數(shù)據(jù)加密,,當(dāng)前技術(shù)上是無法恢復(fù)的,,應(yīng)該立即著手?jǐn)?shù)據(jù)備份工作,且強(qiáng)化數(shù)據(jù)備份的隔離加密,,始終讓備份數(shù)據(jù)保持高可用性,。對(duì)于生產(chǎn)經(jīng)營(yíng)性質(zhì)企業(yè),為了追求業(yè)務(wù)的持續(xù)運(yùn)營(yíng),,容災(zāi)備份解決方案已成為他們的最佳選擇,,該方案在保證數(shù)據(jù)高可用前提下,可支持系統(tǒng)在異地迅速再生,;

  8

  企業(yè)承擔(dān)勒索攻擊所致?lián)p失的程度并不相同,,為了避免遭受滅頂之災(zāi),可以考慮從網(wǎng)絡(luò)安全保險(xiǎn)一側(cè)切入防范,。網(wǎng)絡(luò)安全保險(xiǎn)在國(guó)外相對(duì)成熟,在國(guó)內(nèi)發(fā)展尚處起步階段,,但未來應(yīng)用的趨勢(shì)明顯,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。