近日,著名音頻設備公司Bose在致新罕布什爾州司法部長John Formella的信中透露,該公司在今年3月7日遭到了勒索軟件攻擊。作為一家全球知名、擁有龐大用戶群的科技公司,Bose過去三個月隱瞞勒索軟件攻擊的做法引發了業界的廣泛爭議,同時也可能對品牌產生不可逆的嚴重損害。
Bose的通報信并未透露Bose遭受哪種勒索軟件攻擊,也沒有指明攻擊背后的組織,僅指出該公司經歷了復雜的網絡事件,攻擊者在Bose的環境中部署了惡意軟件/勒索軟件。
根據安全牛此前的報道,這并非Bose公司首次爆出網絡安全事件。2017年,Bose曾因私自采集和銷售用戶隱私數據遭到起訴(竊聽門);同年趨勢科技的的聯網音箱安全分析報告顯示,Bose的網絡音箱產品存在嚴重安全漏洞,黑客可以完全接管音箱、監聽用戶甚至發動基于“聲音攻擊”的釣魚和社工攻擊。
01 內部數據泄漏
今年4月29日,Bose和取證分析人員確定,勒索軟件攻擊者設法訪問了Bose人力資源內部管理文件;部分員工的社會安全號碼、地址和薪酬信息,其中包括六名住在新罕布什爾州的員工。
Bose表示,無法確認此次攻擊背后的人員是否將文件或信息從系統中竊走,Bose也未透露是否支付了贖金。
Bose在信中透露,正在與一家私營安全公司和FBI合作,在暗網中搜索任何泄漏的信息,但未發現任何表明其數據已泄漏的跡象。
據悉,發現遭遇攻擊后,Bose已經采取以下緩解措施:
在端點和服務器上部署了“增強型惡意軟件/勒索軟件保護”
阻止了攻擊期間惡意文件的橫向移動
部署了監視工具以監視后續攻擊,識別攻擊意圖
更新防火墻配置、封鎖惡意網站和攻擊者相關IP
更改所有賬戶密鑰
更改終端用戶和特權用戶賬戶密碼
5月19日,Bose還向所有受勒索軟件事件影響的人員發信,告知他們保持警惕并監控自己的賬戶,六名居住在新罕布什爾州的Bose員工還獲得了為期12個月的IdentityForce免費身份保護服務。
網絡安全專家指出,強制要求遭遇勒索軟件攻擊的企業通報攻擊信息非常重要,這可以幫助其他相關企業及時保護自己免受類似攻擊。
02 Bose“瞞報”,后果可能很嚴重
Gurucul的首席執行官Saryu Nayyar贊揚Bose公開披露了這次攻擊,但指出該公司在信中描述的事件時間表很有問題。
“重要的是及時分享攻擊者的動態,以吸引必要主管部門和網絡防御專家的關注,減輕攻擊的連鎖反應。雖然Bose的公告內容相當詳盡,但是披露的時間表很令人擔憂。Bose在攻擊發生一個半月之后才搞清楚哪些數據被非法訪問,又過了三周后才開始通知受影響的個人,如此漫長的事件響應周期,攻擊者幾乎可以對泄漏數據為所欲為。”
其他專家還指出,Bose的響應時間過長,這可能危及受此漏洞影響的其他個人和企業。
Pathlock總裁凱文·鄧恩(Kevin Dunne)表示,Bose應當更快地做出反應,對這次襲擊承擔更多責任,同時還應為如何防止未來攻擊制定明確的計劃。
Dunne說:
“從Bose遭受的攻擊中,所有企業都應當吸取教訓——應該將關鍵業務數據保存在可以對其進行管理和監視的應用程序中,而不是電子表格或其他非托管數據庫中。”
“員工數據是敏感數據,就像與客戶、財務或IP相關的數據一樣。企業應投資于HRM系統,并確保其具有良好的訪問控制和數據丟失防護措施,降低員工數據被泄漏的風險。”
他補充說,對于網絡安全攻擊的利益相關者來說,人們的態度存在很大分歧。
他解釋說,有些公司在報告遭遇的網絡攻擊時過于謹慎,因為他們想避免吸引進一步的攻擊,或者是向勒索軟件組織妥協。
但是無論如何,隱私數據遭泄漏的員工應當盡快得到通知,以便他們可以監控受感染帳戶中的任何異常活動。
Dunne指出:“股東經常處于兩難境地,因為將遭受網絡攻擊的信息公開通常會對股價產生較大沖擊,但另一方面,如果盡早告知公眾違規行為,企業可以更好地管理預期。”
nVisium的首席執行官Jack Mannino說,不同的行政區和行業對報告事件有不同的要求。但他敦促所有受攻擊的公司主動通知受害者,以免在事后調查中被動。
Shared Assessments的CISO湯姆·加魯巴(Tom Garrubba)等專家表示,一些公司對安全事件信息披露的必要性依然存在誤解,認為只有在公開交易(上市公司)或在受監管的環境中運營時,他們才必須披露違規信息。
“無論企業屬于何種行業、是否上市,掩蓋或拖延事件披露的做法長期來看,會阻礙改善網絡衛生狀況、抵御未來攻擊的能力。很多公司抱著僥幸心理,認為自己不會被閃電兩次擊中。”Garrubba繼續說道:“這導致了一種錯誤的安全感,即通過瞞報來大事化小。但不幸的是,如果你再次遭遇網絡攻擊,此前的隱瞞和拖延將被曝光,對品牌和聲譽將產生更為嚴重的損害。在今天這個數字化時代,企業成功的關鍵是透明度和信任,信任才是全球通行的‘貨幣’。”
