LastPass和SolarWinds的黑客事件提供了处理数据泄露的教训 - 彭博社
Andrew Martin
插图:Nadia Hafid for Bloomberg Businessweek
Karim Toubba刚担任 LastPass US LP的首席执行官几个月,就得知 公司遭到黑客攻击。两周后,即2022年8月,他发表了一篇博客文章,称虽然黑客窃取了一些源代码和专有技术信息,但没有证据表明客户数据或加密密码保险库的访问权限被授予。
危机被化解了——直到黑客利用早前攻击中窃取的信息获取了加密的用户名和密码等数据。这一发展在圣诞节前几天由Toubba在一篇博客文章中披露,引发了一波批评和一篇Wired报道,标题为“是的,是时候放弃LastPass了。”
Toubba来源:LastPass这场磨难让Toubba成为了一群经历过公司遭受网络攻击的高管中的一员,这是一种漫长的经历,可能持续数月。一些客户在遭受攻击后放弃了LastPass,但公司表示现在接近事发前的用户数量,但拒绝提供具体数据。
Toubba表示,他的公司在应对黑客攻击方面做得很多方面都做得很好,但在某些领域,比如沟通方面,还有改进的空间。他的团队继续审查应对措施,寻找改进流程的方法。他说:“对这类事情的改进是一个永无止境的游戏。”他对其他可能发现自己处于类似位置的CEO的建议是?你不会因为被黑而受到评判,但你会因为你的应对方式而受到评判。
经历过黑客攻击的高管、安全专家和律师表示,虽然每种情况都不同,但组织可以采取措施来应对危机并帮助减轻损失。首先,至关重要的是制定一份事件响应计划。它必须考虑最坏的情况,并由相关方事先进行演练,包括高管层,否则就只是“一纸空文”,Debevoise & Plimpton合伙人Erez Liebermann说。帮助客户准备和应对数据泄露的Debevoise & Plimpton合伙人Erez Liebermann说。
组织还应保持灵活性。公司高管可能已经决定永远不支付勒索要求,但如果黑客打电话威胁客户或家庭成员会发生什么?“正如迈克·泰森曾经说过的,‘每个人都有计划,直到你被打在嘴巴上’,”Liebermann说。“在网络安全领域也是如此。”
许多大公司现在都有专门的网络安全团队,可以随时提供帮助,这样他们在遭受黑客攻击时就不必四处寻找帮助。这些团队可能包括律师、取证调查员、危机沟通专家和勒索软件谈判者。这有助于在攻击初期平息恐慌,同时建立一个结构和前进的道路。
向客户、员工和公众传达关于数据泄露的信息需要谨慎调整:提供过少的信息可能会引发强烈反弹,而过早提供过多信息可能会导致后来发现不准确而带来麻烦。在最初几天内,有关黑客攻击的事实可能模糊不清并可能会发生变化。为潜在的数据泄露情况制定沟通计划是有帮助的。
“取证调查是混乱的,” 金·佩雷蒂说,她是 Alston & Bird全球网络安全实践的负责人。在完整情况尚未明朗之时,会有提供详细信息的压力。“你的目标是真正与客户或消费者建立外部信任,让他们相信你有一套应对这种事件的结构,即使你不知道事态将如何发展,”她说。
应对攻击的领导者还可以通过联系适当的政府部门,如美国的联邦调查局(FBI)或网络安全和基础设施安全局(CISA)来受益。他们可能了解入侵技术,或者了解黑客本身,这可以为应对和恢复提供信息,并 有助于防止进一步的攻击。然而,不到四分之一的网络入侵被报告给美国政府,这限制了当局防止进一步入侵的能力。
SolarWinds 公司,一家总部位于德克萨斯州的公司,生产热门的IT管理软件,已经成为近年来最先进黑客攻击的代名词。对这次攻击的调查发现,发生在2019年和2020年的攻击中, 俄罗斯国家黑客已经通过SolarWinds和其他方法渗透了多达九个美国政府机构和约100家公司。
公司已经准备好了一份它测试过的事件响应计划。它还邀请了外部专家,包括网络安全公司 CrowdStrike Holdings Inc.和律师事务所 DLA Piper,并与政府合作。SolarWinds的首席信息安全官(CISO)Tim Brown表示,所有这些“让我们朝着正确的方向迈出了第一步”,但这份计划无法预料到攻击的规模。黑客在SolarWinds软件的更新中安装了恶意代码,使他们能够进一步渗透上传了更新的客户系统。
Brown表示,他在2020年12月12日早上得知了这次攻击。因为这次黑客攻击已经泄露给媒体,公司只有一天的时间才能公之于众,官员们几乎没有时间进行调查和准备一份声明,他说。
SolarWinds最初报告称,可能有不到18,000名客户收到了恶意更新,这个数字在新闻报道中一直保持了一段时间。最终,调查得出结论,黑客渗透的客户远远少于这个数字。Brown说:“从故事的角度来看,那将是一个非常不同的结果。”“但在那时,我们没有时间去理解一切。”
尽管如此,他说,公司对于这次数据泄露的公开态度已经取得了成效,因为大多数客户已经回来了。布朗说,其他首席信息安全官向他提出问题,想要从他的经验中获取知识。他说,他们最终想知道:“我需要学习什么,这样,你知道的,我在这类事件中不会被解雇?”
Jonathan Yaron,Kiteworks的首席执行官,这家总部位于加利福尼亚的公司生产软件,可以安全地共享敏感文件,并且符合法规要求,他自己也在一次网络攻击中留下了伤疤。2020年12月,他的公司,当时名为Accellion,成为供应链黑客攻击的受害者,攻击始于黑客利用20年前的软件中的漏洞,该软件主要用于传输大文件。公司已经修补了这些漏洞,但黑客又回来利用了软件中的另外两个漏洞。最终,不到100名客户遭到了黑客攻击,但大约25名客户遭受了重大数据窃取,公司称。黑客后来利用这些数据勒索受害者。
Accellion以810万美元和解一起集体诉讼,没有承认错误。同样,SolarWinds以2600万美元和解一起集体诉讼,没有承认错误。LastPass也面临法律诉讼;公司表示无法就未决诉讼发表评论。
Yaron说他学到的一件事:不要容忍那些不愿意修补软件的客户。他说,在遭受攻击之前,Accellion为客户升级旧软件提供了激励措施,然后因为他们不这样做而对他们进行了惩罚。但有些客户拒绝妥协。Kiteworks不再提供那款产品。未来,公司要求客户迅速修补软件漏洞,如果他们在一年内不这样做,公司就不希望与他们做生意。“你要么升级,要么去别的地方,”Yaron说。