與SolarWinds事件類似，Accleion入侵同樣給供應鏈漏洞敲響警鐘。

　　新西蘭儲備銀行行長Adrian Orr表示，Accellion在遭遇黑客攻擊后并未第一時間上報。

　　近期網絡犯罪組織FIN11針對美國軟件公司Accellion旗下文件共享產品FTA的大規(guī)模網絡攻擊，已導致美國華盛頓州審計署、新西蘭儲備銀行、澳大利亞證券和投資委員會、新加坡電信巨頭Singtel等近百家政企機構敏感數(shù)據泄露。該事件再次引發(fā)了安全專家對供應鏈攻擊的擔憂，其中撲朔迷離的響應過程也暴露出及時防御供應鏈攻擊的現(xiàn)實難度。

　　已經有不少受影響客戶披露了被攻擊時間表，并強調軟件補丁沒能像Accellion宣稱的那樣及時發(fā)布到位。有安全專家提到，專為客戶處理敏感信息的律師事務所Jones Day已經確認受到影響。換而言之，即使從未使用Accellion軟件產品的組織，同樣可能遭受此次事件的殃及。

　　FTI 咨詢公司網絡安全負責人Anthony J. Ferrante表示，種種實際影響很可能在受害者群體中引發(fā)復雜的反應，最終掀起一大波相互指責、相互推諉的法庭群戰(zhàn)大戲。曾多次在此類企業(yè)訴訟中擔任專家證人的Ferrante認為，“一切只是開始，后面的嘴炮大戰(zhàn)將不可避免?！?/p>

　　Title

　　撲朔迷離的漏洞響應時間線

　　位于美國加州的Accellion公司在1月12號發(fā)布的博文上提到，他們于去年（2020年）12月中旬首次發(fā)現(xiàn)File Transfer Appliance（FTA）軟件中存在安全漏洞。這款軟件已經擁有20年歷史，專門用于共享大型文檔。Accellion表示，“官方已經修復了漏洞，并在72小時內向近50家受影響客戶發(fā)布了補丁包?！?/p>

　　在今年2月1日發(fā)布的更新中，Accellion又強調他們已經于去年12月23日將漏洞消息通報給“所有FTA客戶?！?/p>

　　Accellion公司還提到，“事件的開端是對Accellion FTA產品發(fā)動的一波有組織攻擊，這輪攻勢一直持續(xù)到2021年1月?！?/p>

　　但一部分受到攻擊影響的客戶，卻給出了完全不同的時間線索。

　　美國華盛頓州審計署報告稱，攻擊者可能已經通過FTA工具訪問到超過100萬失業(yè)救濟申請者的個人數(shù)據。在2月1日的新聞稿中，審計署稱“事件的實際上報時間為1月12日?！?/p>

　　審計署發(fā)言人Kathleen Cooper在聲明中強調，Accellion在“接下來的幾周內”才陸續(xù)披露更多相關消息，審計署方面也是據此得出上述結論。

　　新西蘭中央銀行報告稱，本輪攻擊導致部分文件失竊。新西蘭儲備銀行在此次違規(guī)事件的專項網站上指出，Accellion雖然在去年12月20日就發(fā)布了軟件補丁，但并沒有立即提醒客戶的安全團隊安裝這些補丁。

　　新西蘭儲備銀行行長Adrian Orr在2月9日的聲明中表示，“Accellion并未在5天之內及時對全球客戶可能因攻擊受到的影響予以通報，也未強調已經存在相關補丁程序可用于阻止事件影響?！?/p>

　　鑒于調查工作仍在繼續(xù)，該銀行一位發(fā)言人拒絕做出進一步評論。

　　大型企業(yè)新加坡電信有限公司報告稱，本輪入侵事件持續(xù)達數(shù)周，黑客成功竊取到大量數(shù)據，包括來自129000名個人客戶與23家企業(yè)（涵蓋供應商與企業(yè)客戶）的信息。

　　上周三，新加坡電信表示他們在12月27日之前就已經為Accellion軟件安裝了一系列補丁。但到今年1月23日，“Accellion緊急通知又發(fā)現(xiàn)了新的漏洞，因此之前12月安裝的補丁起不到保護作用。”在之后嘗試繼續(xù)更新軟件后，新加坡電信的系統(tǒng)中出現(xiàn)了“異常警報”，最終證明確實存在這一安全漏洞。

　　Title

　　漏洞曝光就宣布淘汰，老舊產品該如何保障業(yè)務連續(xù)性？

　　Accellion公司一位發(fā)言人在聲明中表示，他們正與外部調查人員合作，共同評估初始黑客攻擊活動與新近發(fā)現(xiàn)的漏洞。該公司還強調，他們將幫助客戶在4月30日之前使用Kiteworks這一相對較新的產品替換掉原有FTA軟件，之后也不再提供FTA續(xù)訂許可證。

　　網絡專家們認為，這種直接淘汰舊有工具的行為，往往代表軟件供應商早已悄悄叫停了更新投入。

　　Accellion公司在今年2月1日表示，他們過去三年以來一直鼓勵客戶們改用Kiteworks，并宣稱這款新工具擁有“最新的安全架構、嚴密的安全開發(fā)流程。”但新加坡電信在違規(guī)披露網站上提到，Accellion公司直到今年1月28號才明確公布FTA的“終止”日期。

　　Accellion公司發(fā)言人拒絕評論以上客戶言論，也沒有就正式終止FTA一事做出回應。官方僅表示，“在評估完成之后，我們將分享更多信息?！?/p>

　　安全專家們指出，繼去年得克薩斯州軟件供應商SolarWInds黑客事件影響到至少9家聯(lián)邦政府機構與100多家私營企業(yè)之后，本次事件的曝光徹底激怒了安全審查業(yè)界。

　　負責企業(yè)安全狀況評估的網絡廠商SercurityScorecard有限公司總顧問Sachin Bansal認為，針對Accellion的此次攻擊活動“相當于迷你版的SolarWinds事件?！?/p>

　　標準普爾全球市場情報部門451 Research信息安全研究主管Scott Crawford則認為，管理與安全團隊應該就軟件升級時間表做好協(xié)調，避免業(yè)務中斷并盡可能降低風險。

　　Crawford總結道，“如今，企業(yè)已經高度依賴于第三方供應商。如果不立即給予高度關注，未來一定會鬧出更大的麻煩?！?/p>