與SolarWinds事件類(lèi)似，Accleion入侵同樣給供應(yīng)鏈漏洞敲響警鐘。

　　新西蘭儲(chǔ)備銀行行長(zhǎng)Adrian Orr表示，Accellion在遭遇黑客攻擊后并未第一時(shí)間上報(bào)。

　　近期網(wǎng)絡(luò)犯罪組織FIN11針對(duì)美國(guó)軟件公司Accellion旗下文件共享產(chǎn)品FTA的大規(guī)模網(wǎng)絡(luò)攻擊，已導(dǎo)致美國(guó)華盛頓州審計(jì)署、新西蘭儲(chǔ)備銀行、澳大利亞證券和投資委員會(huì)、新加坡電信巨頭Singtel等近百家政企機(jī)構(gòu)敏感數(shù)據(jù)泄露。該事件再次引發(fā)了安全專(zhuān)家對(duì)供應(yīng)鏈攻擊的擔(dān)憂，其中撲朔迷離的響應(yīng)過(guò)程也暴露出及時(shí)防御供應(yīng)鏈攻擊的現(xiàn)實(shí)難度。

　　已經(jīng)有不少受影響客戶(hù)披露了被攻擊時(shí)間表，并強(qiáng)調(diào)軟件補(bǔ)丁沒(méi)能像Accellion宣稱(chēng)的那樣及時(shí)發(fā)布到位。有安全專(zhuān)家提到，專(zhuān)為客戶(hù)處理敏感信息的律師事務(wù)所Jones Day已經(jīng)確認(rèn)受到影響。換而言之，即使從未使用Accellion軟件產(chǎn)品的組織，同樣可能遭受此次事件的殃及。

　　FTI 咨詢(xún)公司網(wǎng)絡(luò)安全負(fù)責(zé)人Anthony J. Ferrante表示，種種實(shí)際影響很可能在受害者群體中引發(fā)復(fù)雜的反應(yīng)，最終掀起一大波相互指責(zé)、相互推諉的法庭群戰(zhàn)大戲。曾多次在此類(lèi)企業(yè)訴訟中擔(dān)任專(zhuān)家證人的Ferrante認(rèn)為，“一切只是開(kāi)始，后面的嘴炮大戰(zhàn)將不可避免?！?/p>

　　Title

　　撲朔迷離的漏洞響應(yīng)時(shí)間線

　　位于美國(guó)加州的Accellion公司在1月12號(hào)發(fā)布的博文上提到，他們于去年（2020年）12月中旬首次發(fā)現(xiàn)File Transfer Appliance（FTA）軟件中存在安全漏洞。這款軟件已經(jīng)擁有20年歷史，專(zhuān)門(mén)用于共享大型文檔。Accellion表示，“官方已經(jīng)修復(fù)了漏洞，并在72小時(shí)內(nèi)向近50家受影響客戶(hù)發(fā)布了補(bǔ)丁包?！?/p>

　　在今年2月1日發(fā)布的更新中，Accellion又強(qiáng)調(diào)他們已經(jīng)于去年12月23日將漏洞消息通報(bào)給“所有FTA客戶(hù)。”

　　Accellion公司還提到，“事件的開(kāi)端是對(duì)Accellion FTA產(chǎn)品發(fā)動(dòng)的一波有組織攻擊，這輪攻勢(shì)一直持續(xù)到2021年1月?！?/p>

　　但一部分受到攻擊影響的客戶(hù)，卻給出了完全不同的時(shí)間線索。

　　美國(guó)華盛頓州審計(jì)署報(bào)告稱(chēng)，攻擊者可能已經(jīng)通過(guò)FTA工具訪問(wèn)到超過(guò)100萬(wàn)失業(yè)救濟(jì)申請(qǐng)者的個(gè)人數(shù)據(jù)。在2月1日的新聞稿中，審計(jì)署稱(chēng)“事件的實(shí)際上報(bào)時(shí)間為1月12日?！?/p>

　　審計(jì)署發(fā)言人Kathleen Cooper在聲明中強(qiáng)調(diào)，Accellion在“接下來(lái)的幾周內(nèi)”才陸續(xù)披露更多相關(guān)消息，審計(jì)署方面也是據(jù)此得出上述結(jié)論。

　　新西蘭中央銀行報(bào)告稱(chēng)，本輪攻擊導(dǎo)致部分文件失竊。新西蘭儲(chǔ)備銀行在此次違規(guī)事件的專(zhuān)項(xiàng)網(wǎng)站上指出，Accellion雖然在去年12月20日就發(fā)布了軟件補(bǔ)丁，但并沒(méi)有立即提醒客戶(hù)的安全團(tuán)隊(duì)安裝這些補(bǔ)丁。

　　新西蘭儲(chǔ)備銀行行長(zhǎng)Adrian Orr在2月9日的聲明中表示，“Accellion并未在5天之內(nèi)及時(shí)對(duì)全球客戶(hù)可能因攻擊受到的影響予以通報(bào)，也未強(qiáng)調(diào)已經(jīng)存在相關(guān)補(bǔ)丁程序可用于阻止事件影響。”

　　鑒于調(diào)查工作仍在繼續(xù)，該銀行一位發(fā)言人拒絕做出進(jìn)一步評(píng)論。

　　大型企業(yè)新加坡電信有限公司報(bào)告稱(chēng)，本輪入侵事件持續(xù)達(dá)數(shù)周，黑客成功竊取到大量數(shù)據(jù)，包括來(lái)自129000名個(gè)人客戶(hù)與23家企業(yè)（涵蓋供應(yīng)商與企業(yè)客戶(hù)）的信息。

　　上周三，新加坡電信表示他們?cè)?2月27日之前就已經(jīng)為Accellion軟件安裝了一系列補(bǔ)丁。但到今年1月23日，“Accellion緊急通知又發(fā)現(xiàn)了新的漏洞，因此之前12月安裝的補(bǔ)丁起不到保護(hù)作用。”在之后嘗試?yán)^續(xù)更新軟件后，新加坡電信的系統(tǒng)中出現(xiàn)了“異常警報(bào)”，最終證明確實(shí)存在這一安全漏洞。

　　Title

　　漏洞曝光就宣布淘汰，老舊產(chǎn)品該如何保障業(yè)務(wù)連續(xù)性？

　　Accellion公司一位發(fā)言人在聲明中表示，他們正與外部調(diào)查人員合作，共同評(píng)估初始黑客攻擊活動(dòng)與新近發(fā)現(xiàn)的漏洞。該公司還強(qiáng)調(diào)，他們將幫助客戶(hù)在4月30日之前使用Kiteworks這一相對(duì)較新的產(chǎn)品替換掉原有FTA軟件，之后也不再提供FTA續(xù)訂許可證。

　　網(wǎng)絡(luò)專(zhuān)家們認(rèn)為，這種直接淘汰舊有工具的行為，往往代表軟件供應(yīng)商早已悄悄叫停了更新投入。

　　Accellion公司在今年2月1日表示，他們過(guò)去三年以來(lái)一直鼓勵(lì)客戶(hù)們改用Kiteworks，并宣稱(chēng)這款新工具擁有“最新的安全架構(gòu)、嚴(yán)密的安全開(kāi)發(fā)流程?！钡录悠码娦旁谶`規(guī)披露網(wǎng)站上提到，Accellion公司直到今年1月28號(hào)才明確公布FTA的“終止”日期。

　　Accellion公司發(fā)言人拒絕評(píng)論以上客戶(hù)言論，也沒(méi)有就正式終止FTA一事做出回應(yīng)。官方僅表示，“在評(píng)估完成之后，我們將分享更多信息。”

　　安全專(zhuān)家們指出，繼去年得克薩斯州軟件供應(yīng)商SolarWInds黑客事件影響到至少9家聯(lián)邦政府機(jī)構(gòu)與100多家私營(yíng)企業(yè)之后，本次事件的曝光徹底激怒了安全審查業(yè)界。

　　負(fù)責(zé)企業(yè)安全狀況評(píng)估的網(wǎng)絡(luò)廠商SercurityScorecard有限公司總顧問(wèn)Sachin Bansal認(rèn)為，針對(duì)Accellion的此次攻擊活動(dòng)“相當(dāng)于迷你版的SolarWinds事件。”

　　標(biāo)準(zhǔn)普爾全球市場(chǎng)情報(bào)部門(mén)451 Research信息安全研究主管Scott Crawford則認(rèn)為，管理與安全團(tuán)隊(duì)?wèi)?yīng)該就軟件升級(jí)時(shí)間表做好協(xié)調(diào)，避免業(yè)務(wù)中斷并盡可能降低風(fēng)險(xiǎn)。

　　Crawford總結(jié)道，“如今，企業(yè)已經(jīng)高度依賴(lài)于第三方供應(yīng)商。如果不立即給予高度關(guān)注，未來(lái)一定會(huì)鬧出更大的麻煩?！?/p>