比如，在工作中無意中挖到一個(gè)0Day漏洞時(shí)，是偷偷高價(jià)轉(zhuǎn)賣還是上報(bào)給公司？當(dāng)發(fā)現(xiàn)某家客戶疑似被勒索攻擊是，是第一時(shí)間趕往現(xiàn)場(chǎng)應(yīng)急還是束手一旁觀望形勢(shì)？或許在這些選擇面前邁錯(cuò)一步，就會(huì)墜入深淵。無疑，本文中的Uber前首席安全官約瑟夫·沙利文就是擺在面前的前車之鑒。

　　2016年的時(shí)候，美國(guó)網(wǎng)約車巨頭優(yōu)步（Uber）發(fā)生了一起重大黑客攻擊事件，這一安全事件的余波直到今天還沒有完全終結(jié)。

　　2022年10月，美國(guó)聯(lián)邦法院陪審團(tuán)對(duì)Uber前首席安全官約瑟夫·沙利文（Joseph Sullivan）一案作出裁定——沙利文因?yàn)樵嫦酉蛎绹?guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）掩蓋Uber在2016年發(fā)生的數(shù)據(jù)泄露事件，被裁定為妨礙司法公正罪和隱瞞罪行罪，可能面臨最高5年和最高3年的牢獄之災(zāi)。

　　5700萬(wàn)條隱私數(shù)據(jù)遭竊取

　　首席安全官選擇交錢保平安

　　據(jù)了解，這一案件起源于Uber收到的一封匿名電子郵件，兩名黑客在郵件中表示其發(fā)現(xiàn)了Uber的安全漏洞，能夠利用其遺留的數(shù)字密鑰進(jìn)入公司的亞馬遜數(shù)據(jù)庫(kù)，從而成功入侵Uber數(shù)據(jù)庫(kù)并竊取了5700萬(wàn)條Uber司機(jī)和乘客的個(gè)人信息。

　　得知這一消息后，約瑟夫·沙利文領(lǐng)導(dǎo)的安全團(tuán)隊(duì)試圖掩蓋這一安全事件可能造成的不利影響，為了以合法的方式確保黑客不聲張此事，沙利文以發(fā)現(xiàn)安全漏洞賞金的名義向黑客支付了價(jià)值10萬(wàn)美元的比特幣，并與黑客簽訂保密協(xié)議。保密協(xié)議中注明，該黑客并未獲取或存儲(chǔ)任何Uber用戶資料。

　　但該案最終還是遭到曝光，警方抓獲了兩名實(shí)施勒索的黑客后，同時(shí)也對(duì)沙利文提起了公訴，負(fù)責(zé)該案的檢察官稱，Sullivan滿足了黑客的勒索要求，與犯罪分子達(dá)成了保密協(xié)議，對(duì)其違法行為保持沉默。與此同時(shí)，沙利文將對(duì)安全勒索的付款行為偽裝成漏洞賞金，并為此做出虛假陳述，給警方偵辦案件造成了不利影響。

　　美國(guó)司法部表示，沙利文本可以選擇在24小時(shí)向執(zhí)法機(jī)構(gòu)報(bào)告，但沙利文選擇了隱瞞此次被攻擊事件。因沙利文故意隱瞞使得執(zhí)法人員沒有注意到之前的數(shù)據(jù)泄露事件，黑客又再次成功入侵了其他公司的用戶數(shù)據(jù)庫(kù)。

　　該案的檢察官認(rèn)為，公司有義務(wù)保護(hù)其所收集的數(shù)據(jù)，并在這些數(shù)據(jù)被黑客竊取時(shí)提醒客戶和警方。但有些企業(yè)高管更關(guān)心自己和企業(yè)的聲譽(yù)，而非保護(hù)用戶安全，從而選擇對(duì)公眾隱瞞重要信息，為了自身利益將用戶個(gè)人信息置于危險(xiǎn)中，這樣的行為理應(yīng)受到懲處。

　　事實(shí)上，由于大部分網(wǎng)絡(luò)安全團(tuán)隊(duì)在應(yīng)對(duì)黑客事件的問題上的模糊態(tài)度，類似于Sullivan支付安全贖金的事件屢見不鮮。Bugcrowd創(chuàng)始人Casey Ellis明確表明，絕不止Uber一家公司利用漏洞賞金計(jì)劃掩蓋了根據(jù)法律法規(guī)，本應(yīng)披露的安全問題。安全公司Critical Insight創(chuàng)始人Michael Hamilton也表達(dá)同樣的觀點(diǎn)：“支付漏洞勒索贖金，實(shí)際上比大眾所認(rèn)知的更為普遍。”

　　優(yōu)步案件殷鑒不遠(yuǎn)

　　在勒索攻擊面前應(yīng)如何應(yīng)對(duì)？

　　據(jù)Check Point 的一份報(bào)告顯示，2021年支付的勒索贖金已超過6.02億美元，其中僅支付給Conti一家就高達(dá)1.8億美元，但報(bào)告認(rèn)為實(shí)際數(shù)據(jù)可能比已記錄數(shù)據(jù)還要高。

　　該報(bào)告提出了一個(gè)觀點(diǎn)：即使組織支付了贖金，或許也無法避免進(jìn)一步的經(jīng)濟(jì)損失，一方面，在使用來自攻擊者解密密鑰恢復(fù)被加密數(shù)據(jù)和業(yè)務(wù)系統(tǒng)時(shí)也需要花費(fèi)大量的時(shí)間；另一方面，支付贖金并無法保證攻擊者已經(jīng)全部刪除竊取的數(shù)據(jù)，泄露數(shù)據(jù)仍然存在被公開，甚至被反復(fù)勒索的風(fēng)險(xiǎn)。

　　在安全419此前就“在勒索攻擊面前，除了支付贖金還能怎么做？”的話題與業(yè)界專家進(jìn)行交流時(shí)，安全專家們分享了來自各家的解決方案，但縱觀當(dāng)前各家提出的勒索攻擊防御方案中，數(shù)據(jù)備份+網(wǎng)絡(luò)安全保險(xiǎn)似乎正在成為主流思路。（延伸閱讀：安全419盤點(diǎn) | 2022年第三季度勒索軟件攻擊形勢(shì)與應(yīng)對(duì)建議）

　　為了更好的幫助大家應(yīng)對(duì)勒索攻擊，我們匯總了以下建議與大家分享（注。以下建議來源于安全419《勒索攻擊解決方案》系列訪談中我們與多家知名網(wǎng)絡(luò)安全企業(yè)（綠盟科技、天融信、安恒信息、奇安信、深信服、CloudWonder 嘉云、威努特）交流總結(jié)所得）。

　　1

　　企業(yè)不斷的成長(zhǎng)和新技術(shù)的廣泛應(yīng)用，進(jìn)一步加劇了安全風(fēng)險(xiǎn)和暴露面，鑒于安全重要性正在日益提升，設(shè)立專職崗位（如CSO）負(fù)責(zé)統(tǒng)籌全面的IT安全風(fēng)險(xiǎn)管理，是應(yīng)對(duì)以勒索攻擊為首的網(wǎng)絡(luò)安全建設(shè)的重要前提；

　　2

　　真實(shí)勒索案例中，絕大多數(shù)勒索攻擊源于員工的意識(shí)疏忽所造成。企業(yè)一方面需系統(tǒng)的開展安全意識(shí)培訓(xùn)工作，同時(shí)應(yīng)針對(duì)具體的安全事件進(jìn)行日常演練，以在攻擊發(fā)生時(shí)最大化降低企業(yè)生產(chǎn)運(yùn)營(yíng)損失；

　　3

　　同時(shí)安全意識(shí)應(yīng)延伸至企業(yè)外部，這對(duì)大型生產(chǎn)制造業(yè)尤為重要，比如企業(yè)將IT運(yùn)維承包給第三方機(jī)構(gòu)，還有涉及龐大供應(yīng)鏈當(dāng)中的任何一環(huán)。可以以安全合約為抓手，建立安全責(zé)任制，強(qiáng)化外部的安全風(fēng)險(xiǎn)管理；

　　4

　　安全基線必不可少，利用專業(yè)安全廠商提供的防御、檢測(cè)類產(chǎn)品為勒索病毒設(shè)置重重障礙，可降低80%以上被勒索攻擊的可能性。其中終端安全更是重中之重，大量案例證明，特別是國(guó)內(nèi)，終端缺乏安全防護(hù)是造成勒索加密的主要原因；安全基線產(chǎn)品或服務(wù)以威脅情報(bào)建立防御機(jī)制，也是應(yīng)對(duì)勒索組織不斷變化趨勢(shì)的有力抓手；

　　5

　　勒索攻擊最終指向的是系統(tǒng)、應(yīng)用和數(shù)據(jù)，對(duì)于處于數(shù)字經(jīng)濟(jì)時(shí)代的我們，如何讓數(shù)據(jù)在各業(yè)務(wù)線上安全流通已成當(dāng)務(wù)之急。《數(shù)據(jù)安全法》催生了數(shù)據(jù)安全產(chǎn)業(yè)的迅猛發(fā)展，以數(shù)據(jù)保護(hù)為抓手，應(yīng)對(duì)勒索攻擊已是可行方案；

　　6

　　產(chǎn)品服務(wù)化趨勢(shì)，企業(yè)限于沒有專業(yè)的運(yùn)維人員來管理網(wǎng)絡(luò)安全，會(huì)存在即使部署了安全產(chǎn)品也沒有得到有效利用，這是廣泛存在的現(xiàn)狀問題，大中型企業(yè)尚能自行解決問題，小型企業(yè)問題更為明顯?，F(xiàn)在安全企業(yè)也注意到了這一問題，安全托管服務(wù)可以幫助企業(yè)解決這一難題；

　　7

　　企業(yè)應(yīng)該認(rèn)識(shí)到針對(duì)性地勒索攻擊致使數(shù)據(jù)加密，當(dāng)前技術(shù)上是無法恢復(fù)的，應(yīng)該立即著手?jǐn)?shù)據(jù)備份工作，且強(qiáng)化數(shù)據(jù)備份的隔離加密，始終讓備份數(shù)據(jù)保持高可用性。對(duì)于生產(chǎn)經(jīng)營(yíng)性質(zhì)企業(yè)，為了追求業(yè)務(wù)的持續(xù)運(yùn)營(yíng)，容災(zāi)備份解決方案已成為他們的最佳選擇，該方案在保證數(shù)據(jù)高可用前提下，可支持系統(tǒng)在異地迅速再生；

　　8

　　企業(yè)承擔(dān)勒索攻擊所致?lián)p失的程度并不相同，為了避免遭受滅頂之災(zāi)，可以考慮從網(wǎng)絡(luò)安全保險(xiǎn)一側(cè)切入防范。網(wǎng)絡(luò)安全保險(xiǎn)在國(guó)外相對(duì)成熟，在國(guó)內(nèi)發(fā)展尚處起步階段，但未來應(yīng)用的趨勢(shì)明顯。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<