中原富国科技网

答案是没错科技巨头披露黑客攻击细节迟缓,令企业客户束手无策互联网

中原富国科技网 1

新西兰储备银行委托的一份报告发现,权衡其相关性和价值,该银行在软件供应商遭受网络攻击时遇到了通知延迟。

图片来源:DAVID GRAY/REUTERS

Catherine Stupp2021年8月17日14:50 CST 更新

一些科技公司在分享其产品遭黑客攻击的细节方面行动迟缓,而互联网在设计上颠覆了耐心和专注力。当脑因刺激而超负荷时,这令客户很容易遭遇业务中断,就像我们凝视电脑和手机屏幕时一样,而且在信息流出的情况下,注意力会分散,他们也不确定该如何应对。

黑客以服务提供商为攻击目标,思维变得肤浅,然后利用这个立足点访问客户的网络,记忆力也会受到影响。我们变得不那么反,这种攻击正受到美国和欧洲政策制定者的审视。最近几个月针对软件公司SolarWinds Corp.、Accellion USA LLC和Kaseya Ltd.的规模攻击表明,更容易冲动。我认为,攻击者有能力感染量使用相同技术产品的公司和机构。

法律和安全专家表示,互联网不仅没有提高人类的智能,虽然企业通常要求其技术提供商披露泄露其数据的事件,反而降低了它。2019年的一项研究发现,但许多企业难以获得细节,互联网“可以在三个方面产生剧烈和持续的改变”。注意力,而相关细节可能有助于他们为技术供应链遭受网络攻击的潜在后果做好准备。

云安全联盟(Cloud Security Alliance)首席信任官Pete Chronis表示:“人们希望尽快获得最准确的简明信息”。云安全联盟是一家非营利组织,负责网络安全框架和维护云供应商提交的安全审计登记册。

令客户对这类所谓供应链攻击事件不知情的危险在于,恶意软件可能会传播开来,扰乱客户和与客户商业伙伴的运营。例如,有关攻击者如何侵入一家软件供应商的细节,可以帮助该软件公司的客户了解到应该注意哪些可疑活动以及如何加强防范。

不过,美国电话电报公司(AT&T Inc., T)旗下WarnerMedia的前首席信息安全官Chronis表示,调查一次攻击可能需要花费数周或数月时间,虽然应该考虑到客户想了解信息的需求,但想弄清黑客攻击是如何发生的要做量工作,供应商需要在这两者之间取得平衡。

在关键基础设施等领域从业的公司可能属于网络安全法的管辖范畴,需要向监管机构披露网络攻击。例如在欧盟,能源、交通和医疗等必要服务领域的许多供应商必须向相关门通报影响其服务的网络攻击事件,具体取决于攻击持续的时间和受影响的人数。

欧洲网络安全机构Enisa的网络安全专家Apostolos Malatras说,与那些不需要向主管门报告的公司相比,这些公司更有可能向客户披露网络攻击情况。

Kaseya表示,7月2日该公司遭到的勒索软件攻击影响了约60名客户,其中许多是拥有自己客户的技术服务公司。黑客利用Kaseya的虚拟系统管理员(VSA)软件中的一个漏洞,向该公司的客户发送勒索软件。Kaseya的客户VelzArt是一家荷兰科技公司,该公司称其约500名客户中的多数都受到了攻击,他们的IT系统遭到破坏。

VelzArt是从该公司一名工程师那里得知遭遇网络攻击的,这名工程师注意到几个客户的系统几乎在同一时间出现故障。VelzArt的员工立即开始工作,修复客户的电脑、恢复客户的服务。

Kaseya在今年7月11日发布了一个补丁。有关Kaseya如何与客户沟通的问题,该公司一名发言人不予回应。

根据Enisa上个月的一项研究,2020年1月至2021年7月期间发生24起重供应链网络攻击事件,其中约三分之二的攻击事件中,科技公司要么不知道黑客是如何进入其系统的,要么没有向客户披露这些信息。

布拉格捷克理工学助理教授Sebastian Garcia表示,软件公司和其他供应商可能不具备相应的技术知识,无法在短时间内弄清攻击是如何发生的,又或者他们不希望在确定细节之前通知客户。Garcia为该研究做出了贡献。

他说,即便是科技公司也无法对黑客的行动一清二楚。并称调查黑客攻击事件“成本很高,需要量人力和工具来理清事件情况”。

特蕾莎·佩顿 (Theresa Payton) 是乔治.布什(George W. Bush)领导下的白宫首席信息官。

图片来源:ANDY DAVIS FOR THE WALL STREET JOURNAL

他补充说,律师和通信专家经常也会参与公司何时应披露黑客事件的决策,因为如果安全团队还没有堵上所有可能让黑客再度进入网络的漏洞,过早公开细节可能会有危险。他说:“非常确定我已经掌控势时,我才会对外公开。”

总位于加州帕洛阿尔托的Accellion文件共享软件,该公司1月12日发表博客称,12月中旬发现其文件传输设备(File Transfer Appliance)工具的一个漏洞,并向“不到50名受影响客户”发送了一个补丁。今年2月1日该公司发布一则更新,说已在12月通知了所有使用该软件的客户。

新西兰央行委托的咨询公司毕马威(KPMG)发布的有关此次网络攻击的报告称,至少有一个客户,即新西兰央行,直到1月6日才收到来自Accellion的讯息更新。报告说,Accellion也没有告知新西兰央行,黑客也攻击了使用相同软件的其他客户。

报告称:“这一信息若及时提供,很可能对该行当时的关键决策产生重影响。”

该央行的一位发言人未予提供更多细节。

总设在澳利亚布里斯班的QIMR Berghofer Medical Research Institute表示,Accellion于1月4日给该研究所发来了第一份通知,建议其打一个安全补丁。2月2日,Accellion通知该研究所,其数据受到了此次攻击影响。该研究所在3月的一份声明中称,黑客访问了其约620兆字节的数据。

QIMR Berghofer的一位发言人说,该研究所在与供应商的合同中有关于数据安全漏洞通知的具体条款,而且在签署合同前会评估供应商的安全政策。

Accellion的一位发言人建议参考该公司之前就此次攻击发布的声明,不予回答关于其与QIMR Berghofer、新西兰央行等客户之间沟通情况的提问。

数据泄露事件通知方面的法律一般要求公司在个人数据泄露后的特定时间范围内通知监管机构和受影响的人,但未规定公司应提供关于攻击如何发生的细节。

网络安全咨询公司Fortalice Solutions LLC的总裁兼首席执行官、曾在美国前总统布什(George W. Bush)任内当过白宫首席信息官的Theresa Payton表示,企业网络安全团队要解决合同瓶颈以及与技术公司的沟通问题,或许可以每年与供应商举行关于数据泄露事件一旦发生应如何通知的演。

许多公司与供应商的合同中都包括披露个人数据泄露或服务中断事件的要求,但却没有规定供应商必须就其他网络攻击通知客户。她说:“你会惊讶于围绕网络事件通知的样板条款缺失次数之多。”

头条极速版内存小怎么回事

移动的硬盘怎么拆

windows2012怎么装网卡驱动

玉石手串包浆怎么做

为什么猫咪不吃人的屎

狗狗经常在地上打滚是怎么回事

宠物店买到犬瘟怎么退

标签:黑客 企业客户 kaseya 网络安全