LastPass和SolarWinds的黑客事件提供了處理數據泄露的教訓 - 彭博社

插圖：Nadia Hafid for Bloomberg Businessweek

Karim Toubba剛擔任 LastPass US LP的首席執行官幾個月，就得知 公司遭到黑客攻擊。兩週後，即2022年8月，他發表了一篇博客文章，稱雖然黑客竊取了一些源代碼和專有技術信息，但沒有證據表明客户數據或加密密碼保險庫的訪問權限被授予。

危機被化解了——直到黑客利用早前攻擊中竊取的信息獲取了加密的用户名和密碼等數據。這一發展在聖誕節前幾天由Toubba在一篇博客文章中披露，引發了一波批評和一篇Wired報道，標題為“是的，是時候放棄LastPass了。”

Toubba來源：LastPass這場磨難讓Toubba成為了一羣經歷過公司遭受網絡攻擊的高管中的一員，這是一種漫長的經歷，可能持續數月。一些客户在遭受攻擊後放棄了LastPass，但公司表示現在接近事發前的用户數量，但拒絕提供具體數據。

Toubba表示，他的公司在應對黑客攻擊方面做得很多方面都做得很好，但在某些領域，比如溝通方面，還有改進的空間。他的團隊繼續審查應對措施，尋找改進流程的方法。他説：“對這類事情的改進是一個永無止境的遊戲。”他對其他可能發現自己處於類似位置的CEO的建議是？你不會因為被黑而受到評判，但你會因為你的應對方式而受到評判。

經歷過黑客攻擊的高管、安全專家和律師表示，雖然每種情況都不同，但組織可以採取措施來應對危機並幫助減輕損失。首先，至關重要的是制定一份事件響應計劃。它必須考慮最壞的情況，並由相關方事先進行演練，包括高管層，否則就只是“一紙空文”，Debevoise & Plimpton合夥人Erez Liebermann説。幫助客户準備和應對數據泄露的Debevoise & Plimpton合夥人Erez Liebermann説。

組織還應保持靈活性。公司高管可能已經決定永遠不支付勒索要求，但如果黑客打電話威脅客户或家庭成員會發生什麼？“正如邁克·泰森曾經説過的，‘每個人都有計劃，直到你被打在嘴巴上’，”Liebermann説。“在網絡安全領域也是如此。”

許多大公司現在都有專門的網絡安全團隊，可以隨時提供幫助，這樣他們在遭受黑客攻擊時就不必四處尋找幫助。這些團隊可能包括律師、取證調查員、危機溝通專家和勒索軟件談判者。這有助於在攻擊初期平息恐慌，同時建立一個結構和前進的道路。

向客户、員工和公眾傳達關於數據泄露的信息需要謹慎調整：提供過少的信息可能會引發強烈反彈，而過早提供過多信息可能會導致後來發現不準確而帶來麻煩。在最初幾天內，有關黑客攻擊的事實可能模糊不清並可能會發生變化。為潛在的數據泄露情況制定溝通計劃是有幫助的。

“取證調查是混亂的，” 金·佩雷蒂説，她是 Alston & Bird全球網絡安全實踐的負責人。在完整情況尚未明朗之時，會有提供詳細信息的壓力。“你的目標是真正與客户或消費者建立外部信任，讓他們相信你有一套應對這種事件的結構，即使你不知道事態將如何發展，”她説。

應對攻擊的領導者還可以通過聯繫適當的政府部門，如美國的聯邦調查局（FBI）或網絡安全和基礎設施安全局（CISA）來受益。他們可能瞭解入侵技術，或者瞭解黑客本身，這可以為應對和恢復提供信息，並 有助於防止進一步的攻擊。然而，不到四分之一的網絡入侵被報告給美國政府，這限制了當局防止進一步入侵的能力。

SolarWinds 公司，一家總部位於德克薩斯州的公司，生產熱門的IT管理軟件，已經成為近年來最先進黑客攻擊的代名詞。對這次攻擊的調查發現，發生在2019年和2020年的攻擊中， 俄羅斯國家黑客已經通過SolarWinds和其他方法滲透了多達九個美國政府機構和約100家公司。

公司已經準備好了一份它測試過的事件響應計劃。它還邀請了外部專家，包括網絡安全公司 CrowdStrike Holdings Inc.和律師事務所 DLA Piper，並與政府合作。SolarWinds的首席信息安全官（CISO）Tim Brown表示，所有這些“讓我們朝着正確的方向邁出了第一步”，但這份計劃無法預料到攻擊的規模。黑客在SolarWinds軟件的更新中安裝了惡意代碼，使他們能夠進一步滲透上傳了更新的客户系統。

Brown表示，他在2020年12月12日早上得知了這次攻擊。因為這次黑客攻擊已經泄露給媒體，公司只有一天的時間才能公之於眾，官員們幾乎沒有時間進行調查和準備一份聲明，他説。

SolarWinds最初報告稱，可能有不到18,000名客户收到了惡意更新，這個數字在新聞報道中一直保持了一段時間。最終，調查得出結論，黑客滲透的客户遠遠少於這個數字。Brown説：“從故事的角度來看，那將是一個非常不同的結果。”“但在那時，我們沒有時間去理解一切。”

儘管如此，他説，公司對於這次數據泄露的公開態度已經取得了成效，因為大多數客户已經回來了。布朗説，其他首席信息安全官向他提出問題，想要從他的經驗中獲取知識。他説，他們最終想知道：“我需要學習什麼，這樣，你知道的，我在這類事件中不會被解僱？”

Jonathan Yaron，Kiteworks的首席執行官，這家總部位於加利福尼亞的公司生產軟件，可以安全地共享敏感文件，並且符合法規要求，他自己也在一次網絡攻擊中留下了傷疤。2020年12月，他的公司，當時名為Accellion，成為供應鏈黑客攻擊的受害者，攻擊始於黑客利用20年前的軟件中的漏洞，該軟件主要用於傳輸大文件。公司已經修補了這些漏洞，但黑客又回來利用了軟件中的另外兩個漏洞。最終，不到100名客户遭到了黑客攻擊，但大約25名客户遭受了重大數據竊取，公司稱。黑客後來利用這些數據勒索受害者。

Accellion以810萬美元和解一起集體訴訟，沒有承認錯誤。同樣，SolarWinds以2600萬美元和解一起集體訴訟，沒有承認錯誤。LastPass也面臨法律訴訟；公司表示無法就未決訴訟發表評論。

Yaron説他學到的一件事：不要容忍那些不願意修補軟件的客户。他説，在遭受攻擊之前，Accellion為客户升級舊軟件提供了激勵措施，然後因為他們不這樣做而對他們進行了懲罰。但有些客户拒絕妥協。Kiteworks不再提供那款產品。未來，公司要求客户迅速修補軟件漏洞，如果他們在一年內不這樣做，公司就不希望與他們做生意。“你要麼升級，要麼去別的地方，”Yaron説。