趋势与观点 | MOVEit Transfer漏洞事件的教训与应对策略

IT领域的新兴技术使风险管理成为现代组织不可或缺的一个方面。随着数字化革命持续加速,网络风险的威胁比以往任何时候都更为严峻。最近针对广泛使用的文件传输软件MOVEit Transfer的全球黑客活动就是体现日益互联的世界所面临威胁的一个典型例子。

MOVEit Transfer是组织中流行的工具,对这些组织来说,敏感信息的安全传输至关重要。该软件通常用于共享敏感数据,包括银行贷款申请的财务记录。然而,MOVEit Transfer最近成为一场大规模全球黑客活动的焦点。受害者包括美国能源部(DOE)和其他几个美国联邦机构。两个DOE实体的数据被泄露:橡树岭联合大学(美国田纳西州)和废物隔离试验厂(WIPP)(美国新墨西哥州卡尔斯巴德),这是一个处理国防相关核废物的设施。英国能源巨头壳牌公司、佐治亚大学系统(美国佐治亚州亚特兰大)和约翰斯·霍普金斯大学(美国马里兰州巴尔的摩)也被黑客通过MOVEit Transfer软件渗透了其系统。一个与俄罗斯有关的勒索组织Cl0p声称对此次黑客攻击负责。它利用了MOVEit Transfer软件中的一个安全漏洞,该漏洞仅在一个月前由MOVEit Transfer的制造商Progress software发现。

MOVEit Transfer事件清楚地提醒人们IT风险的多方面性质。它强调了管理各种IT风险来源(包括安全漏洞和数据泄露)以及了解监管合规性的重要性。

安全漏洞

黑客活动利用了MOVEit Transfer软件中的一个已知漏洞。这说明了识别和修补软件漏洞作为IT风险管理的一个关键方面的重要性。未修补的软件本质上是一扇敞开的门,网络犯罪分子可以利用它进入组织的网络。持续监控和及时修补应该是填补任何安全漏洞的首要任务。

数据泄露

这次泄露具有深远的影响。对于管理美国核基础设施和能源政策的DOE和拥有全球能源利益的壳牌等实体来说,与数据泄露相关的风险是巨大的。数据泄露可能导致敏感信息丢失,从而影响企业的竞争地位甚至国家安全。保护敏感信息的重要性不容低估。采用加密、网络分割和监控敏感信息的访问是降低这一风险的关键策略。

监管合规性

与MOVEit Transfer泄露有关的实体也面临监管合规风险。不遵守数据保护法可能会导致严厉的处罚和声誉损害。因此,各组织应确保全面了解适用于其行业的法律和监管要求,并遵守这些标准。

降低IT风险的策略

为了解决IT风险的复杂性和严重性,组织必须采用多管齐下的方法进行IT风险管理。这应包括定期进行IT风险评估,以识别和评估风险。国际标准化组织(ISO)标准ISO 27001等标准也可用于标准化和指导组织网络安全工作。

以下IT风险领域并非控制措施的详尽清单,而是需要特别关注的常见差距。

第三方风险管理

定期评估第三方供应商的安全态势至关重要。在MOVEit案例中,第三方软件成为了泄露的源头。执行严格的供应商评估和监控供应商至关重要。
  • 供应商安全评估

    对供应商进行全面的安全评估,以评估其安全实践,并确保其符合组织标准。

  • 合同协议

    在与供应商签订的合同中包含安全条款,确保供应商有义务遵守安全最佳实践。

  • 持续监控

    保持对第三方供应商的持续监控,以观察任何安全事件或其安全态势的变化。

云安全

如果使用云服务,企业应确保共享责任模型得到理解和利用,并且云配置是安全的。定期监控和审计云环境非常重要。

  • 理解共享责任模式

    共享责任模型描述了云服务提供商和用户的安全义务。提供商负责云的安全,而用户负责云中的安全。用户必须保护其数据、应用程序和凭据的安全。

  • 云配置管理

    定期审查和管理云配置,以确保安全设置与最佳实践保持一致。

  • 访问控制

    对云环境实施严格的访问控制,以最大限度地降低未经授权访问的风险。

持续漏洞管理

建议各组织对漏洞进行持续监测,并及时应用补丁和更新。它不仅要识别漏洞,还要及时缓解,这有助于减少黑客的机会之窗。

  • 定期扫描

    定期对系统和应用程序进行漏洞扫描。

  • 补丁管理

    创建一种系统化的方法,用于向系统和应用程序部署修补程序和更新。

  • 风险评估

    评估与已识别漏洞相关的风险,并根据风险级别确定补丁的优先级。

数据加密和安全传输

敏感数据应加密,无论是在静止状态还是在传输过程中。此外,采用安全的文件传输协议可以确保在发生数据拦截的情况下,信息保持安全。

  • 加密算法

    使用强大的加密算法来保护敏感数据。

  • 密钥管理

    正确管理加密密钥,以确保只有经过授权的个人才能解密数据。

  • 安全传输协议

    使用安全传输协议,如安全文件传输协议(SFTP)或超文本传输协议安全(HTTPS)传输敏感数据。
     

频繁备份

数据应定期备份,组织必须确认此类备份是安全的。这确保了在网络事件导致数据丢失的情况下,可以从安全的来源恢复数据。

  • 备份计划

    制定定期备份计划,以确保数据得到一致备份。

  • 备份加密

    加密备份以添加额外的安全层。

  • 备份测试

    经常测试备份,以确保可以有效地恢复数据。

员工培训和意识

员工往往是安全方面最薄弱的环节。定期开展培训和提高认识计划可以确保员工识别漏洞或网络钓鱼企图的迹象,并知道如何应对。

  • 安全意识计划

    实施安全意识计划,教育员工了解最新的网络威胁和最佳实践。

  • 网络钓鱼模拟

    进行网络钓鱼模拟,以测试员工识别网络钓鱼企图的能力。

  • 明确的报告程序

    建立报告可疑安全事件的明确程序。

事件响应计划

精心制定的事件应对计划是不可协商的。这确保了组织能够快速有效地应对事件并减轻损失。

  • 事件响应小组

    建立一个专门的事件响应小组,负责处理安全事件。

  • 响应程序

    针对不同类型的事件制定详细的响应程序。

  • 定期演习

    各组织应定期进行事件响应演习,包括其IT部门、网络安全团队和其他相关单位,以确保对任何安全事件做好全面准备。

法律法规遵从性

组织必须确保其符合所有适用的法律法规。这包括理解和遵守数据保护法规。

  • 了解法规

    企业必须能够理解与其所在行业和地点相关的法律和监管要求。

  • 数据保护策略

    制定和实施符合《欧盟通用数据保护条例》(GDPR)或《美国健康保险便携性和责任法案》(HIPAA)等法规的数据保护政策。

  • 定期审计

    定期进行审计,以确保符合法律法规要求。

结论

MOVEit Transfer事件为IT风险管理的重要性和复杂性提供了宝贵的教训。从这一事件的角度来看,各组织显然必须保持警惕和积极主动。通过一种多方面的方法,包括持续监控、员工培训、遵守法规遵从性和协作,组织可以驾驭IT风险的危险水域。在数据成为新石油的时代,确保数据的安全至关重要。正如美国教授兼计算机科学研究人员吉恩·斯帕福德所说,“唯一真正安全的系统是关闭电源,浇筑在混凝土块中,并由武装警卫密封在铅内衬的房间中。”

现实中,系统必须是活跃的。关键是要确保它们尽可能安全。IT风险不仅仅是一个IT问题,它还是业务关键型的优先事项。当今的管理层必须培养网络安全意识,并确保建立健全的系统和协议。当我们在这个数字时代向前迈进时,让我们从过去的事件中汲取智慧和教训,并下定决心建设一个更安全的未来。

编者按:本文于2024年1月30日首次发表于ISACA官网News and Trends/Industry News。尾注略。文章内容仅代表作者本人观点。 

作者:MIKE BOUTWELL,CISA,CGEIT,CISSP,ISO 27001 SLI/SLA,ISO 27031 SLCM,ISO 38500 SLITCGM,是一位经验丰富的网络安全专业人士,在该领域拥有超过15年的经验。曾在思科、AT&T、IBM、Kyndryl、First Data和欧洲结算系统等领先组织中担任重要职务。

翻译:杨皓然(AdySec),CISSP,CISM,CISA,CDPSE,CRISC,CGEIT,PMP,CCSK,CZTP,CDSP,CCSSP,RHCA,CCNP,ISO27001 Auditor,ISACA微信公众号特邀通讯员,CSA高级会员,ISC2北京分会会员,致力于云安全、零信任、数据安全、安全运营等方向。

校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC,ISACA微信公众号特邀通讯员,华侨银行信息安全和数字化风险经理。