Bose瞒报勒索软件攻击引发争议

Bose的通报信并未透露Bose遭受哪种勒索软件攻击，也没有指明攻击背后的组织，仅指出该公司经历了复杂的网络事件，攻击者在Bose的环境中部署了恶意软件/勒索软件。

根据安全牛此前的报道，这并非Bose公司首次爆出网络安全事件。2017年，Bose曾因私自采集和销售用户隐私数据遭到起诉（窃听门）；同年趋势科技的的联网音箱安全分析报告显示，Bose的网络音箱产品存在严重安全漏洞，黑客可以完全接管音箱、监听用户甚至发动基于“声音攻击”的钓鱼和社工攻击。

今年4月29日，Bose和取证分析人员确定，勒索软件攻击者设法访问了Bose人力资源内部管理文件；部分员工的社会安全号码、地址和薪酬信息，其中包括六名住在新罕布什尔州的员工。

Bose表示，无法确认此次攻击背后的人员是否将文件或信息从系统中窃走，Bose也未透露是否支付了赎金。

Bose在信中透露，正在与一家私营安全公司和FBI合作，在暗网中搜索任何泄漏的信息，但未发现任何表明其数据已泄漏的迹象。

据悉，发现遭遇攻击后，Bose已经采取以下缓解措施：

• 在端点和服务器上部署了“增强型恶意软件/勒索软件保护”

• 阻止了攻击期间恶意文件的横向移动

• 部署了监视工具以监视后续攻击，识别攻击意图

• 更新防火墙配置、封锁恶意网站和攻击者相关IP

• 更改所有账户密钥

• 更改终端用户和特权用户账户密码

5月19日，Bose还向所有受勒索软件事件影响的人员发信，告知他们保持警惕并监控自己的账户，六名居住在新罕布什尔州的Bose员工还获得了为期12个月的IdentityForce免费身份保护服务。

网络安全专家指出，强制要求遭遇勒索软件攻击的企业通报攻击信息非常重要，这可以帮助其他相关企业及时保护自己免受类似攻击。

Gurucul的首席执行官Saryu Nayyar赞扬Bose公开披露了这次攻击，但指出该公司在信中描述的事件时间表很有问题。

“重要的是及时分享攻击者的动态，以吸引必要主管部门和网络防御专家的关注，减轻攻击的连锁反应。虽然Bose的公告内容相当详尽，但是披露的时间表很令人担忧。Bose在攻击发生一个半月之后才搞清楚哪些数据被非法访问，又过了三周后才开始通知受影响的个人，如此漫长的事件响应周期，攻击者几乎可以对泄漏数据为所欲为。”

其他专家还指出，Bose的响应时间过长，这可能危及受此漏洞影响的其他个人和企业。

Pathlock总裁凯文·邓恩（Kevin Dunne）表示，Bose应当更快地做出反应，对这次袭击承担更多责任，同时还应为如何防止未来攻击制定明确的计划。

Dunne说：

“员工数据是敏感数据，就像与客户、财务或IP相关的数据一样。企业应投资于HRM系统，并确保其具有良好的访问控制和数据丢失防护措施，降低员工数据被泄漏的风险。”

他补充说，对于网络安全攻击的利益相关者来说，人们的态度存在很大分歧。

他解释说，有些公司在报告遭遇的网络攻击时过于谨慎，因为他们想避免吸引进一步的攻击，或者是向勒索软件组织妥协。

但是无论如何，隐私数据遭泄漏的员工应当尽快得到通知，以便他们可以监控受感染帐户中的任何异常活动。

Dunne指出：“股东经常处于两难境地，因为将遭受网络攻击的信息公开通常会对股价产生较大冲击，但另一方面，如果尽早告知公众违规行为，企业可以更好地管理预期。”

nVisium的首席执行官Jack Mannino说，不同的行政区和行业对报告事件有不同的要求。但他敦促所有受攻击的公司主动通知受害者，以免在事后调查中被动。

Shared Assessments的CISO汤姆·加鲁巴（Tom Garrubba）等专家表示，一些公司对安全事件信息披露的必要性依然存在误解，认为只有在公开交易（上市公司）或在受监管的环境中运营时，他们才必须披露违规信息。

“无论企业属于何种行业、是否上市，掩盖或拖延事件披露的做法长期来看，会阻碍改善网络卫生状况、抵御未来攻击的能力。很多公司抱着侥幸心理，认为自己不会被闪电两次击中。”Garrubba继续说道：“这导致了一种错误的安全感，即通过瞒报来大事化小。但不幸的是，如果你再次遭遇网络攻击，此前的隐瞒和拖延将被曝光，对品牌和声誉将产生更为严重的损害。在今天这个数字化时代，企业成功的关键是透明度和信任，信任才是全球通行的‘货币’。”

https://www.documentcloud.org/documents/20788053-bose-20210519