一些公司是如何一次次地被击穿的？

砍我一次，真丢人。砍我两次，真丢人。

国外流行的电子邮件营销公司 MailChimp 去年在网络攻击者利用公司内部工具获取对客户账户的访问权限后遭受了数据泄露。犯罪分子能够查看大约 300 个账户并窃取 102 个客户的数据。他们还访问了一些客户的 AIP 密钥，这将使他们能够发送冒充这些客户的电子邮件活动。

这次数据泄露攻击并不是特别值得注意——直到不到六个月后，它再次发生。和以前一样，入侵者访问了内部工具以破坏 133 个 MailChimp 账户的数据。通过对员工和承包商进行社会工程攻击以获取员工密码的访问权限，使该漏洞成为可能。

这次袭击引发了后续袭击。MailChimp 的客户之一是云服务提供商 DigitalOcean。由于受到攻击，该公司几天无法与客户沟通，不得不要求客户重设密码。

在第一次违规后，MailChimp 告诉 TechCrunch，它增加了一套未具体说明的“额外的增强安全措施”并更换了其 CISO。

以与以前的攻击类似的方式受到攻击的经历并不少见。事实上，这很常见。

MailChimp 只是众多例子中的一个

反复发作其实是常态，不是特例。根据安全态势管理公司 Cymulate 的一项全球研究，大约三分之二 (67%) 的公司在一年内再次受到攻击。10% 的公司在一年内经历了 10 次或更多次事件。

根据一项国际 Cybereason 调查，具体针对勒索软件攻击，遭受反复勒索软件攻击的公司数量上升至 80% 。

这就提出了一个问题：为什么重复攻击如此普遍？

引发新攻击的攻击恢复出了什么问题？

关于网络攻击后发生的事情，有一个未被充分认识的事实：恶意行为者知道什么是可能的。

在 MailChimp 示例中，网络攻击者了解到 1) 内部工具易受攻击，以及 2) 它们可用于窃取客户数据。

一旦这些知识公开，它就会给网络骗子提供动力和目标。换句话说，我们可以假设最有可能的下一次攻击将针对与上次攻击相同的漏洞。第二个网络事件被公开，模仿攻击的时间开始计时。

一家公司能做的最糟糕的事情就是什么都不做。

最好的办法是像激光束一样首先关注导致攻击的特定漏洞，这样模仿攻击者就无法利用相同的问题。

公司应如何防止重复攻击？

当然，所有公司都应该尽其所能防止网络攻击，但优先考虑防范已经发生的攻击类型尤为重要。

对重大网络攻击的正确反应是对组织的网络安全方法和态势进行彻底重置。SolarWinds hack 就是一个很好的例子。

2020 年 12 月，我们了解到一个民族国家使用 SolarWinds Orion 网络管理系统发起了一次复杂的供应链网络攻击。通过该软件，俄罗斯支持的网络攻击者（APT29，又名 Cozy Bear）破坏了多个美国和欧洲政府机构和私营公司的系统，包括跨国制药和生物技术公司 AstraZeneca。该攻击是由安全公司 FireEye 在自身受到攻击危害时发现的。

SolarWinds 灾难后产业和国家政策的变化是众所周知的。但不太受重视的是 SolarWinds 本身在攻击后采取的措施。他们很好地处理了善后事宜。

SolarWinds 在其董事会中增加了一个网络安全委员会，并增加了前 CISA 负责人 Chris Krebs 和前 Facebook 和雅虎安全负责人 Alex Stamos 作为董事会顾问，他们对构建软件以支持强大网络安全的方式进行了重大改革。

当然，大多数公司不太可能聘请网络安全领域的两个最著名的名字。但 SolarWinds 示例抓住了必要的变革精神——将安全最佳实践推广到从领导力到公司代码的方方面面。

攻击后有效重组

在一次重大攻击之后，每个组织都应该进行一些自我反省。重要的是要评估领导层如何未能领导、公司如何未能投资、政策如何不充分以及围绕网络安全的公司文化如何不足以通过社会工程或其他方法防止恶意攻击。事后分析的结果应该是：

• 组织结构的变化：增加 CISO 等高级安全专家的工作人员，改变向谁报告或向董事会注入强大的网络安全经验。
• 全面改革员工网络安全培训
• 对修补和更新发生的方式和时间进行了重大改进
• 全面改革安全态势以拥抱零信任。

简而言之，需要积极优先考虑为网络攻击打开大门的特定漏洞进行修复。因为坏人将已发布的网络攻击细节视为发起另一次攻击的说明手册。

原文始发于微信公众号（祺印说信安）：一些公司是如何一次次地被击穿的？