专栏首页FreeBuf一起名不见经传的勒索事件的启示:“小心“第三方供应商

一起名不见经传的勒索事件的启示:“小心“第三方供应商

事情要从一场看似普普通通的勒索攻击说起。

Visser Precision,一家为汽车和航空业定制零件的制造商。遭受了勒索软件的BitPaymer的新变种DoppelPaymer的攻击 。

早在2020 年2 月 25 日,DoppelPaymer勒索软件运营商开发了一个网站,以此公布没有支付赎金的受害者所被盗的文件(勒索软件=数据泄露已经成为现实,此前我们也提到类似Maze、Sodinokibi、Nemty等也采取了这类做法)。而在3月的最后期限之前,因为Visser Precision一直拒绝支付赎金,黑客将窃取的文件选取了一部分上传到可在线公开访问的网站。

事情到此为止可能不会引起如此多的人关注,毕竟很多人对于Visser Precision并 不了解。但是,勒索引发的数据泄露却牵连到了其客户,这些巨头们。比如SpaceX、特斯拉、波音、Blue Origin、Sikorsky、Lockheed Martin等。

泄露的文件包含了Lockheed Martin公司设计的军事装备细节——如规格在反迫击炮防御系统的天线-根据注册谁提醒我们的蓝图源,SpaceX的制造合作伙伴计划,一些账单、付款表格、供应商信息、数据分析报告以及法律文书等。

这个过程中,有2个问题可以深入思考:

该不该交赎金

对于这一个问题,一直以来都有2种声音:

不能给。

给了一次就有无数次,而且资料已经泄露,就没有挽救的必要了,因为黑客完全可以在拿了赎金以后秘密出卖。 给钱是对勒索软件运营商的一种鼓励,让他们知道这种钱很好赚。

给。

为了挽回声誉、解密文件以正常开展业务和工作,一些企业选择交赎金。

这个问题,并没有确切的答案,解答的核心在于企业高层对勒索攻击影响的定义,涉及到勒索金额的多少、窃取文件的重要程度、公司对名誉的看重程度等多种因素。

提升企业自身安全的同时,如何防范供应链安全掉链子

供应链安全,不仅要防范来自供应链上下游企业带来的安全漏洞,同样要防范他们遭受网络攻击后对自身带来的影响。很多看似名不见经传的网络攻击,可能带来连锁效应,给很多看似防御体系良好的企业造成外部威胁。

1、梳理、了解企业供应商。事前的评估一定优于事后的救火。在供应商合作之前,安全性评估也应该纳入考虑范围。尽管我们知道评估供应链是一项很具挑战性的风险管理工作,但规模较大的企业应该去挑战,而且不是为了“方便”而偷懒。

2、在管理链中必须有人负责安全问题,涉及到供应链安全的决策一定是由高层做出的。以此次勒索为例,SpaceX等企业应该有专人负责协调供应链安全问题,在Visser Precision遭到勒索攻击后,企业应该迅速交换信息,判断窃取信息的重要程度,做出判断是交钱还是任其撕票。

3、供应链安全不仅仅是IT的责任。在供应链建立、合作、发展的过程中,企业的多个利益相关部门都会参与,因此,供应链安全的敏感和基本考虑应该通过内部标准传递给每个相关部门。

*本文作者:kirazhou,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:kirazhou

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 防代码泄漏的监控系统架构与实践

    代码资源是组织的核心资源,对于敏感的代码是不希望流传到外部的,但由于各种原因还是有资源泄露出去, 对于泄露的原因先不论,因为相对比较难避免,但我们可以通过一定的...

    FB客服
  • 注意了,使用XSS平台的你可能被“偷窥”

    故君子之治人也,即以其人之道,还治其人之身。 Par1:你要了解的事 XSS平台: 玩渗透测试的人,对XSS平台应该不会陌生。 最简单的XSS平台,通常可以记录...

    FB客服
  • 揭密黑产“暴力勒索、毁尸灭迹”运作一条龙

    处理勒索病毒应急响应事件的时候,会发现了一些有趣的事情,分享给大家,看看现在的勒索病毒运营团伙是如何“暴力勒索、毁尸灭迹”运作一条龙。

    FB客服
  • Ubuntu 17.10 安装Sublime Text 3 教程

    流行的跨平台的Sublime Text编辑器终于提供了官方的Linux apt库,以便在Ubuntu中安装和接收更新。 Sublime Text 3 Subli...

    企鹅号小编
  • WEB加速,协议先行 ( 下)

    本文分享了 STGW 及腾讯云 CLB 在 WEB 协议优化过程中的实践经验,并对WEB协议的未来进行了探讨分析。

    腾讯技术工程官方号
  • 本体技术视点 | 央行数字货币模型的简单认识

    上周,关于央行数字货币 DC/EP 的消息接踵而来,引爆了整个朋友圈。先是传出央行数字货币 DC/EP 在中国农业银行开始内测,首批试点地区为中国深圳、雄安、成...

    本体Ontology
  • Vue slot简单理解

    情形一: 子组件定义了具名的slot,父组件使用具名的slot,slot显示顺序为子组件定义slot的顺序 子组件: Vue.component('child'...

    蓓蕾心晴
  • 学习纲要:代码编辑器

    Joel
  • 【商城应用】用户余额体系设计

    版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.n...

    林老师带你学编程
  • git之ssh连接

    用git的人都知道git连接有两种方式,一种是https,一种是ssh。一般都会使用https,简单。

    wade

扫码关注云+社区

领取腾讯云代金券