CSO“监狱指南”|Uber前CSO被判八年的启示2022年10月,美国联邦法院陪审团裁定Uber前首席安全官约瑟夫·沙利文(JosephSullivan)试图向美国联邦贸易委员会(FTC)隐瞒Uber2016年数据泄露事件。.据悉,沙利文被判妨碍司法公正和隐瞒犯罪罪名成立,可能面临最高5年和最高3年的有期徒刑。尽管很多人都预感到沙利文可能会入狱,但当判决正式执行后,还是引起了很多业内人士的关注和讨论。从公开信息看,这是美国首例企业CSO因“支付网络安全赎金”被公开起诉判刑的案件。但可以肯定的是,优步绝不是第一家使用“漏洞赏金计划”来掩盖数据泄露的公司。对于CSO来说,一是掩盖企业数据泄露丑闻,二是被发现后被判入狱。他们该如何选择?未来会战战兢兢、如履薄冰吗?许多法律和安全专家表示“没有必要”。企业遭遇敲诈勒索事件屡见不鲜,但首席安全官被追责判刑的情况却比较少见。首席安全官背锅辞职是常有的事。密码学家乔恩·卡拉斯(JonCallas)曾开玩笑说,CISO的全称是首席入侵替罪羊官(ChiefIntrusionScapegoatOfficer),“CSO往往处于不成功的位置,他们负责所有安全事务,但他们却无能为力。因为他们知道如何降低风险,但没有得到足够的支持。”在这种困境下,近90%的CISO认为自己压力中等或高度,很多人经常跳槽。海德思哲2022年全球调查显示,近四分之一的CSO入职不到两年,62%的CISO入职不到一年。安全专家建议CISO最好在内部启动和维护事件响应手册,涵盖组织技术响应、与业务运营和流程的详细协调、危机管理和法律响应.该剧本帮助您的安全和法务团队协同工作,按照政策和程序应对安全事件,确保做什么和何时做。如果安全事件处理不当并与相应手册背道而驰,它可能成为“入狱指南”。10月8日,Uber前安全主管约瑟夫·沙利文因涉嫌参与掩盖黑客对Uber的安全攻击事件,被美国联邦法院以妨碍司法公正罪和隐瞒重罪分别判处5年有期徒刑和3年有期徒刑。2016年入狱。约瑟夫沙利文于2015年4月至2017年11月担任优步首席安全官。2016年,优步收到一封匿名邮件,声称发现了优步的安全漏洞,使用其数字密钥进入该公司的亚马逊数据库,查看并提取未加密的备份数据5700万优步乘客和司机。收到邮件后,Sullivan和他的团队与黑客进行了沟通,打算以Uberbug赏金计划的形式向黑客支付高达10,000美元的奖金。作为交换,黑客需要删除相关数据。但双方未能达成一致,黑客要求不低于六位数的赔偿,并威胁要公开相关数据。在后续的长期沟通下,双方以10万美元的价格达成交易。沙利文要求对方销毁被盗数据,并对行为保密。但事与愿违,事件最终还是曝光了,涉事的两名黑客均已被抓获,并对事件供认不讳。当联邦贸易委员会(FTC)调查优步时,沙利文将事件伪装成漏洞赏金,向委员会提供虚假宣誓证词,谎称对方没有窃取数据。2020年9月,沙利文被起诉。基于上述表现,陪审团认定他犯有妨害司法罪和故意隐瞒罪。据了解,在2014年100,000名司机的姓名和车牌数据泄露后,联邦贸易委员会一直在密切关注优步的数据安全。2018年9月,优步支付了1.48亿美元,以了结美国所有50个州和华盛顿特区的索赔,称其披露黑客攻击的速度太慢。但面对越来越多的黑客攻击,企业开始不知所措。加密货币的出现,让勒索软件攻击者实施犯罪变得更加方便。由于加密货币本身的隐藏特性,货币资金的行踪被加密,使收款人身份保密,大大降低了被追踪的风险。因此,近年来,勒索软件运营商倾向于使用加密货币进行交易。安全公司SonicWall在11月初发布了《 2022 年网络威胁报告》。经过连续两年的增长,勒索软件攻击终于达到拐点,开始下降。2022年上半年共报告勒索软件攻击2.361亿次,同比下降23%。上半年的数字仍高于2017年、2018年和2019年的全年总数。医疗保健行业是全球最容易受到勒索软件攻击的行业,每42家企业中就有一家受到勒索软件的影响,同比增长5%-年增长。支付赎金或报告并披露?安全公司Cyber??EdgeGroup对全球1000家公司进行的一项调查发现,在遭受勒索攻击的公司中,约有40%支付了赎金,但支付赎金的公司中只有约一半最终取回了我的数据。那么,当发生勒索攻击时,你是选择支付赎金还是报案呢?从数据来看,支付赎金的企业可能会有更大的经济损失。IBM发布的《2022数据泄露成本报告》显示,当数据泄露发生时,选择支付勒索软件的企业平均成本仅比拒绝支付赎金的企业低61万美元,但这并未将赎金成本计入帐户。赎金(Sophos数据显示2021年平均赎金高达81.2万美元)在成本考虑下,支付赎金的受害企业的经济损失可能更大。更有什者,在支付赎金后,威胁行为者不一定能解密数据或删除被盗数据,甚至可能会进行二次勒索,业内称之为双重勒索。其次,存在因支付赎金而受到制裁的风险。美国财政部海外资产控制办公室(OFAC)于10月1日?发布建议,警告向赎金攻击者支付赎金可能面临制裁和处罚的风险,因为许多敲诈勒索组织都在美国的制裁中名单,并禁止支付赎金。被视为对勒索集团的潜在财务支持。在我国,自2018年以来,公安机关在“净网2018”专项行动中对各类网络乱象实行“一案双查”制度,即在开展网络犯罪侦查侦查工作时,将启动同时监督检查涉案网络服务提供者履行网络安全法定义务的情况。由于举报后的“一案双查”,很多企业往往不愿披露网络攻击事件。但是,《网络安全法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;,采取相应的补救措施,并按规定向有关部门报告。因此,法律不提倡支付赎金,但应急预案是企业应该重视的一个环节。CSO如何避免被“抓捕”?作为CSO,如何带领安全团队做好企业安全建设、危机管理、安全运营,又如何避免被“抓捕”?首先,前提是对业务有深入的了解。作为企业安全建设的领导者,应该对贵公司的业务有深入的了解,了解贵公司的核心业务架构、业务流程、业务技术团队等。了解以上信息有助于构建更加业务友好的企业安全体系。二是安全风险管理。传统的风险管理主要参考ISO13335、COSO-ERM等标准体系。这些系统是成熟的并且高度可重用的。然而,对于快速发展的互联网企业来说,风险评估结果很容易与实际情况出现出入。规模大、与业务场景契合度低等。对于CSO来说,安全风险管理可以借鉴成熟标准体系的优势,结合实际业务部署风险管理解决方案,识别业务风险场景,分解技术方案,落地安全实践.此外,安全操作。很多情况下,造成严重后果的安全事件,如勒索攻击、供应链攻击等,都是由于信息系统存在漏洞或后门造成的。此时,安全运营的重要性日益凸显。做好安全运营工作,从源头上减少企业面临敲诈勒索的几率。MTTD(MeanTimetoDetection)和MTTR(MeanTimetoResponse)是安全运营的两个重要衡量指标,可以反映安全团队的感知、发现和控制能力。做好安全运营也是CSO工作的一大重点。CSO能力要素雷达图事实上,要成为一名优秀的CSO,需要具备多项能力,成为一名“全能”选手。但在现实中,每个人都有自己的长处,能力并没有达到全面的程度。那么CSO就可以从大局出发,统筹各方资源用好,结合业务得出最适合企业的安全建设方案,保护企业免受安全风险的侵害。.
