Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

SEC yêu cầu giới hạn tiết lộ bốn ngày đối với các vi phạm an ninh mạng

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 73
by Paul Ducklin

Tuần trước, Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) công bố các quy tắc mới và khá nghiêm ngặt về tiết lộ vi phạm an ninh mạng đối với bất kỳ người hoặc công ty nào thuộc phạm vi điều chỉnh của nó.

Nhân tiện, SEC được thành lập ở đỉnh cao của cuộc Đại suy thoái Hoa Kỳ vào những năm 1930, với mục đích ngăn chặn loại hình đầu cơ không được kiểm soát dẫn đến cái được gọi là Thứ Năm đen tối, sự sụp đổ khét tiếng của Phố Wall ngày 24 tháng 1929 năm XNUMX.

Trong của nó lời nói riêng:

Nhiệm vụ của SEC là bảo vệ các nhà đầu tư; duy trì thị trường công bằng, trật tự và hiệu quả; và tạo điều kiện hình thành vốn.

SEC cố gắng thúc đẩy một môi trường thị trường xứng đáng với sự tin tưởng của công chúng.

Nói một cách đơn giản, nếu bạn đang điều hành một công ty phát hành cổ phiếu ra công chúng, thì bạn cần phải tuân thủ các quy tắc và quy định của SEC, những quy tắc này được cho là sẽ cung cấp cho các nhà đầu tư của bạn một số biện pháp bảo vệ chống lại những tuyên bố không có căn cứ nói lên một đề xuất một cách thiếu trung thực. hoặc lén lút xuyên tạc mức độ rủi ro liên quan.

Như bạn có thể tưởng tượng, đặc biệt là trong một thế giới trực tuyến, nơi các vi phạm ransomware có thể khiến một công ty ngừng hoạt động kỹ thuật số chỉ sau một đêm và thậm chí còn kiếm được hàng triệu đô la thanh toán tống tiền đối với những kẻ tấn công về một “chương trình khôi phục” có thể không đủ để khiến mọi thứ hoạt động trở lại…

…những sai sót về an ninh mạng có thể gây ra những ảnh hưởng lâu dài, nghiêm trọng đến giá trị của một khoản đầu tư kinh doanh.

Đòi tiền bằng đe dọa

Các cuộc tấn công bằng phần mềm tống tiền ngày nay thường liên quan đến việc tội phạm mạng đánh cắp các bản sao dữ liệu thành tích của bạn trước tiên, đặc biệt là bao gồm thông tin chi tiết về nhân viên và khách hàng, sau đó xáo trộn các bản sao của chính những tệp đó, do đó ép bạn vào một vở kịch an ninh mạng kịch tính.

Họ đã có các tệp của bạn, thường bao gồm hàng đống dữ liệu mà bạn có nghĩa vụ phải giữ cho riêng mình và có lẽ bạn đã hứa khá cởi mở rằng bạn có thể tin cậy được.

Nhưng bạn không còn những tệp đó nữa, theo bất kỳ ý nghĩa nào.

Trớ trêu thay, trong một cuộc tấn công ransomware xáo trộn tệp thông thường, bạn có thể thấy tất cả các tệp của mình vẫn nằm ở đó, thường với tên tệp gốc được giữ nguyên, dường như ở ngay đó trong khoảng cách nhấp chuột, nhưng khi bạn cố mở chúng thì chẳng có tác dụng gì ngoài một đống tệp kỹ thuật số. bắp cải xắt nhuyễn.

Vì kịch bản chơi đôi này, ransomware ngày nay không phải là từ đúng, vì tiền chuộc là số tiền bạn phải trả để trả lại an toàn cho ai đó hoặc thứ gì đó mà bạn muốn lấy lại, cho dù đó là một vụ bắt cóc quốc vương thời trung cổ hoặc một đống Tệp dữ liệu thế kỷ 21.

Rốt cuộc, “các cuộc tấn công ransomware” ngày nay có một số cách khác nhau để mở ra, bao gồm:

  • Loại A. Các tệp của bạn đã bị khóa và chỉ có kẻ gian mới có khóa giải mã. Trả phí tống tiền và những kẻ lừa đảo sẽ (hoặc họ nói như vậy) không chỉ gửi cho bạn chìa khóa mà còn giữ im lặng về những gì đã xảy ra, để bạn không phải thừa nhận rằng việc ngừng hoạt động kinh doanh tạm thời của mình là do xâm nhập mạng. Từ chối trả tiền và bạn đang ở trên của riêng bạn. Các tổ chức không có kế hoạch khắc phục thảm họa khả thi có thể không bao giờ đưa hoạt động kinh doanh của họ trở lại đúng hướng.
  • Loại B. Các tệp của bạn đã được sao chép và kẻ lừa đảo có tất cả. Trả phí tống tiền và họ sẽ xóa dữ liệu bị đánh cắp (hoặc họ nói như vậy) để bảo vệ bạn khỏi các vụ kiện vi phạm dữ liệu từ nhân viên và khách hàng, để ngăn các cơ quan quản lý đào quá sâu và giúp bạn giữ nguyên danh tiếng của mình. Từ chối trả tiền và bạn sẽ bị công chúng coi là một tổ chức không đáng tin cậy.
  • Loại C. Cả hai ở trên.

Như bạn có thể thấy, các cuộc tấn công của Loại B có thể bị ngăn chặn ngay cả khi bọn tội phạm không quản lý hoặc không muốn rủi ro khi cố gắng đột nhập vào mạng của bạn và truy cập vào mọi tệp trực tiếp trên máy tính xách tay, máy tính để bàn của riêng bạn và các máy chủ.

Trong gần đây MOVEit tấn công, ví dụ: những kẻ điều hành tội phạm mạng bị cáo buộc làm việc dưới ngọn cờ của băng nhóm ransomware Clop khét tiếng đã nắm giữ một lượng lớn dữ liệu cá nhân từ nhiều tổ chức nổi tiếng, nhưng không trực tiếp xâm phạm các tổ chức đó.

Thay vào đó, bọn tội phạm đã theo đuổi các công ty dịch vụ của bên thứ ba, chẳng hạn như các nhà cung cấp dịch vụ trả lương đã chuyển và lưu trữ các bản sao dữ liệu danh hiệu của các tổ chức đó bằng cách sử dụng sản phẩm quản lý dữ liệu của bên thứ tư MOVEit Transfer và MOVEit Cloud tương đương trực tuyến của nó:

Và các cuộc tấn công Loại A có thể được thực hiện nhanh chóng và trực tiếp mà không cần trích xuất trước bất kỳ tệp nào bởi tội phạm mạng không muốn mạo hiểm bị phát hiện khi cố tải lên một lượng lớn dữ liệu.

Một số kẻ lừa đảo thực hiện phương pháp đó vì bất kỳ sự tăng đột biến bất ngờ nào về lưu lượng truy cập mạng bên ngoài đều là một dấu hiệu phổ biến về sự xâm phạm (IoC) mà các doanh nghiệp đang tìm hiểu để đề phòng.

Trong các cuộc tấn công ransomware Loại A, kẻ lừa đảo thực sự không cần tạo ra bất kỳ lưu lượng truy cập mạng ra bên ngoài nào – thậm chí không cần giữ quyền kiểm soát các khóa giải mã ma thuật cho mỗi máy tính.

Họ có thể mã hóa bất đối xứng các khóa chính đó thành các tệp bị bỏ lại trên mỗi máy tính bị ảnh hưởng, sử dụng khóa chung mà chỉ chúng mới có khóa riêng tương ứng.

Khóa công khai nào bị khóa thì khóa công khai đó không thể mở được; chỉ người nắm giữ khóa riêng phù hợp mới có thể làm điều đó. (Hãy nghĩ về một ổ khóa đã được mở khóa: bất kỳ ai cũng có thể bấm vào để đóng lại, nhưng chỉ người có chìa khóa vật lý mới có thể mở lại.)

Do đó, dữ liệu khóa chính ở ngay đó, nhưng vô dụng đối với bạn nếu không có khóa riêng cần thiết mà những kẻ tấn công đã chuẩn bị ngoại tuyến trước.

Tất cả những gì kẻ lừa đảo cần làm là để lại một tin nhắn cho bạn biết cách liên lạc với họ để bắt đầu “đàm phán” để mua khóa riêng của họ.

Khi nào một cuộc tấn công ransomware là một vi phạm đáng chú ý?

Một điều chưa bao giờ rõ ràng là cách thức các cuộc tấn công ransomware và các quy định vi phạm dữ liệu hiện có giao nhau như thế nào.

Nếu bạn bị tấn công Loại A, nhưng không có bằng chứng nào cho thấy dữ liệu không được mã hóa đã bị rò rỉ và bạn đã khôi phục thành công từ các bản sao lưu qua đêm và đưa doanh nghiệp của mình trở lại đúng hướng một cách nhanh chóng…

…bạn có nên buộc phải nói với bất kỳ ai không, và nếu có thì những loại và quy mô lây nhiễm phần mềm độc hại hoặc hỏng dữ liệu nào khác cũng nên được khai báo?

Nếu bạn bị tấn công Loại B và sau khi thanh toán ngay cho kẻ lừa đảo, bạn có xu hướng tin rằng chúng thực sự đã xóa dữ liệu để không thể tiết lộ nữa…

…bạn có thể định nghĩa nó một cách hợp lý là không vi phạm không, bởi vì dữ liệu rõ ràng là “không bị vi phạm” bởi những kẻ tấn công và do đó cuối cùng không có thiệt hại nào xảy ra?

Thật vậy, nếu bạn trả phí tống tiền qua mạng vì bất kỳ lý do gì…

…bạn có nên tiết lộ điều đó trong mọi trường hợp, ngay cả khi luật hình sự không yêu cầu bạn phải làm vậy?

Thật không may, nhưng có thể hiểu được rằng đây là một thông báo ban đầu, SEC nhấn phát hành không đi sâu vào loại chi tiết đó.

Thay vào đó, nó chỉ nói rằng những người dưới quyền của nó, được gọi là đăng kí, là:

[…được yêu cầu] tiết lộ các sự cố an ninh mạng quan trọng mà họ gặp phải và tiết lộ thông tin quan trọng hàng năm liên quan đến quản lý, chiến lược và quản trị rủi ro an ninh mạng của họ.

Các quy tắc mới sẽ yêu cầu người đăng ký tiết lộ […] bất kỳ sự cố an ninh mạng nào mà họ xác định là nghiêm trọng và mô tả các khía cạnh quan trọng về tính chất, phạm vi và thời gian của sự cố, cũng như tác động quan trọng của nó hoặc tác động quan trọng có khả năng hợp lý đối với người đăng ký.

[Việc tiết lộ] nói chung sẽ đến hạn bốn ngày làm việc sau khi người đăng ký xác định rằng một sự cố an ninh mạng là nghiêm trọng.

Việc tiết lộ có thể bị trì hoãn nếu Tổng chưởng lý Hoa Kỳ xác định rằng việc tiết lộ ngay lập tức sẽ gây rủi ro đáng kể cho an ninh quốc gia hoặc an toàn công cộng và thông báo cho Ủy ban về quyết định đó bằng văn bản.

Chẳng hạn, việc trả tiền cho những kẻ tống tiền trên mạng Loại B có được coi là “tác động đáng kể” hay không, bởi vì bạn không bao giờ có thể thực sự chắc chắn rằng những kẻ lừa đảo sẽ không quay lại lấy thêm hoặc dữ liệu mà chúng đánh cắp không bị người khác đánh cắp trong khi chúng đã giữ trái phép của nó?

Việc bị bọn tội phạm đòi tiền chuộc Loại A tấn công có nên được coi là "tác động nghiêm trọng" hay không, và nếu vậy thì nên có quy định nào về quy mô của cuộc tấn công?

Ví dụ: trong một doanh nghiệp có mạng gồm 100 máy tính, cần phải xáo trộn bao nhiêu máy tính trong quá trình xảy ra một sự cố ransomware đơn lẻ để cuộc tấn công được coi là có khả năng khiến doanh nghiệp gặp phải nhiều vấn đề hơn là tác dụng phụ của một số tập tin bị hủy hoại?

Hãy nói ý kiến ​​của bạn trong phần bình luận bên dưới…

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.