针对MOVEit开展黑客攻击窃取的数百万条记录在暗网上发布
一名昵称为“Nam3L3ss”运作的威胁行为者在BreachForums黑客网站上发布了至少25个CSV数据集,其中包含来自领先公司的数百万条记录——这些数据可能是在去年针对MOVEit漏洞开展的网络攻击中被窃取的。
针对MOVEit的黑客攻击是2023年最大的一次入侵事件,是由黑客利用Progress Software的MOVEit传输软件中的零日漏洞造成的。Clop勒索软件团伙声称对该事件负责,攻击了1000多个企业。
以色列网络安全公司HudsonRock在11月11日的一篇博客文章中表示,被盗数据包括25家主要企业的员工名录,其中包括亚马逊、大都会人寿、康德纳健康、汇丰银行、富达投资和美国银行。
HudsonRock公司的研究人员表示,这些目录包含详细的员工信息,包括姓名、电子邮件地址、电话号码、成本中心代码,在某些情况下还包括整个组织结构。
研究人员写道:“这些数据可能成为网络犯罪分子进行大规模网络钓鱼、身份盗窃甚至社会工程攻击的金矿。”
亚马逊在此次事件中受到的负面报道最多,因为据报道有280万条亚马逊记录被泄露。接下来最大的两个受影响者是大都会人寿保险公司(MetLife,585,130条记录被泄露)和Cardinal Health(407,437条记录被泄露)。亚马逊也陷入了困境,因为它公开证实,它经历了与报道的数据泄露有关的“安全事件”。
亚马逊公司发言人亚当·蒙哥马利(Adam Montgomery)强调,亚马逊和亚马逊网络服务系统仍然安全,而且这家大型科技公司从未经历过安全事故。蒙哥马利分享了以下声明:
“值得注意的是,亚马逊是HudsonRock报告中提到的众多公司之一。我们收到了有关我们的一家物业管理供应商发生安全事件的通知[与数据泄露报告有关],该事件影响了包括亚马逊在内的多家客户。涉及的亚马逊信息只有员工的工作联系信息,例如工作电子邮件地址、办公桌电话号码和建筑位置。受影响的供应商仅收到员工联系信息。他们无权访问敏感的员工信息,例如社会安全号码、政府身份证明或财务信息。我们已确认供应商已修复导致此事件的安全漏洞。”
MOVEit事件凸显供应链漏洞与暗网监控的重要性
Spektion首席执行官乔·席尔瓦(Joe Silva)表示,这一最新消息再次证明,第三方软件仍然是企业面临的最大且最难管理的网络安全风险之一,大型技术先进的企业也不例外。席尔瓦表示,当任何公司对第三方软件风险和漏洞做出反应时,这些风险和漏洞已经在被积极利用,而这些风险和漏洞才刚刚被公开披露。同时,“暗网下/AWX“认为,暗网监控也显得尤为重要。
“现在是时候采用新方法来处理我们的软件供应链了,”席尔瓦说。“首席信息安全官及其团队不应该落后并仅仅对CVE做出反应,而应该专注于对第三方软件采取主动的方法,通过左移和利用数据来快速、准确且可操作地评估软件在被利用之前的风险。”
不仅仅是MOVEit——仅今年一年,我们就在其他托管文件传输解决方案中发现了新的CVE,包括SolarWinds SERV-U和CRUSHFTP,它们可能导致与去年的MoveIT事件一样严重的数据盗窃,Ionix现场首席技术官霍夫曼(Billy Hoffman)指出。
霍夫曼表示,这些产品的挑战在于,它们通常不为安全团队所注意。它们通常由财务、人力资源或采购等后端部门使用,用于与合作伙伴交换数据或共享合规文件等不起眼的工作。
“正因为如此,安全团队通常不知道谁在使用这些工具、这些工具是如何配置的,或者这些工具是否向公众公开,”霍夫曼说。“因此,当漏洞被披露时,组织可能会反应迟缓——或者更糟的是,他们认为自己没有受到影响,而实际上他们受到了影响。公司可以通过不断从外部分析攻击面来避免这些盲点,从而全面了解暴露的内容和需要保护的内容。”
Lineaje高级副总裁兼首席信息安全官Nick Mistry表示,这一最新事件提醒我们,有效的第三方风险管理不应是“可有可无”,而应是“必须有”。Mistry表示,制定一个针对第三方威胁的强大事件响应计划至关重要,这样组织才能及时识别和降低由供应商合作关系导致的任何风险。
“企业必须制定全面的程序来主动检测和应对风险,例如频繁的安全审计、评估和持续的第三方软件监控,”米斯特里说。“在当今的威胁形势下,生态系统的安全性远远超出了您自己的系统和基础设施的范围。现在是时候重新评估您的第三方安全实践了,以免下一个漏洞成为代价高昂的违规行为和声誉噩梦。”
Bitsight收购暗网安全公司Cybersixgill
BitSight Technologies, Inc. 是一家网络安全评级公司,负责分析公司、政府机构和教育机构。该公司总部位于波士顿后湾区。Bitsight的最新估值为24亿美元,评级公司穆迪于2021年入股该公司并成为其最大股东。
总部位于波士顿的Bitsight专注于网络风险管理。该公司与企业合作,评估其风险状况,特别是其被入侵的可能性,这不仅包括评估公司在其网络和其他数字资产中的攻击面,还包括公司用于防御这些资产的产品。
Bitsight是全球网络风险管理的领导者,致力于改变公司管理自身和第三方风险敞口、绩效和风险的方式。BitSight提供的安全评级被银行、保险公司和其他组织使用。
随着更多数据在暗网出售,暗网监控重要性凸显,网络安全领域正在发生更多整合。目前,Bitsight公司宣布,该公司将以1.15亿美元收购致力于暗网监控的网络安全公司Cybersixgill。
Cybersixgill将为Bitsight提供另一层次的可见性:这家规模较小的初创公司专门分析暗网活动,以主动寻找数据泄露以及潜在漏洞和新技术的迹象。它关注的集体领域称为“网络威胁情报”,并表示它涵盖仅限邀请的消息组、代码存储库、粘贴网站和清晰的网络平台。
两家公司在工作中都大量依赖人工智能,听起来他们在关注的重点上会相互补充。
Cybersixgill成立于2014年,拥有80名员工,筹集了5600万美元的外部资金,最近一次是在2022年3月完成的3500万美元B轮融资,由MoreProvident和PensionFunds以及REVVenturePartners领投。该公司自2019年5月以来一直由SharonWagner领导,她之前曾创立并领导Cloudyn,后来以5000万至7000万美元的价格将其出售给微软。
这家规模较小的公司总部位于以色列,最初以Sixgill的名称成立。根据PitchBook的数据,该公司从CrowdStrike、OurCrowd和TerraVenture等投资者那里筹集了近5600万美元。但PitchBook还指出,这家初创公司上次估值是在2022年,略高于1.62亿美元。过去几年,网络安全一直是融资市场的热门领域,但水涨船高并不能让所有纸船都升值。
这笔交易将使Cybersixgill投入更多资金来开发其正在开发的技术。Bitsight首席执行官史蒂夫哈维在一份声明中表示:“我们致力于投资Cybersixgill行业领先的产品,并将继续推动创新,为客户带来更大的价值。”该公司正在引进技术和团队。
Cybersixgill带来了什么
首席风险官德里克·瓦达拉 (Derek Vadala) 表示,Bitsight 计划将总部位于特拉维夫的 Cybersixgill 的自动化威胁情报平台与这家总部位于波士顿的公司现有的网络风险暴露数据相结合,以提供更全面、更全面的解决方案。将暴露数据与威胁情报洞察相结合将增强 Bitsight 提供全面、综合的网络风险管理的能力。
Vadala表示,通过将Bitsight的暴露数据与Cybersixgill的威胁情报数据合并,公司将使组织能够以统一的方式了解其漏洞和威胁。整合互补的数据集将使客户能够从漏洞洞察和实时威胁检测中受益。
“这里主要的协调点实际上是Bitsight为提供评级而构建的底层数据和底层数据引擎,”Vadala说道。“如果你想想我们为建立评级所做的事情,你会发现这实际上是为了了解与互联网相关的漏洞和风险,这些漏洞和风险归因于不同的企业和组织。”
Vadala表示,将Bitsight的暴露数据与Cybersixgill的情报相结合,还将帮助企业监控暗网论坛并将网络安全工具整合到统一平台中,从而减少CISO的供应商扩张。将Cybersixgill的数据集与现有的Bitsight平台相结合,将提高公司检测威胁和将漏洞映射到企业资产的能力。
“能够识别各种网站和其他国外论坛上流行的威胁,客户确实受益匪浅,”Vadala说道。“数据集成的一部分就是将这些信息带入资产和公司。”
Cybersixgill先进的自动化和人工智能驱动的威胁情报平台因其无需人工干预即可扩展数据收集的能力而脱颖而出,Vadala表示这对于监控Bitsight跟踪的数百万个组织至关重要。Vadala表示,这使得数据收集更具可扩展性和效率。
“Cybersixgill的自动化能力使他们能够大规模收集数据,而无需人工干预,”Vadala说道。“对我们来说,这非常关键,因为我们每天都在监控数百万家公司和组织,我们需要一个能够大规模收集数据的平台。”