Lady Gaga和Madonna可以让人们认真对待安全吗?
持有很少有人听说过很少有人在BBC Radio 2上发表中期的新闻公告的企业赎金,但主流媒体准备在基于NYC的律师事务所Grubman Shire Meiselas的情况下制定一个例外。并批发,被黄金南菲尔德袭击了瑞士/苏丹国赎金软件紧张的网络犯罪集团袭击。为什么这可能是?
这个勒索仓库的事实非常平凡。对Grubman的网络攻击在多个客户被盗的756GB上看到了756GB的文件,包括合同,非披露协议,电话号码和电子邮件地址。正如正常正常的那样,攻击带有一些双重敲诈级别的标志,因为一些文件已经发布在一个黑暗的网络论坛上,作为黑客是真实的证据,并作为鼓励受害者支付威胁的威胁。
真实的是,法律职业以外的人都没有听说过Grubman,但这种情况比平常更为显着,因为受事件影响的人包括一个庞大的名人名单,如Bette Midler,Bruce Springsteen,Christina Aguilera, Idina Menzel,Lady Gaga,Madonna,Mariah Carey,Mary J Blige,Nicki Minaj并运行DMC。
顺便提一下,在线发布的文件是麦当娜最近夫妇X旅游的合同摘录。
在Toshowbiz杂志品种的陈述中,一位报告故事的第一家商店之一,这是Grubman的发言人说:“我们可以确认我们是一个网络攻击的受害者。我们已通知客户和我们的员工。我们聘请了全球专业从事这一领域的专家,我们正在围绕时钟努力解决这些问题。“
Sam Curry,首席安全官员Agentpoint Protection Service Cyberiason,是当天大黑客的常用评论员。他描述了对Grubman的攻击作为“手术罢工”,清楚地旨在吸引全球关注。
“人类是网络罪犯在勒索金钱的最大资产,特别是在违反格鲁曼律师事务所的情况下,”他说。
“百万美元的问题是黑客获得的个人信息以及他们的威胁有多真实?黑客的要求是什么?“
咖喱补充说:“如果黑客获得了这些名人的个人信息,他们会给Grubman加密密钥,如果满足赎金需求,则返回被盗文件吗?不幸的是,决定支付赎金的公司不再有任何保证。“
Francis Gaffney,威胁情报公司Mimecast表示,受害者名单的高调性质可能意味着它将面临更多的麻烦,因为该名单上的那些人可以负担得起“律师起来”。
“当有人信任你这么重要的信息时,你会充分保护它是至关重要的,确切地知道它存储的位置,谁能够访问它,”Gaffney说。
“这还不仅仅是企业面临的财务处罚,而且对他们的声誉造成损害。一旦发生这种情况,品牌通常会失去消费者和合作伙伴的信任,这可能是恢复的斗争。在这种情况下,这尤其相关,数据属于这种高调的幸运。“
Ilia Kolochenko,创始人兼首席执行官ofweb安全专家免疫网络,表示,此类律师事务所几乎不可抗拒地易受网络罪犯的影响。
“律师事务所越来越多地成为精致的网络帮派的理想目标,”他说。“与据报道,违反其大型客户(如银行或名人)的情况下,违反了超机密数据,据据报道,这种情况发生了更容易和更快的是,据报道,这是更容易和更快的。
Kolochenko表示,一般而言,他对法律公司的优先考虑了在能够在完成任何损坏之前避免赎制软件攻击的事物的法律公司的兴趣,例如基本的网络弹性和防御,员工培训或事件检测和反应。
“更糟糕的是,现代律师事务所必须处理他们的手机,笔记本电脑和办公室计算机上的敏感和特权数据的敏感和特权数据流动。”“合作伙伴和客户通过将机密文档上传到公共云或文件共享网站来加剧此复杂的横向。”
毫无疑问,Grubman的客户名单的高调性质导致耳朵刺破专业技术出版社,而且对故事的公共利益很高,但这是如何转化为更广泛的安全意识?
行业的多年生挫折是人们根本不听取安全建议,或考虑它并决定他们可以忍受风险,或者现在为此做任何事情而言为时已晚。
我们是如此愤世嫉俗,以至于认为将Lady Gaga和麦当娜的名字归于一个故事将抓住人们的注意力?
蒂姆埃尔林,副主席Atcompliance Specialist Tripwire,这篇论文纠纷争议,至少就赎金软件而言。
“公众想象力并不是挑战,”他说。“大多数这些攻击都是针对企业的,并让商业领袖改变是成功的关键组成部分。名人攻击通常不会影响高管。“
Jonathan Knudsen,高级安全战略家Atapp Security公司Synopsys表示,这种特殊的攻击在一定程度上突出了新闻周期的性质,因为当人们做出糟糕的安全决策时,他们被淘汰了,但是当他们制作好的时,没有人关心。
“当系统管理员迅速修补易受攻击的库或应用程序时会发生什么?”他说。“每天使用数百万人使用的应用程序不需要的应用程序会发生什么?在许多情况下,没有任何东西。我们倾向于只看到糟糕的事情时才看到头条新闻。
“即使安全专业人员可能被持续的坏消息和不幸的选择持续不足,他们应该记住,事情也是正确的 - 你不一定是关于它的。”
但是Mimecast的Gaffney看起来略有不同。“这些高调的攻击确实有助于”讲述故事“并提高意识,”他说。“能够提供一个人的案例研究或榜样,最终用户知道' - 或者可以联系到 - 强制执行网络安全消息并更新当前普遍威胁的用户。媒体覆盖范围有助于对最终用户的意识培训的目标。“
JérômeRobert,Atactive Directory Security Specialist Alsid表示:“这可能很诱人地看看影响一个富有富人和着名的高飞律师事务所的赎回律师事件,并认为它并不重要。那么如果少数秘密出现了什么?他们是名人,所以无论如何,他们没有太多的隐私权,我们可能会得到一些关于他们的生命或法律事务的多汁细节。正确的?
“错误的。问题是,隐私必须同样适用于每个人,否则任何人都不会存在。那个“正常”的人呢,其数据也将作为违规的一部分暴露?名人应该有一个像其他人一样隐私的权利,更不用说,如果律师们支付赎金以获得其数据,这对网络罪犯的激励会导致更多的赎金软件攻击。“
Synopsys'knudsen同意Grubman Hack中的公众有宝贵的课程。“就像现在信息在危险的名人一样,我们都每天都与组织互动,这可能导致这样的情况,”他说。“不可能评估每个企业的安全姿势,在大多数情况下,我们必须依赖于信任体系。”
但最终在这种情况下,Chaudsen表示,消费者安全只会与谁保存数据的安全性一样好。“企业可以通过在设计和实施技术解决方案方面采取主动,安全第一立场和行业最佳实践来降低灾难性违规风险,”他说。
显然,Grubman已被发现在这个部门。