而用这句话形容最近的全球四大会计师事务所之一的德勤,则再合适不过了。
近日,德勤爆出公司史上最严重的黑客攻击事件。此次事件,不仅会因涉及客户信息而产生负面影响,对于德勤庞大的网络安全咨询业务来说,也带着一丝讽刺意味。
事件回顾
据英国《卫报》报道,超过500万份德勤内部邮件疑遭泄露,其中包含了大量客户敏感信息和知识产权。
虽然近年来,企业信息安全事故层出不穷,但是德勤此次所涉及的受害者则更为特殊,它常年为大型客户——包括银行、跨国公司和政府机构提供审计、财务、网络安全、管理咨询服务。到目前为止,有6位客户被告知他们的信息受到黑客的“影响”。
安在君(anzer-sh)了解到:德勤在今年3月份发现了此次网络攻击,但是他们认为这个身份不明的攻击者,也许早在2016年10月或11月份就已经入侵了电子邮件系统。攻击者通过使用一个管理员账号,成功获取到了电子邮件服务器的访问权,而该系统并没有部署任何的双因素身份认证机制。
有证据显示,该公司的系统能够被黑客渗透是有原因的:他们的安全措施可谓不堪一击:关键系统的远程桌面协议(rdp)是开放的,vpn和代理的详细登录信息也已经泄露。
本周二(9月26日),有研究人员在一个公开的github存储库中发现了藏有德勤公司vpn密码、用户名以及操作细节的一系列数据包,这些数据包目前已被移除。此外,德勤的一名员工似乎还将公司代理登录凭证上传到了公开的google+页面中。这些信息在google+页面上滞留了超过6个月时间,刚在过去几分钟内才被删除。
除了泄漏公司的登录信息之外,德勤公司大量的内部和关键系统的远程桌面协议(rdp)也是可以公开访问的。按照行业最佳实践,所有这些设备都应该置于防火墙和双因素身份验证防护之下的。而且,讽刺的是,德勤公司为其客户推荐的最佳做法也是这样的,然而,其自身却并没有落实。
如今,24.4万员工与客户之间的往来邮件都处于危险之中。在此期间,德勤内部邮件中交流的安全政策,审计日志以及各种法务和财务信息,都处于黑客监控之下。
风口浪尖下的德勤
deloitte(德勤)是国际四大会计公司之一,英文名称是deloitte,全称:deloitte touche tohmatsu,简称deloitte或dtt。德勤为各行各业的上市及非上市客户提供审计、税务、企业管理咨询及财务咨询服务。
尴尬的是,安全咨询服务其实正是德勤公司的主要业务之一,它甚至在2012年被gartner评为 全球最佳网络安全顾问 。
截至目前,德勤对黑客事件作出的回应有:
1.德勤已经实施全面的安全协议,开展调查,其中包括动员德勤和德勤以外的网络安全和保密专家小组。
据《卫报》援引消息人士,2017年4月下旬,德勤雇佣了律师事务所hogan lovells,与德勤的内部安全审计团队一起评估“一个潜在的网络安全事件”,项目代号“windham”。
2.在意识到事件之后,德勤立即与政府当局联系,并联系到受影响的极少数客户。
但德勤没有透露通知了哪个政府机构和监管机构,何时或是否与执法机构联系。
3.攻击者从电子邮件平台访问数据,德勤表示该平台已经完成了审查——使他们能够准确了解哪些信息处于风险之中。根据德勤的表述,目前可以确定的是,只有很少的客户受到影响,而德勤的客户业务不会发生中断。
4.德勤将继续评估此事,并根据需要采取其他措施。
那些中过枪的安全公司
企业的网络安全问题由于潜伏时间长、破坏力大,往往会给企业造成极大的经济损失和声誉影响。但网络安全公司作为保障企业网络安全的最有力屏障,缺不止一次的连自身安全都无法保证,更有甚者,自称顶级黑客公司同样也会遭受攻击。
早在2000年6月,世界著名网络安全公司iss的中国网站就受到黑客袭击。 6月6日在网易bbs有人说,iss的主页6月5日被一名黑客修改,把iss公司总裁的相片换成了网易公司总裁的相片。
但iss公司似乎有人拒不承认有这回事,而且好像谁也没有看到被黑的现场。
据一名自称黑客的人解释:在6月5日上午11点,一名黑客修改了www的主页。当时正值iss公司总裁克劳斯访华。克劳斯号称it神童,是美国总统的网络安全顾问,自称是黑客出身,在1994年投身商业,开始做网络安全生意,很快获得了一笔风险投资,生意从此蒸蒸日上。
自从今年的黑客风暴后,产品更是卖得如火如荼。克劳斯在访华过程中侃侃而谈,谈到了网络安全十大威胁,而这次中国黑客所采用的手法,却不在他所说的十大威胁之内。可能是这句话激怒了中国的黑客,iss的中国网站受到袭击。这是自iss公司成立以来第一次网站被黑。此次被黑,当是对他中国之行的当头一棒。
2015年7月,意大利黑客公司hackingteam被黑,其400gb资料外泄,引起了黑客界的轩然大波。“这400gb内容让整个黑客界的技术水平前进了两年。”中国台湾黑客组织hitcon领队与竞赛负责人李伦铨如是评价这次事件。
hackingteam泄露的数据中,包括其开发的能够监控几乎所有桌面计算机和智能手机的监听软件,以及为实现监控而搜集的大量零日漏洞(0day,未经公开、没有修补程序的漏洞)。更惊人的是,数据中还有若干国家政府与其交易的信息存档。
2017年6月,美国网络安全公司、fireeye的全资公司mandiant 遭黑客入侵,其内部网络以及客户端数据或已暴露。
mandiant是一家有着军方背景的网络安全公司,其成立于 2004 年,主要提供安全服务及产品包括威胁侦测与响应、威胁情报分析以及安全咨询服务等。
7月31日下午,一个自称为31337的黑客组织在线发表声明称,声称其在2016年起就入侵到了 mandiant公司一位高级威胁情报分析工程师的电脑内,并成功获取了大量的内部资料。
说到这些资料,那就厉害了,这其中包含有内部邮件数据、网络拓扑结构、以色列国防军的威胁情报概况和公司工作表。当然还包含有 mandiant以及fireeye的部分内部文件。
mandiant公司威胁情报工程师 adi peretz 的 linkedin账户被黑
最为讽刺的是,给黑客组织声明其侵入并控制这名工程师的电脑已经有长达一年的时间了,甚至还对其进行了gps跟踪,对于一名安全从业人员来讲,这可以算得上是莫大的耻辱。
黑客组织通过 pastebin 发布的声明
而此次,对于2016年以370亿美元成绩刷新历史创收记录的德勤,我们还无法确定这次事件接下来会给它造成多大损失,但是肯定的是,至少它以后的网络安全咨询业务会比较尴尬。
近年来,德勤正在加快在数字化业务发展,包括两年前成立的德勤数据研究院,今年9月初在中国香港建立的亚太区区块链实验室。2天前的百年庆典上,德勤中国刚刚宣布一项2亿美元的中国战略投资计划,除了培养人才,还旨在推进中国企业和自身的数字化转型。而这些布局方向,都离不开强大的技术安全保障。
而如今网络信息安全问题,正变得越来越复杂。网络安全公司自身所面临的形势,也越来越严峻。
首先,随着物联网、ai等技术的发展和渗透,未来企业的每个产品、终端都将互联互通。即便是从事网络安全的公司,一旦被入侵者攻击,不仅内部操作系统无法正常使用,大量隐私信息可能会被窃取,造成巨大的经济损失。
另一方面,尝试和扩张“生态系统”的安全企业越来越多。随着它们商业模式不断生长、繁衍,信息安全的网络也在无限扩大。每一位生态参与者都有自己所需承担的责任、每个合作节点也存在各种潜在风险。
因此,德勤不会是最后一个遭遇攻击的网络安全业务企业,也不会是史上受损最大的企业。
在这项巨大风险面前,除了加强自身技术防护,打铁还需自身硬之外,更重要的是企业管理者,在不断努力扩张,向企业和客户提供安全技术和安全咨询过程中,提高网络安全问题在自身企业内部的地位。
毕竟,如果连网络安全公司都自顾不暇,网络安全又从何谈起。