安全咨询「全球第一」的德勤被黑，到底打了谁的脸？

&amp;lt;img alt="dq.jpg" src="http://image.3001.net/images/20170928/15065945711578.jpg!small" width="690" height="523"&amp;gt;&amp;amp;nbsp;&amp;lt;/p&amp;gt;

本周，全球四大会计师事务所之一的Deloitte（德勤）遭到网络攻击，导致其全球电子邮件服务器被入侵。大型公司被黑我们早已见怪不怪，但这次德勤被曝出“大量RDP端口对外”“一个帐号全线入侵”“员工将VPN密码上传Github”等低级风险，而其又有着被Gartner评为全球第一的安全咨询业务和销往全球的安全解决方案……也许，这次事件不仅是一场“大规模攻击”，更是一场“大规模打脸”。

&amp;lt;img alt="180327033345.jpg" src="http://image.3001.net/images/20170928/15065930166913.jpg!small" width="346" height="260"&amp;gt;&amp;lt;br /&amp;gt;&amp;lt;/b&amp;gt;&amp;lt;/span&amp;gt;&amp;lt;/p&amp;gt;

德勤被黑事件：大量低级风险被曝光

德勤于今年三月份发现了这一攻击事件，但据了解，攻击者很可能早在2016年的10月或11月份就已经入侵了该公司的网络系统。攻击者通过一个管理员账号成功入侵了Deloitte的全球电子邮件服务器，并成功入侵了该公司的其他网络系统，可能还获取到了公司客户的IP地址、公司业务计划以及员工健康信息等等。更加重要的是，除了公司的个人客户之外，受此次事件影响的机构甚至还包括美国政府部门在内。

根据《卫报》记者所了解到的信息，该公司在云端总共存储了大约五百多万封电子邮件，而攻击者很可能已经成功获取到了这些邮件，但不管怎样，Deloitte仍对外表示在此次数据泄露事件中只有一小部分客户的邮件被泄露了。

在德勤的公告中，公司轻描淡写地描述了攻击事件，并且只通知了6家客户。事件被揭露后，人们发现德勤到处都是安全漏洞。

首先，德勤的员工吧大量的密码信息公布到了Google+上，把它当成了笔记本：

&amp;lt;img alt="deloitte_proxy.jpg" src="http://image.3001.net/images/20170928/15065905059193.jpg!small" width="648" height="666"&amp;gt; &amp;lt;/p&amp;gt;

把VPN密码上传到GitHub：

&amp;lt;img alt="deloitte_vpn.png" src="http://image.3001.net/images/20170928/15065905771830.png!small" width="648" height="644"&amp;gt;&amp;lt;/p&amp;gt;

大量服务器RDP端口公然开放：

&amp;lt;img alt="rdp.png" src="http://image.3001.net/images/20170928/15065905487581.png!small" width="601" height="578"&amp;gt; &amp;lt;/p&amp;gt;

员工安全意识淡薄，安全管理疏忽，导致这些机密信息唾手可得，给了黑客可乘之机。事实上，公开了这些信息，德勤想不被攻击都难啊！

也许并没有将对客户的建议去保护自己……

在网络安全领域，德勤并不仅仅提供安全咨询业务，还有自己相应的安全产品和安全服务，在一定程度上，也是一家安全厂商。虽然说攻击与漏洞的发生在所难免，但德勤被曝出的种种“安全风险”，与其全球推行的安全解决方案如此违背，这就很尴尬了……

&amp;lt;img alt="TIM截图20170928173145.png" src="http://image.3001.net/images/20170928/15065911372525.png!small" width="690" height="423"&amp;gt;&amp;lt;/p&amp;gt;

德勤以其完善的安全服务解决方案著称，以下文案摘自其官方网站：

蓄意的网络攻击、无意的安全疏漏、以及互联网本身尚不成熟和缺乏监管等弱点，都可能对隐私数据、知识产权、网络基础设施、乃至军事和国家安全造成损害。德勤能帮助企业规划和实施综合网络方案，在不影响安全和隐私的前提下，充分利用信息网络的力量来加强业务运营、提高任务绩效，并改善客户支持体验。

而旗下的安全方案覆盖的方面包括：应用安全、身份和访问管理、信息和隐私保护、基础设施安全、脆弱性管理。

网络预警产品方面，德勤称旗下的网络预警服务充分运用了深度数据分析和关联技术，旨在帮助客户制定关键业务流程监控方案。通过整合威胁数据、IT数据和业务数据，可为安全团队提供更丰富的预警信息，进而助其更好地排定优先处理事项并简化事件调查工作。德勤的网络预警业务包括：安全运营中心、威胁情报和分析、网络风险分析、高级威胁应对。

除此之外，德勤还拥有自己的风控系统——德勤风险智能管理系统R.I.S.K，为近50家大型企业和金融机构提供了R.I.S.K系统实施服务。

此次安全事件无疑会使得其旗下业务公信力大打折扣。

在攻击事件中，员工安全意识淡薄是一个方面，另一方面，攻击者能利用一个管理员账号完成“全线入侵”，是因为德勤的网络系统中并没有部署任何的双因素身份验证机制，这暴露出的是德勤安全管理的疏忽——这家涉足网络安全领域的“四大”似乎连自己推销的那套安全管控机制都没有做到，略显尴尬。

Gartner：德勤安全咨询服务全球第一

德勤安全服务曾被Gartner评为世界第一大安全咨询公司。

&amp;lt;img alt="TIM截图20170928172857.png" src="http://image.3001.net/images/20170928/15065909784418.png!small" width="690" height="549"&amp;gt;&amp;lt;/p&amp;gt;

Gartner公司是全球最具权威的IT研究与顾问咨询公司，其研究范围覆盖全部IT产业，为客户提供论证报告及市场调研报告，协助客户进行市场分析、技术选择、项目论证、投资决策。它出品的“魔力象限”被公认为是最客观的评测报告之一，相信大家耳熟能详。

Gartner把德勤安全咨询服务列为全球第一。尽管评测的标准是安全咨询的市场规模，但这样的评测对于想要获取安全服务的公司来说无疑具有很强的参考意义。

被打脸的测评机构可不止Gartner一家，几年前，德勤曾被肯尼迪评为网络安全咨询全球领导者。肯尼迪的报告中指出，“德勤将其行业专业技术、‘一个方法论、一个模式’、专门的网络安全投资以及高管沟通能力完美地结合在一起，使其在网络安全咨询方面的意见十分有价值。”现在看来，只能说讽刺意味十足。

除此之外，另一家专业的调查公司Forrester在今年第一季度推出的“信息安全咨询服务提供商”评估中把德勤列为Leader，在肯定了其市场规模的同时也肯定了其技术能力。

&amp;lt;img alt="117974_2-1wq.gif" src="http://image.3001.net/images/20170928/15065909001071.gif!small" width="690" height="699"&amp;gt;&amp;lt;/p&amp;gt;

之所以会写这篇文章，笔者当然不是为了逞一时之快甚至是落井下石。只希望通过这个大乌龙，呼吁大家理性看待评测机构及行业排名，与此同时更清醒地意识到企业安全意识、安全管理的重要性。

参考来源

Market Share Analysis: Security Consulting Services, Worldwide, 2016

网络风险 | 德勤中国 | 风险咨询

Deloitte is a sitting duck: Key systems with RDP open, VPN and proxy ‘login details leaked’

德勤被肯尼迪评为网络安全咨询全球领导者

* 本文作者：Sphinx，转载请注明来自FreeBuf.COM