最近,英国三大公司——合作社集团(Co-op Group)、玛莎百货(Marks and Spencer)和捷豹路虎(Jaguar Land Rover)接连发生了三起重大的勒索软件和/或勒索事件。它们有一个共同点:在过去五年里,它们都将关键的IT和网络安全服务外包给了塔塔咨询服务公司(TCS,即Tata Consultancy Services)。我并不是说TCS不好,或者完全负有责任。但我想要剖析这里发生的事情,因为更广泛的背景很重要。
关于这些事件的损失估计各不相同,但网络监控中心(Cyber Monitoring Centre)估计合作社和玛莎百货的损失约为5亿英镑——零售行业组织也得出了类似的数字。
网络监控中心估计英国零售业网络攻击损失达4.4亿英镑 《计算机世界》(Computing.co.uk)报道,英国网络监控中心描述了四月针对玛莎百货和合作社的网络攻击,损失可能高达4.4亿英镑。
玛莎百货在几个月后仍在恢复系统,而合作社集团的关键IT系统中断了一个多月。
对于玛莎百货,其保险公司遭受了“全塔损失”,这意味着成本超过了玛莎百货1亿英镑的承保范围。玛莎百货预计网络保险将覆盖总成本的大约一半。合作社集团没有网络保险,因此拒绝支付赎金,这也是为什么他们遭遇了涉事的青少年黑客在媒体上的最大程度升级攻击。
捷豹路虎目前已完全停产15天。在我撰写本文时,已过去两周多,员工仍然不知道IT系统何时能恢复,以便汽车制造可以重新启动。
截至目前,捷豹路虎的损失尚不明确——BBC报道估计每天损失约1000万英镑,因此目前累计约1.5亿英镑。然而,这“仅仅”是利润损失——当你将网络事件响应、法律费用等所有其他因素考虑在内,再加上事件仍未解决、服务尚未恢复的事实——总损失极有可能大幅上升。
《每日电讯报》声称捷豹路虎每天损失7200万英镑,如果属实,当前总损失将略超10亿英镑。
捷豹路虎停产可能持续到十一月 供应商面临“巨大压力”,汽车制造商的危机已进入第三周。《每日电讯报》(telegraph.co.uk)报道。
结果呢?仅这三起事件就可能给相关组织造成总计约10亿英镑的损失。唯一被逮捕的嫌疑人已被保释,数月后仍未受到指控,且大多是青少年。其中一些嫌疑人在英国曾有类似事件的犯罪记录……但他们只是继续行动。
诺曼祝您继续前行 (图片:一名男子表情轻松)
但关键是:10亿英镑。听起来很糟……但它们是私营公司,谁在乎呢?
BBC报道称,捷豹路虎在过去一年中盈利略超20亿英镑。他们也能承受这种打击。毕竟,他们通过外包给TCS省下了大笔钱。
下面这一点可能会让你在意。
BBC还报道,捷豹路虎对其供应商(许多是中小型企业)的下游影响正导致员工被裁员。现在越来越多的呼声要求英国政府动用纳税人的钱,设立休假计划,向供应商支付费用以保留员工,而捷豹路虎则试图恢复其大部分已外包的IT系统。
捷豹路虎:一些供应商因黑客危机“面临破产” 政府被敦促“迅速行动”,以保护数百个工作岗位。BBC.co.uk报道。
本质上,我们陷入了一种境地:为了实现股东价值,大型组织被激励将核心IT和网络安全职能外包给国外的低成本托管服务提供商——然后当遭遇勒索软件攻击时,保险将覆盖赎金支付(一些保险公司实际上会推动向犯罪集团付款,以覆盖其潜在损失)。
这种循环助长了勒索软件经济,同样的犯罪集团可以随后将钱重新投资于购买漏洞利用工具并获取其他组织的初始访问权限。因为勒索软件是一门大生意,许多集团拥有的研发资金远比它们攻击的组织要多。尤其是当它们攻击的组织已将关键领域外包给低成本供应商时。
净效应是勒索软件和勒索集团持续获得更多组织的访问权限,并威胁到英国的经济安全。它们攻击某种直接影响数百万人的英国关键服务只是时间问题——到那时,数百万人会问正在采取什么措施来解决这个问题。答案是:做得不够。当我们不得不考虑为捷豹路虎的供应商紧急设立休假计划以合理保住工作岗位时,这不仅仅是煤矿里的金丝雀死了的迹象,而是煤矿本身即将坍塌在人们身上的征兆。
我们如何走到这一步
合作社集团十多年前就开始了与TCS的合作关系,但真正开始将关键IT服务外包给TCS大约是在2017年。当时我管理着他们的安全运营中心(SOC)。他们将IT服务台外包给了TCS——这被认为是事件的入侵点——并将员工转移到TCS,最终使职位变得冗余。
当时,我在One Angel Square(合作社总部)的公共大厅拍了这张照片,一位同事成员写道,他们正在努力将公司卖给塔塔(TCS),作为“增长燃料”计划的一部分:
同事们并不高兴 (图片:一张白板上写着“被卖给塔塔”。)
我在2019年底离开该组织后,他们后来将我的团队——网络安全运营中心——以及各种其他关键的网络安全服务全部外包给了TCS。该团队的任务是检测未经授权的访问。他们还集中了更多IT团队,然后在2020年左右将这些服务也转移给了TCS,在此过程中裁掉了同事:
英国的合作社集团将整合各部门的IT团队,警告裁员风险… 塔塔咨询服务公司将负责应用和基础设施支持——哦,还有安全。《The Register》报道。
合作社集团在过去财年录得1.61亿英镑的税前利润。
玛莎百货大约在同一时期开始了与TCS的合作关系,同样外包了关键IT服务并裁减了员工:
玛莎百货外包半数技术岗位 其430人的IT团队中约有250个职位将转移给印度科技巨头塔塔咨询。BBC.co.uk报道。
这导致了裁员,包括他们的IT服务台——这也是事件的入口点。据我了解,随着这种合作关系的发展,他们也开始将网络安全职能的部分内容外包给TCS——包括负责检测未经授权活动的团队。
玛莎百货在过去财年录得8.76亿英镑的税前利润。
捷豹路虎遵循类似的模式。他们将IT的关键领域外包给了TCS。然后继续将网络安全的某些部分外包给TCS,包括安全运营、治理风险与合规(GRC)以及身份和访问管理(IAM)。虽然员工通过TUPE(企业转让保护条例)转移,但许多人后来被裁。这种TUPE模式在各组织中重复出现。
捷豹路虎在过去财年录得25亿英镑的税前利润,是其十年来的最佳业绩。
TCS否认一切
他们否认。TCS否认其系统被入侵。他们关于此事的声明应仔细解析,看看他们到底在做出或回答什么声明。
在网络行业众所周知,LAPSUS$团伙的青少年曾致电服务台要求访问权限,并且轻松获得。TCS提供了这项跨客户共享的服务台服务。当TCS拥有环境中的域管理员权限并管理IT服务时,问题不是“TCS是否被入侵?”,而是“TCS的客户是如何被入侵的,你是否提供了那些服务?”
在网络行业,关于TCS有很多传闻并非秘密——我在一线听过像“糟糕的网络服务”这样的说法。相关的梗图也流传了一段时间。
100000000000% 认证 (图片:一张幽默证书,写着“100000000000% CERTIFIED”)
还有,你知道的,这些年来所有的Reddit帖子,例如: (Reddit链接:/r/cybersecurity/comments/1ll1l6c/scattered_spider_tcs_blame_avoidance/)
托管服务提供商(MSP)不好吗?
不。托管服务提供商并非不好。特别是对于小型企业来说,一个优秀的MSP可以提升组织,使其获得因其规模而无法妥善部署和管理技术的能力。
然而——当你谈论的是拥有数万名员工的组织,当他们将网络风险与合规、网络安全运营、密码重置服务台等领域外包时——他们承担了在我看来变得高度可疑的风险水平。这不仅仅是风险——而是可能也确实会发生的风险。当整个公司心脏病发作时,那10%的预算节省看起来就不那么诱人了。
MSP依赖共性来扩展规模。例如,他们使用覆盖大量客户的团队。他们运营IT服务台,根据你拨打的电话号码,你会得到一个以该公司名称定制的服务——例如,TCS运营一个微软一线员工IT服务台。但接电话的那个人同时处理多项事务,只看到你拨打的号码,调出该公司的流程,并按照脚本来处理。这很容易被滥用,操作员也容易犯人为错误。
MSP使用标准操作程序。他们将管理成千上万个其他组织的Active Directory、存储阵列、VMware集群等。他们把一切都写下来。一切都有记录。如果你是攻击者,很容易滥用。这些是公司跳动的心脏。
同样,许多MSP的薪酬低得惊人,也有MSP员工接受贿赂的例子。考虑到他们拥有的访问级别——例如能够重置管理用户的多因素认证(MFA)令牌——支付极低的工资不仅风险高,而且非常愚蠢。
激励机制已扭曲
资本主义鼓励降低成本。首席信息官(CIO)希望或者在某些情况下不得不每年削减10%的预算。但当你走到这一步:英国政府可能不得不动用纳税人的钱来支付捷豹路虎的供应商以使其不工作,而捷豹路虎却录得创纪录利润时,我们应该问自己——这里的激励机制是否给英国带来了经济风险?
面对近10亿英镑的损失,你会认为保险公司会遭受重创并高度警惕。不。保险公司对这些事件非常兴奋,目前正全力以赴从中获利:
玛莎百货攻击可能是赢得新网络业务的关键 虽然玛莎百货有网络保险,但合作社和哈罗德百货没有。《Insurance Insider》报道。
网络事件响应提供商同样乐在其中——在谷歌上搜索这些数据泄露事件,或者勒索软件事件,会发现这现在是繁荣时期。可悲的是,网络行业很大一部分利润来自勒索软件——这就是为什么在禁止支付赎金方面一直存在游说阻力。
谁不喜欢勒索软件?受害组织、那些看到学校因事件关闭(如此频繁以至于不再成为新闻)的学生、那些在勒索软件事件中数月无法使用市政服务的人们(这些事件几乎不成为新闻)……这个名单很长。
我们已经将勒索软件正常化了。
随着勒索软件和勒索集团转向航空公司、食品生产、仓储和其他行业,这个名单还会变长。你可能认为——凯文——他们已经这么做了。他们几乎才刚刚开始。他们有一个目标丰富的环境。受害者并不短缺。
因为他们知道大型组织已将服务台外包给超低成本供应商,威胁增加了。因为他们知道组织已将关键IT系统外包给拥有3940个其他客户的提供商,这些提供商通过流程图和SOP文件进行管理,风险增加了。
因为组织正忙于尝试自动化一切并将IT置于一切核心以降低成本,风险和威胁增加了。
当你将成本压力、资本主义、自动化和数字经济结合在一起时——这里已经产生了风险。许多组织在成本方面实质上正在竞相逐底。竞相逐底的结果并不好。
数据保护
Ciaran Martin写了一篇非常好的LinkedIn帖子,让我思考: (链接:Ciaran Martin同意凯文·博蒙特关于捷豹路虎黑客攻击的观点)
我引用他的话:
那么,为什么我们在类似这样的案例中仍然把个人数据当作首要关注点来讨论呢?这很重要。但汽车制造商持有的关于其客户的数据并不多,也并非很有趣。首要问题是服务中断,而不是数据丢失。 问题的一部分在于,目前我们有全面的法律义务来保护数据,但我们没有全面的法律义务来保护服务。即使英国即将出台的新立法,也只有至关重要的公司会被覆盖。 我个人的观点是,我们需要认真审视这种(不)平衡。数据安全和服务连续性都很重要。但它们截然不同——这相当于组织遭受某人潜入你家复制敏感信息,或者有人打你的脸并打断你的腿。两者都令人不快且具有破坏性,但它们是截然不同的体验,具有截然不同的影响。 然而,法律和实践告诉我们要更担心前者而不是后者。这不是有点奇怪吗?
他说得对。我以前没想到这一点。例如,媒体在头两天之后几乎再未提及捷豹路虎事件——除了当他们承认“一些数据”可能受到影响时。那又成了一个新闻周期。但是……为什么呢?这里的主要影响是英国政府可能不得不有效地救助汽车行业。而不是一些数据可能被盗。
公司高度专注于合规——这是对的,GDPR证明了立法是有效的。然而,尽管对数据保护的关注在大多数大型组织中非常明显,但对网络韧性的关注——坦率地说——几乎不存在。
许多组织认为IT灾难恢复计划可以应对勒索软件。它不能。勒索软件组织做的第一件事就是删除备份和恢复系统,然后再破坏其他任何东西。我与一个又一个企业交谈过,他们应对勒索软件的真实计划很简单:保险会覆盖,我们会付钱。任何经历过这些事件一线的人都会告诉你两件事会发生:你的企业IT心脏病发作,以及支付赎金不等于恢复。在几乎所有情况下,即使支付了赎金,恢复也需要数周到数月的时间。真正的风险——常常成为现实——是有人试图通过IT故意点燃你的总部大楼。在几乎所有情况下,当这种情况发生时,组织不知道该怎么办——并且像叫消防队一样呼叫国家网络安全中心(NCSC)和国家犯罪调查局(NCA)。但消防队并不是他们。
如果你查看玛莎百货的网站,他们有一个3页的高管和C级人员名单,控制着业务的每一个重要元素——但没有任何网络安全负责人的名字。这个角色存在……但它甚至被认为不够重要到出现在网站上。捷豹路虎和合作社集团也是如此。
我认为英国政府应该做什么
我认为英国可以在几个方面起带头作用:
- 推进立法,强制公司披露是否支付了赎金,并禁止关键基础设施支付赎金。
- 要求制定计划,准备禁止英国公司支付所有网络勒索赎金。这并不意味着必须实施。这意味着应该有关于如何实施的计划,以防我们需要拉动这个杠杆。这也是一个意图的信号——包括向董事会表明,“直接付款”是个坏计划。
- 需要对大型组织进行教育,了解他们使用第三方服务提供商提供绝对关键服务时所承担的风险水平——其中一些服务应该由内部管理,妥善处理,并作为业务成本加以保护。
- 需要进一步探索关于保护关键服务的网络韧性立法。正如上面白板上所见的“正在被卖给塔塔”,可能不仅仅发生在合作社。只是外界没有人意识到它正在发生。
- 需要制定一个计划来化解勒索软件经济,即使这意味着要抵制网络安全供应商行业。激励机制必须重新调整。
我真的相信英国可以在这个整个话题上引领方向,公民社会也会因此变得更好。我也相信我们不仅能够,而且必须这样做——选择在于我们是在事情变得非常糟糕时做出反应,还是现在就开始行动。
