组织能从Capita勒索软件事件创纪录罚款中学到什么

最近，英国信息专员办公室（ICO）因Black Basta勒索软件事件对Capita处以1400万英镑罚款——这是ICO有史以来开出的最大罚单。ICO裁定Capita在网络安全方面存在“疏忽”。

他们还指出，Capita自诩为英国政府的主要供应商，并销售托管安全运营中心服务——然而，报告认定的主要故障恰恰出在安全运营中心。

这笔罚款原本应该达到GDPR法规规定的最高限额……然而最终降低了，原因之一是Capita无力支付那么多钱。

我认为深入探讨企业能从这一判决中学到什么很重要，因为它揭示了ICO的思维方式。这并不是说ICO的判决不好。恰恰相反，判决非常好，并且实际上让一个组织因其疏忽的网络安全实践而受到了公开问责。

简要背景

在事件首次发生时，我曾在本博客上广泛报道过Capita的勒索软件情况。事实上，ICO判决中的许多发现都印证了我此前在2023年4月关于此事的博客文章：

• Black Basta勒索软件组织利用窃取的客户数据勒索Capita，Capita的应对一团糟。
• 《泰晤士报》今天有一篇有趣的文章，Capita的CEO声称Capita对黑客攻击的回应“将成为处理复杂网络攻击的案例历史”。

当时我不得不进行广泛报道，因为尽管Capita非常清楚这是一次勒索软件攻击，并且同时还在处理另一起重大的背景安全事件，但他们却连续多天向客户（我当时就是其中之一）谎称是“微软365”的“技术问题”。他们明确告诉客户，这与安全无关。这是一个谎言。

Capita的CEO此后离开了公司，而Capita也收到了ICO有史以来对企业开出的最大罚单。这不会成为处理复杂网络攻击的案例历史——事实上，攻击并不复杂，而Capita在准备和应对的几乎每个环节都搞砸了。

初始入侵

初始入侵是通过Qakbot实现的，正如我当时在博客中详述的那样。

ICO关于Capita的报告指出，患者零（首个受感染的系统）的初始警报包含诸如“威胁警报-高”、“凭证访问”和“横向移动”等术语。

Capita的内部服务等级协议规定，他们会在1小时内处理95%的P2级警报……然而，超过58小时无人响应此警报。

ICO指出，在之前的6个月里，Capita的安全运营中心从未达到过P2级工单的SLA要求。

报告还指出，在这50多个小时期间，任何时候都只有一名安全运营中心分析师在岗。

Capita对这一罚款因素提出了异议，称其内部安全运营中心SLA目标不属于ICO的管辖范围。它说设定高目标是为了激励团队达成。ICO不同意这不属于其管辖范围，并且这是ICO关于罚款的主要认定。

Capita还试图反驳警报未被处理的说法，声称Trellix的EDR工具立即隔离了该系统。然而，ICO要求提供证据——考虑到发生了横向移动和域管理员访问——而Capita未能提供证据。

ICO还指出，他们认为警报被错误分类为P2级，本应属于最高优先级。

关键收获：

1. 如果你设定并衡量内部安全运营中心目标，你需要能够达成它们，否则将面临监管罚款的风险，即使你不同意该监管机构的观点。
2. 将CobaltStrike和其他勒索软件相关工具分类到最高警报级别，并授权安全运营中心领导层将生成真正阳性警报的系统与网络其余部分隔离。
3. 彻底调查任何被隔离主机发生的所有形式的横向移动——特别是要查找对域管理员和服务账户的访问。

数据丢失

Capita有超过600万人的数据被窃取。它至今仍不清楚具体的细节。

被窃取的数据包括：犯罪记录检查、性取向、政治简报、生物特征数据。这是会造成危害的数据的定义。

ICO报告指出，在3月30日期间，有近1TB的数据被窃取，当时Capita已经——客户并不知情——在处理一起重大网络安全事件。

在Capita自己的网站上，5天后，Capita写道“没有证据表明客户、供应商或同事数据遭到泄露。”，这是错误的。

它还说问题“主要影响对内部微软Office 365应用程序的访问。”——考虑到此时其内部Active Directory已被攻破，且他们已失去对所有员工账户和内部系统的访问权限，这种说法也是错误的。

你可能注意到这里存在一种向客户隐瞒事实的模式。

报告指出，攻击者使用SystemBC和rclone（一种数据复制工具）来窃取数据。报告还指出部署了BloodHound，这是一种用于查找安全漏洞的Active Directory工具。

报告最终认定，Capita未能实施措施以防止在其环境内进行横向移动和权限提升。

其他发现之一是，尽管Capita声称被窃取的数据没有出现在暗网上（顺便说一句，这是错误的，可以阅读我之前的博客——《泰晤士报》实际上通过BlackBasta门户网站上的数据直接与受害者进行了交谈），但ICO判断危害风险仍然存在。

这里的启示是，支付赎金（Capita悄悄支付了）然后假装威胁行为者已经删除了数据——Capita称之为“保护数据”——在ICO这里行不通。支付赎金给勒索软件组织所做的唯一事情，就是资助严重的组织犯罪。

关键收获：

1. 关注端点安全警报中的可疑工具——例如，Microsoft Defender for Endpoint会默认对rclone的可疑使用发出警报。
2. 如果有能力，监控所有未经授权的rclone使用——特别是到互联网主机的rclone流量。
3. 理想情况下，rclone不应直接流向互联网——你应该有防火墙阻止它。
4. 如果你收集防火墙日志，请查找可疑的大规模数据传输。
5. 在重大网络事件的早期——这实际上是一场危机——不要试图在公开场合和向公众将其描述为“IT问题”，然后试图通过媒体将责任归咎于微软365。直接从你自己的网站积极、响亮地进行沟通更新——如果看起来会成为重大媒体事件，就用你自己的信息淹没整个区域。
6. 不要在事件发生一周后就宣布“没有证据表明客户、供应商或同事数据遭到泄露”，因为你知道这可能甚至都不是真的，这只会让这个声明在未来困扰你。
7. 支付勒索软件组织并不能免除数据外泄的责任。

漏洞

Capita表示，它对数据被窃取的业务单元使用Nessus进行漏洞扫描。

它无法提供证据证明具体受影响的系统曾进行过渗透测试，也无法提供对这些系统安全性的内部审计证据。

在事件发生前的几年里，整个组织确实进行过多次渗透测试，这些测试突出了围绕Active Directory的问题，例如来自他们自己报告中的内容：

“没有策略阻止域管理员登录到标准成员服务器，这意味着具有有效域管理权限的用户可以使用其账户登录成员服务器。这带来了风险，即如果一台主机被攻陷，攻击者可能能够获取高权限账户的密码哈希值，并获得对域的特权访问。”

这个问题在多年来的多次渗透测试中以不同的发现被强调，但从未得到修复。这个具体问题正是威胁行为者后来用来在组织内进行横向移动的技术。

关键收获：

1. 如果你存储大量个人数据，仅仅每周运行一次Nessus扫描是不够的。
2. 你需要对处理个人数据的系统进行渗透测试，并通过内部审计进行监督。
3. 如果你对Active Directory进行了渗透测试，你需要修复发现的问题。

总体学习

该报告长达136页，如果你想了解ICO的思维方式，值得一读。

网络事件会发生。每个人都明白这一点，包括ICO，根据我多年来阅读的一系列判决，ICO一直非常公正。客户在很大程度上也理解。

重要的是事先采取的准备工作——从渗透测试到审计再到危机规划——以及在事件初期为应对和阻止其升级而采取的步骤。

当你陷入严重困境时，请引入外部帮助并听取他们的意见。

我的总体建议是，组织应将重点集中在七个支柱上：

1. 拥有一个配备适当人员的安全运营中心，其经过审计的目标是可以实现的，并授权他们在出现重大问题的任何迹象时隔离系统。
2. 默认阻止所有出站互联网访问，然后根据需要通过网络代理或应用感知防火墙允许访问。你不需要随机的服务器通过rclone向随机的互联网主机传输1TB流量——停止饮用零信任的“迷魂汤”，默认阻止它，因为风险太大。
3. 识别处理和存储大量个人数据的系统，并请外部机构对这些系统进行渗透测试。
4. 微软Active Directory的安全性可以成就也可以毁掉你的业务。它需要稳健。请外部机构进行测试，并修复发现的问题。
5. 制定可行的危机计划，包括与客户进行透明的沟通。
6. 建立网络安全文化，当人们意识到感知到的风险时，他们有渠道非正式和正式地提出。营造一种可以安全地指出看似不对劲的事情的氛围。
7. 最后，主动并诚实地测试计划和各项技术控制措施。你可能已经雇用了能够随意检查是否可以从你的网络中通过rclone外传数据、以及能否在未被检测的情况下运行Bloodhound等操作的人员。

总而言之，把“房间里的大象”摆到台面上，并像你希望自己被保护那样去保护你的客户免受伤害。