组织能从Capita勒索软件事件的破纪录罚款中学到什么

最近，英国信息专员办公室因Black Basta勒索软件事件对Capita处以1400万英镑罚款——这是ICO有史以来开出的最高罚单。ICO裁定Capita在网络安全方面存在“疏忽”。

ICO还指出，Capita自称为英国政府的主要供应商，并销售托管安全运维中心服务——然而报告中指出的主要失败点正是这个SOC。

罚款原本应该是GDPR法规下允许的最高金额……然而最终有所减少，原因之一是Capita无法支付那么多钱。

我认为，深入探讨企业能从这一判决中学到什么至关重要，因为这能揭示ICO的监管思路。这并不是说ICO的判决不好。恰恰相反，判决非常好，实际上让一个组织因其疏忽的网络安全实践而受到了公开问责。

简要背景

我在该事件首次发生时，就在这个博客上详细报道了Capita的勒索软件情况。事实上，ICO判决中的许多发现都印证了我之前（2023年4月）关于此事的博客文章：

• Black Basta勒索组织利用窃取的客户数据敲诈Capita，Capita的应对一塌糊涂。
• 俄罗斯黑客在Capita系统中断前一周多就已窃取其数据。

我当时不得不进行广泛报道，因为Capita在连续多天里，向客户（我当时就是其中之一）谎称是“Microsoft 365”的“技术问题”，尽管他们非常清楚这是勒索软件攻击，而且Capita内部还有一个正在处理的重大安全事件。他们特意告诉客户这与安全无关。这是一个谎言。

Capita的首席执行官在事后告诉《泰晤士报》，他们的事件响应“将被视为应对复杂网络攻击的案例历史载入史册”。

Capita的首席执行官现已离职，而Capita则收到了ICO有史以来对企业开出的最大罚单。这绝不会被视为应对复杂网络攻击的案例历史——事实上，攻击并不复杂，而Capita在准备和应对的几乎每个环节都搞砸了。

初始入侵

初始入侵是通过Qakbot进行的，正如我当时在博客中详述的那样：

ICO关于Capita的报告指出，“零号病人”的初始警报包含“威胁警报 高”、“凭据访问”和“横向移动”等术语：

Capita的内部服务等级协议规定，他们将在1小时内处理95%的P2级警报……然而，超过58小时都没有人响应这个警报。

ICO指出，在此之前的6个月里，Capita的SOC从未达到过P2工单的SLA要求：

报告还指出，在这50多个小时期间，任何时候都只有一名SOC分析师在值班。

Capita对这一处罚点提出异议，称其内部SOC SLA目标不在ICO的评判范围内。它辩称设定高目标是为了鼓励团队达成。ICO不同意这不属于其职权范围，这也是ICO做出罚款决定的主要依据。

Capita还试图质疑警报未被处理的说法，声称Trellix的EDR工具立即隔离了该系统。然而，ICO要求其提供证据——鉴于发生了横向移动和域管理员访问——Capita未能提供。

ICO还指出，他们认为该警报被错误归类为P2，本应被赋予最高优先级：

关键教训：

• 如果你设定并衡量内部SOC目标，你需要能够达成它们，否则可能面临监管罚款，即使你不同意相关监管机构的说法。
• 将CobaltStrike和其他勒索软件相关工具归类到最高警报级别，并授权SOC领导层将生成真实阳性警报的任何系统与网络其他部分隔离。
• 对任何被隔离主机产生的所有形式的横向移动进行彻底调查——特别是寻找对域管理员和服务账户的访问。

数据丢失

Capita有超过600万人的数据被窃取。至今仍不清楚具体细节。

被窃取的数据包括： 犯罪记录检查。性取向。政治简报。生物识别信息。这是可能造成损害的数据的典型定义。

ICO的报告指出，在3月30日，大约有1太字节的数据被窃取，而在此期间，客户并不知道Capita已经在处理一起重大的网络安全事件：

在Capita自己的网站上，5天后，Capita写道“没有证据表明客户、供应商或同事数据遭到泄露。”，这是虚假陈述。

它还说问题“主要影响对内部Microsoft Office 365应用程序的访问。”——考虑到此时他们的内部Active Directory已被攻破，且已失去对所有员工账户和内部系统的访问权限，这同样也是虚假陈述。

你可能已经注意到这里存在一种对客户隐瞒事实的模式。

报告指出，数据外泄使用了SystemBC以及rclone（一种数据复制工具）。报告还提到部署了BloodHound，这是一种用于查找安全漏洞的Active Directory工具。

报告最终认定，Capita未能实施措施以防止在其环境内进行横向移动和权限提升——稍后会详述：

另一个发现是，尽管Capita声称没有任何被窃取的数据出现在暗网上（顺便说一句，这是错误的，可以阅读我之前的博客——《泰晤士报》实际上通过BlackBasta门户网站上的数据直接联系到了受害者），但ICO判定危害风险仍然存在。

这里的启示是，支付赎金（Capita悄悄支付了）然后假装威胁行为者已经删除了数据——Capita称之为“保护数据”——在ICO这里是行不通的。支付赎金给勒索软件组织只会资助严重的组织犯罪。

关键教训：

• 关注端点安全警报中的可疑工具——例如，Microsoft Defender for Endpoint会默认对rclone的可疑使用发出警报。
• 如果具备能力，监控所有未经授权的rclone使用——特别是流向互联网主机的rclone流量。
• 理想情况下，rclone不应该直接流向互联网——你应该用防火墙阻止它。
• 如果你收集防火墙日志，查找可疑的大容量数据传输。
• 在重大网络事件的早期阶段——这实际上是一场危机——不要试图在公开场合和公众面前将其描述为“IT问题”，然后试图通过媒体将责任归咎于Microsoft 365。直接、大声地从你自己的网站发布更新信息——如果看起来会成为重大媒体报道，就用你自己的信息淹没整个区域。
• 不要在事件发生一周后就宣布“没有证据表明客户、供应商或同事数据遭到泄露”，因为你知道这可能根本不是真的，这只会让这个声明在未来困扰你。
• 向勒索软件组织支付赎金并不能免除数据外泄的责任。

漏洞

Capita表示，它使用Nessus对存放了被窃取个人数据的业务部门进行漏洞扫描：

它无法提供证据证明具体受影响的系统曾进行过渗透测试，也无法提供对这些系统安全性的内部审计证据。

在事件发生前的几年里，更广泛的组织确实进行了多次渗透测试，这些测试都突显了Active Directory方面的问题，例如来自他们自己报告中的内容：

“没有策略阻止域管理员登录到标准成员服务器，这意味着拥有有效域管理权限的用户可以使用其账户登录成员服务器。这带来了风险，即如果某台主机被攻陷，攻击者可能能够获取高权限账户的密码哈希，并获得对域的权限访问。”

多年来，多次渗透测试以不同发现的形式强调了这个问题，但从未得到修复。威胁行为者后续在组织内进行横向移动时使用的正是这一特定技术。

关键教训：

• 如果你存储大量个人数据，仅仅每周运行一次Nessus扫描是不够的。
• 你需要对处理个人数据的系统进行渗透测试，并通过内部审计进行监督。
• 如果你对Active Directory进行渗透测试，你需要修复发现的问题。

总体教训

这份报告长达136页，如果你想了解ICO的监管思路，值得一读：

网络事件总会发生。每个人都明白这一点，包括ICO，根据我多年阅读的各类判决，ICO一直非常公正。客户在很大程度上也理解这一点。

重要的是事前采取的准备工作——从渗透测试到审计再到危机规划——以及在事件初期阶段采取的措施以及阻止事态升级的步骤。

当你陷入严重困境时，请引入外部帮助并听取他们的建议。

我的总体建议是组织应重点关注以下七大支柱：

1. 拥有一个人员配备充足的SOC，设定其可达到的、经过审计的目标，并授权他们在出现任何重大麻烦迹象时隔离系统。
2. 默认阻止所有出站互联网访问，然后根据需要通过网络代理或应用感知防火墙允许访问。你不需要随机服务器通过rclone向随机互联网主机传输1太字节数据——别轻信零信任的“酷爱饮料”概念，默认阻止它，因为风险太大了。
3. 识别处理和存储大量个人数据的系统，并对这些系统进行外部渗透测试。
4. Microsoft Active Directory安全可以成就或毁掉你的企业。它必须稳健。请外部方对其进行测试并修复问题。
5. 制定可行的危机计划，包括向客户进行透明的沟通。
6. 创建一种网络安全文化，让人们意识到感知到的风险时，能够通过非正式和正式的途径提出。让人们在发现不对劲时能安全地指出问题。
7. 最后，主动且诚实地测试这些计划和技术控制措施。你的组织中很可能已经有员工能够随意测试他们是否能在不被发现的情况下从你的网络用rclone传出数据并运行Bloodhound等工具。

总而言之，将问题公之于众，并努力像保护自己一样保护你的客户免受伤害。