去年MOVEit漏洞爆发时,一家美国医保公司花了17天才确认自己是否中招。不是因为技术差,而是供应商的沉默让他们无从判断。
这种"先闭嘴,等风头过去"的安全策略,正在让越来越多的企业付出真金白银。Cloudflare欧洲区CTO克里斯蒂安·赖利(Christian Reilly)最近公开算账:2023年单起供应链攻击的平均损失已突破1100万美元,而沉默造成的响应延迟,让这个数字至少再涨40%。
旧规则:不说话=安全
网络安全行业有个心照不宣的习惯——发现漏洞后,能不说就不说。
逻辑听起来合理:公开讨论等于给黑客送攻略,保持低调还能保住公司脸面。赖利在文中回忆,十年前这种策略确实行得通,"那时候系统相对封闭,一台服务器出问题,影响范围基本锁死在机房内部"。
但现在的技术栈像乐高积木。你的代码里跑着三家云服务商的模块,数据库依赖某个开源项目的临时补丁,身份验证又外包给第四方。赖利打了个比方:"以前漏水只淹自家地下室,现在整栋楼的管道都串在一起,你关着门不吭声,楼上楼下照样泡在水里。"
MOVEit Transfer漏洞就是活教材。2023年5月,这款企业级文件传输软件曝出SQL注入漏洞,攻击者零成本就能批量窃取数据。但真正让事件失控的,是信息传递的断裂。
Progress Software(MOVEit开发商)在5月31日发布补丁,但大量下游企业直到6月中旬才意识到自己用了受影响版本。赖利指出,中间这半个月的真空期,"不是因为企业懒,是因为他们根本不知道自己在这个供应链的哪一环"。
新现实:沉默=放大器
赖利列了一组Cloudflare监测到的数据:2023年,平均每个企业接入的外部SaaS工具数量达到130个,API调用次数同比增长217%。这意味着任何单一漏洞的潜在传播路径,都比五年前复杂了一个数量级。
更麻烦的是责任边界的模糊。当攻击者通过某家供应商侵入你的系统,谁该站出来通报?传统答案是"等官方公告",但赖利认为这已经不现实:"等供应商发声明,往往意味着攻击者已经活跃了两到三周。"
他举了个具体案例。2023年初,某身份管理服务商遭遇入侵,攻击者窃取了多家客户的会话令牌。由于该服务商选择"内部处理、暂不公开",其客户中的两家金融科技公司直到遭遇二次攻击,才倒查发现源头。最终损失包括:客户数据泄露赔偿、监管罚款、以及股价单日下跌12%。
赖利的判断很直接:"沉默没有减少任何风险,只是把风险转嫁给了最不知情的一方。"
替代方案:结构化透明
赖利并非主张"什么都往外说"。他提出的替代策略是"结构化透明"——在保护技术细节的前提下,尽快让相关方获得风险评估所需的信息。
这包括三个具体动作:
第一,建立"影响半径"的即时通报机制。不是等技术团队写完完整报告,而是先回答一个简单问题:哪些客户、在什么场景下、可能面临什么级别的风险。赖利建议这个环节控制在漏洞确认后的4小时内。
第二,用机器可读格式共享指标。Cloudflare推行的做法是,将攻击指标(Indicators of Compromise,IOC)直接接入客户的自动化安全工具,"让人工审核变成最后一道防线,而不是第一道"。
第三,预设"供应链热图"。赖利建议企业提前绘制关键依赖关系,明确"如果A服务商出事,我的B、C、D系统会受什么影响"。这张热图平时锁在抽屉里,危机时刻能省下数小时的排查时间。
这些做法的底层逻辑,是把安全响应从"事件驱动"转向"关系驱动"。赖利写道:"现代安全不是修自己的墙,而是管理一张动态的、相互依赖的网络。你的透明度,就是别人的防御资源。"
阻力来自哪
改变并不容易。赖利承认,法律团队的担忧是真实的——过早披露可能触发集体诉讼,某些司法管辖区还有强制报告时限的模糊地带。
但他认为更深层的问题在于KPI设计。多数企业的安全团队考核指标是"零事故"或"低曝光",而非"生态系统的整体韧性"。这种激励结构下,沉默仍是理性选择。
赖利提到一个正在试点的解决方案:部分行业开始采用"漏洞披露保险",由第三方承保因透明通报导致的短期股价波动或诉讼风险。这相当于用金融工具对冲文化转型的成本。
另一个信号来自监管端。欧盟《网络韧性法案》(Cyber Resilience Act)预计2024年底生效,其中明确要求软件供应商在漏洞发现后24小时内向ENISA(欧盟网络安全局)报告,并"无不当延迟"通知受影响用户。赖利评价:"这不是建议,是倒计时。沉默的窗口期正在以月为单位收窄。"
回到MOVEit案例的尾声。Progress Software最终在6月15日公布了完整受影响客户名单,但此时距离补丁发布已过去15天。赖利引用了某受影响企业CISO的反馈:「如果他们在第3天就告诉我'你的版本有风险,即使没发现入侵痕迹',我能省下的不仅是钱,还有和董事会解释为什么'没出事也要升级'的口水。」
你的供应商列表里,有多少家能在4小时内告诉你:他们的漏洞会不会淹到你的楼层?
热门跟贴