繼上周微軟高管電子郵件被黑后，科技巨頭惠普企業(HPE)本周四也披露遭到類似黑客攻擊，俄羅斯APT組織在其網絡中潛伏了長達六個月之久，竊取了包括電子郵件在內的敏感信息。

SEC披露新規引發“連環暴雷”

去年12月SEC(美國證券交易委員會)安全事件披露新規正式開始實施，美國上市公司必須在四日內披露重大網絡攻擊事件。結果不到一個月內，微軟和惠普接連“暴雷”，相繼披露黑客攻擊事件，成為新規生效后的首批重大披露(去年11月勒索軟件組織BlackCat曾舉報其受害者——上市軟件公司MeridianLink未按SEC規定披露事件，但當時該披露規則尚未生效)，凸顯了上市公司安全事件披露政策的必要性和重要性。

根據惠普在1月24日向SEC提交的8-K披露表格，其系統遭到大名鼎鼎的俄羅斯高級持續威脅組織APT29(又名Cozy Bear、Midnight Blizzard和Nobelium)攻擊。

根據惠普的披露信息，去年5月APT29悄然潛入惠普的網絡，竊取了SharePoint和電子郵件文件，一直到去年12月才被發現。諷刺的是，該消息得以公開的原因竟不是源于安全檢測或技術突破，而是去年12與SEC頒布的一項新規——上市公司必須在四天內報告“重大”網絡攻擊事件。

新的SEC披露規則無疑加大了上市公司網絡安全威脅的透明度，強制性四天報告期限迫使它們正視潛伏的網絡安全威脅。

雖然惠普強調此次攻擊不會對其運營或財務狀況造成“重大”影響。然而，這起事件仍引發了投資者的擔憂，惠普的股價在披露事件后暴跌了近5%。

“瞞報”長達六個月

根據惠普在8-K表格和隨后的媒體聲明中披露的信息，2023年12月12日，惠普安全人員察覺Office 365郵箱環境遭到入侵，嫌疑線索指向APT29。隨即，惠普召集網絡安全專家，采取了“調查、遏制和補救措施，根除惡意活動”。

進一步調查后，惠普發現這次攻擊可能與去年6月另一起APT29事件有關，當時該組織竊取了“少量”SharePoint文件。公司表示：“調查結果顯示，從2023年5月開始，攻擊者訪問并竊取了少量惠普員工的郵箱數據，涉及網絡安全、市場營銷、業務部門和其他職能部門。

盡管6個月前就拉響了安全警報，但惠普的遏制和補救措施似乎并不徹底，APT29得以在網絡中潛伏了足足六個月。

一周內兩家科技巨頭淪陷

就在惠普披露事件之前不到一周前，另一家跨國科技巨頭微軟公司的電子郵件系統也遭受嚴重攻擊，而且兩次黑客攻擊都被歸因于APT29。

作為規模最大的網絡安全公司(或許沒有之一)，微軟于1月19日透露，APT29組織訪問并竊取了其員工電子郵件帳戶的數據，高管團隊的郵件賬號無一幸免。

但微軟“遙遙領先”惠普的一點是：微軟官方披露攻擊者在其內網“僅僅”漫游了兩個月。

根據微軟提交給SEC的披露文件，“從2023年11月下旬開始，APT29通過密碼噴灑攻擊侵入一個一流的非生產測試租戶賬號獲得立足點，并利用該賬號的全縣訪問并竊取了微軟高管、安全團隊、法務等部門員工的電子郵件及附件。

直到1月12日，也就是上周五微軟提交披露文件一周前，微軟才覺察到這次入侵，這意味著APT29在微軟的企業網絡中持續非法訪問了長達兩個月之久。

安全專家指出，如果上市公司“重大”網絡攻擊事件的“四日新規”沒有在上個月生效，那么這兩次攻擊可能都不會被公開。

基礎安全衛生措施可防御99%的攻擊

微軟和惠普接連遭遇并不復雜的“身份攻擊”，凸顯了科技企業，甚至包括網絡安全企業自身往往未能實踐最基本的網絡安全實踐，例如弱密碼和不啟用MFA。

上周谷歌旗下的威脅情報公司Mandiant的X社交媒體賬號被黑客接管，同樣是因為弱密碼和未啟用MFA。

頗具諷刺意味的是，上周頒布上市公司披露新規的SEC自己也因未能遵守基本的安全實踐(未啟用MFA認證和有效的密碼管理)導致其X社交媒體賬號被黑客接管用于發布加密貨幣詐騙信息。

正如微軟自己發布的《2023年數字防御報告》中所強調的：基本的安全衛生措施依然可以防御99%的網絡攻擊，這包括啟用多因素身份驗證(MFA)、應用零信任原則、使用XDR和反惡意軟件、保持設備軟件的更新等。