四大之一的德勤被黑,到底打了谁的脸?

150643522323.png

本周,作为全球四大会计师事务所的Deloitte(德勤)表示遭到网络攻击,攻击导致其全球电子邮件服务器被入侵。大型公司被黑我们其实早已见怪不怪,但德勤除了拥有安全咨询业务,也有自己的安全产品,并且它的安全产品还获得了业界大佬的广泛认可,因此这场大规模攻击有可能是也一场大规模打脸。

180327033345.jpg

关于Deloitte

德勤通常指的是“德勤全球”(Deloitte Touche Tohmatsu)的下属实体,该公司总部设立在英国。德勒全球在近150个国家和地区内拥有下属企业,汇集了12万名相关领域的专家,并致力于为客户提供卓越的专家服务和咨询。该公司拥有遍布全球的分支机构和会员,其主要业务集中在四个领域:审计、税务规划、咨询和财务顾问。该公司可以给大型银行、政府机构和大型财富五百强跨国公司提供税务、审计、运营咨询、网络安全咨询以及并购援助等服务,全球有一半以上的大型企业、国有企业、公共机构、本地重要客户以及成功的成长期企业都在享受着德勒的服务。这家企业采纳了合伙制的形式,本身不直接提供服务,而是通过其全球的会员企业来产生价值。

事件回顾

Deloitte于今年三月份发现了这一攻击事件,但据了解,攻击者很可能早在2016年的10月或11月份就已经入侵了该公司的网络系统。攻击者通过一个管理员账号成功入侵了Deloitte的全球电子邮件服务器,并成功入侵了该公司的其他网络系统,可能还获取到了公司客户的IP地址、公司业务计划以及员工健康信息等等。更加重要的是,除了公司的个人客户之外,受此次事件影响的机构甚至还包括美国政府部门在内。

根据《卫报》记者所了解到的信息,该公司在云端总共存储了大约五百多万封电子邮件,而攻击者很可能已经成功获取到了这些邮件,但不管怎样,Deloitte仍对外表示在此次数据泄露事件中只有一小部分客户的邮件被泄露了。

在德勤的公告中,公司轻描淡写地描述了攻击事件,并且只通知了6家客户。事件被揭露后,人们发现德勤到处都是安全漏洞。

首先,德勤的员工吧大量的密码信息公布到了Google+上,把它当成了笔记本

deloitte_proxy.jpg

把VPN密码上传到GitHub:

deloitte_vpn.png

大量服务器RDP端口公然开放:

rdp.png

员工意识淡薄,安全管理疏忽,导致这些机密信息唾手可得,给了黑客可乘之机。事实上,公开了这些信息,德勤想不被攻击都难啊!

安全厂商自身难保?

这场声势浩大的“打脸大会”上,最惨的无疑是德勤自己。实际上在网络安全领域,德勤并不仅仅提供安全咨询,还有自己相应的安全产品和安全服务,在一定程度上,也算是一家安全厂商,这就很尴尬了……

TIM截图20170928173145.png

据悉,德勤以其完善的安全服务解决方案著称,以下文案摘自其官方网站

蓄意的网络攻击、无意的安全疏漏、以及互联网本身尚不成熟和缺乏监管等弱点,都可能对隐私数据、知识产权、网络基础设施、乃至军事和国家安全造成损害。德勤能帮助企业规划和实施综合网络方案,在不影响安全和隐私的前提下,充分利用信息网络的力量来加强业务运营、提高任务绩效,并改善客户支持体验。

而旗下的安全方案覆盖的方面包括:应用安全、身份和访问管理、信息和隐私保护、基础设施安全、脆弱性管理。

网络预警产品方面,德勤称旗下的网络预警服务充分运用了深度数据分析和关联技术,旨在帮助客户制定关键业务流程监控方案。通过整合威胁数据、IT数据和业务数据,可为安全团队提供更丰富的预警信息,进而助其更好地排定优先处理事项并简化事件调查工作。德勤的网络预警业务包括:安全运营中心、威胁情报和分析、网络风险分析、高级威胁应对。

除此之外,德勤还拥有自己的风控系统——德勤风险智能管理系统R.I.S.K,为近50家大型企业和金融机构提供了R.I.S.K系统实施服务。

此次安全事件无疑会使得其旗下产品颜面尽失,公信力大打折扣。

在攻击事件中,员工安全意识淡薄是一个方面,另一方面,攻击者利用一个管理员账号完成入侵,是因为德勤的网络系统中并没有部署任何的双因素身份验证机制,暴露出的是德勤安全管理的疏忽。由此看来,这家涉足网络安全领域的企业巨头似乎连自己推销的那套防护机制都没有做到,安全厂商最终没法保证自身安全,令人哭笑不得。

评测机构也跑不了

更加讽刺的是,德勤自身难保的安全服务还受到了行业大佬的认可,旗下的安全服务曾被Gartner评为世界第一大安全咨询公司。

TIM截图20170928172857.png

Gartner公司是全球最具权威的IT研究与顾问咨询公司,其研究范围覆盖全部IT产业,为客户提供论证报告及市场调研报告,协助客户进行市场分析、技术选择、项目论证、投资决策。它出品的“魔力象限”被公认为是最客观的评测报告之一,相信大家耳熟能详。

Gartner把德勤安全咨询服务列为全球第一,并且把它列为全球第二大安全业务收入的公司。尽管评测的标准是安全咨询的市场规模,但这样的评测对于想要获取安全服务的公司来说无疑具有很强的参考意义。

被打脸的测评机构可不止Gartner一家,几年前,德勤曾被肯尼迪评为网络安全咨询全球领导者。肯尼迪的报告中指出,“德勤将其行业专业技术、‘一个方法论、一个模式’、专门的网络安全投资以及高管沟通能力完美地结合在一起,使其在网络安全咨询方面的意见十分有价值。”现在看来,只能说讽刺意味十足。

除此之外,另一家专业的调查公司Forrester在今年第一季度推出的“信息安全咨询服务提供商”评估中把德勤列为Leader,在肯定了其市场规模的同时也肯定了其技术能力。

117974_2-1wq.gif

之所以会写这篇文章,当然不是为了逞一时之快甚至是落井下石。只希望通过这个大乌龙,大家可以理性看待评测机构,与此同时也要清醒地意识到安全意识、安全管理的重要性。

参考来源

Market Share Analysis: Security Consulting Services, Worldwide, 2016

网络风险 | 德勤中国 | 风险咨询

Deloitte is a sitting duck: Key systems with RDP open, VPN and proxy ‘login details leaked’

德勤被肯尼迪评为网络安全咨询全球领导者

* 本文作者:Sphinx,转载请注明来自FreeBuf.COM

赞 (0) 评论 分享 ()