Læring fra Oracle: Hvad man ikke skal gøre efter et databrud
Indholdsfortegnelse:
Første halvdel af dette år har ikke været en lykkelig en for Oracle eller dets kunder. Virksomheden har lidt under to alvorlige databrud. Dette er problem nok i sig selv, men det virkelige problem er, hvordan de har håndteret indbrudene.
Eksperter har kritiseret databasegiganten for dårlig praksis i forbindelse med offentliggørelse af brud, herunder manglende kommunikation og fordrejning af budskabet, da den faktisk 'tilstod'.
Brud nummer et
Virksomhedens problemer begyndte i midten af februar, da den fandt ud af, at angribere havde tilgået data på servere hos virksomheden Cerner, der producerer elektroniske patientjournaler. Cerner, som Oracle opkøbte for 28 milliarder dollars i 2022, havde en løbende kontrakt med det amerikanske veteranministerium. Oracle hørte om angrebet omkring en måned efter, at det fandt sted.
A class action retssag anlagt sag mod Oracle i slutningen af marts, irettesatte virksomheden for forkert håndtering af hændelsen.
"Manglen på underretning forværrer omstændighederne for ofrene for databruddet," stod der i søgsmålet, der klagede over, at de ikke havde underrettet nogen om hændelsen eller fortalt dem, om de havde været i stand til at inddæmme truslen. De forklarede heller ikke, hvordan indtrængen skete.
Endnu et brud rammer
Så kom et andet brud frem i lyset. Den 21. marts rapporterede cybersikkerhedsvirksomheden CloudSEK opdaget en trusselsaktør ved navn 'rose87168', der sælger dataene online.
Dataene blev stjålet fra 140,000 berørte cloud-lejere, ifølge den hemmelighedsfulde kriminelle leverandør, der hævdede at have fået adgang til systemet via et Oracle Cloud login-endpoint. CloudSEK fandt ud af, at de udnyttede en instans af Oracle Fusion Middleware 11G, sidst opdateret i 2014. Dumpede aktiver omfatter Java Key Store-filer, der indeholder kryptografiske certifikater, sammen med krypterede single sign-on-adgangskoder og nøglefiler.
Det er ret alvorligt for kunderne, men Oracle udgav tilsyneladende næsten ingen oplysninger i de tidlige dage af bruddet, udover at hævde, at det kun påvirkede ældre servere. Virksomheden fortalt Bipende computer: "Der har ikke været noget brud på Oracle Cloud. De offentliggjorte legitimationsoplysninger gælder ikke for Oracle Cloud. Ingen Oracle Cloud-kunder har oplevet et brud eller mistet data."
Eksperterne var dog uenige. rose87168 stillede en stikprøve af dataene til rådighed for Alon Gal, medstifter af sikkerhedskonsulentfirmaet Hudson Rock. Gal kontaktet virksomheder på listen for at verificere dataene. Kunderne sagde, at de filer, der angiveligt kom fra Oracle Cloud, var legitime.
CloudSEK også udgivet en opfølgende artikel som beviser, at endpointen, der rose87168 overtog, var en produktionsenhed.
Oracle kontaktede til sidst nogle kunder privat og rapporterede, at deres Gen 1-servere havde været udsat for en sikkerhedshændelse. Gen 1-servere er gamle maskiner, der nu betjener det, der er kendt som Oracle Cloud Classic. Gen 2-servere, som indeholder ekstra funktioner, kaldes Oracle Cloud.
Alt dette betyder, at hvis man nøje følger formuleringen i Oracles afslag, så blev kun Oracle Cloud Classic-servere pwned, ikke Oracle Cloud-servere. Men vi har en mistanke om, at markedet generelt ville have foretrukket en fuld, åben diskussion om, hvad der var sket, snarere end at have med en tavs leverandør at gøre, der kun afslørede et absolut minimum af information.
Hvem slettede den arkiverede side?
Her bliver tingene særligt uklare. rose87168 havde også uploadet en tekstfil til det kompromitterede Oracle-slutpunkt og offentliggjort et skærmbillede af den som bevis på, at de kontrollerede aktivet. Et øjebliksbillede af beviserne for kompromitteringen blev gemt på Wayback Machine, en tjeneste hostet af Internet Archive. Denne tjeneste gemmer kopier af websteder til eftertiden, efter de er forsvundet. Den arkiverede side var dog angiveligt fjernet ved hjælp af Arkivets udelukkelsesproces.
"Dette er Oracle, der aktivt dækker over beviser for en indtrængen," sagde sikkerhedsforsker Jake Williams i sit opslag, der rapporterede om nedlukningen af X. "Dette er en person, der udfører 1990'ernes brudstrategier i 2025."
Vi kan ikke bevise, hvem der fjernede den side, men hele affæren er ikke desto mindre en fremragende lektie i, hvordan man ikke håndterer et databrud fra en virksomhed, der er fast besluttet på at beskytte sit brand, da den... kapløb om at øge sin andel af den lukrative cloud computing-forretning.
Sådan gør du det rigtigt
Så hvordan skal du håndtere offentliggørelse af brud? Rammer som NIST's Computer Security Incident Handling Guide og ISO 27001 har overordnede retningslinjer for kommunikation af hændelser. Hovedpunkter inkluderer:
Kommunikér hurtigt og præcist: Underret berørte parter så hurtigt som muligt, når en hændelse er bekræftet, og dens omfang er forstået. Regler kræver nu ofte mindst indledende rapporter inden for et stramt tidsvindue, og det er ved at blive obligatorisk i mange tilfælde.
Koordinér dit svar: Hold kommunikationen faktabaseret og koordineret, så ingen afslører noget, der ikke er blevet bekræftet. Med det for øje skal du på forhånd forstå, hvem der skal tale med de forskellige interessenter, herunder kunder, tilsynsmyndigheder, medarbejdere, entreprenører og pressen. Kanalisering af budskaber gennem dem sikrer, at alle forstår den interne kommunikationskæde.
Vid hvad du skal kommunikere: Selvom ikke alt vil være tilgængeligt i de første dage, bør meddelelserne i sidste ende indeholde et resumé af, hvad der skete, sammen med hvilke data der blev kompromitteret, og hvilke handlinger der træffes for at afbøde problemet og forhindre, at det sker igen. Berørte personer bør også vide, hvad de skal gøre for at beskytte sig selv.
Kommunikér ikke for lidt: Ikke alle oplysninger vil komme ud med det samme, men du bør være så direkte som muligt og kommunikere i god tro. Som FTC påpeger: "Undgå at fremsætte vildledende udtalelser om bruddet. Og tilbagehold ikke vigtige detaljer, der kan hjælpe forbrugerne med at beskytte sig selv og deres oplysninger." Vi leder efter åben kommunikation, ikke spin. Behandl ikke dette som en kontradiktorisk proces.
Definer kommunikationsskabeloner: Udvikling af forhåndsgodkendte beskedskabeloner hjælper med at holde kommunikationen gnidningsløs og ensartet. FTC har et eksempel.
Tilpas med regulatorer: Forskellige jurisdiktioner (både internationale, nationale og lokale) vil have deres egne regler for, hvordan og hvornår man skal underrette forskellige interessenter. Det samme gælder for forskellige brancher. Samarbejd med dine advokater for at sikre, at du følger dem.
Hold dig ansvarlig: Ligesom i hverdagen forventer voksne, at hinanden tager ansvar for deres fejl og retter dem. Sørg for, at kunderne har tilstrækkelig support. Dette kan omfatte effektiv kommunikation og specifik hjælp til afhjælpning af brud, bestående af værktøjer, der kan beskytte dig. Det er sigende, at CloudSEK, ikke Oracle, har udgivet et værktøj, som virksomheder kan bruge til at afgøre, om deres data var på listen over stjålne poster.
Det er ikke den eneste gang, at Oracle har fået kritik for sin tilgang til håndtering af cybersikkerhedsproblemer. Disse omfatter træge reaktioner til rapporter om sikkerhedsfejl i sine produkter og CSO'ens udfald mod sikkerhedsforskere, der sendte hende fejlrapporter, hvilket fik så meget kritik, at virksomheden slettede detOrganisationen har tydeligvis sin egen måde at gøre tingene på, og vi er sikre på, at det ikke bliver sidste gang, den skaber bestyrtelse i tech-branchen.
