在给新罕布什尔州司法部长约翰福梅拉的一封信中，音频设备公司Bose透露，该公司在3月7日遭到勒索软件攻击。

这封信没有说明是哪种勒索软件，也没有说明攻击背后的组织究竟是谁，但该公司解释说，自己“经历了一次复杂的网络事件，以致于在整个Bose的环境中都被部署了恶意软件/勒索软件。”

4月29日，Bose和分析师确定，此次攻击的幕后黑手设法访问了内部行政人力资源文件，部分员工的社保号码、地址和薪酬信息，其中包括六名居住在新罕布什尔州的员工。

该公司表示，目前自己无法确认幕后黑手是否从系统中窃取了文件或信息。目前也还不清楚Bose是否支付了赎金。

Bose在信中称，其目前正与一家私人安全公司和FBI合作，在暗网上搜索任何泄露的信息，但没有发现任何迹象表明其数据已泄露。

该公司现已在网络端点和服务器上实施了“增强的恶意软件/勒索软件保护”，同时阻止了攻击期间恶意文件的横向移动，并部署了监控工具以监视后续攻击等。

5月19日，Bose还向所有受勒索软件事件影响的人员发信，告知他们保持警惕并监控自己的账户，那六名住在新罕布什尔州的员工还获得了为期12个月的IdentityForce免费身份保护服务。

网络安全专家表示，强制要求遭遇勒索软件攻击的企业通报攻击信息非常重要，这可以帮助其他相关企业及时保护自己免受类似攻击。

Gurucul首席执行官Saryu Nayyar赞扬Bose公开披露了这次攻击的行为，但指出该公司在公告中描述的事件时间表存在问题。

• 重要的是要分享攻击者的动态，这样才能够吸引必要的主管部门和网络防御专家的关注，从而减轻攻击的连锁反应。Bose的公告非常详尽，但是，披露的时间表令人担忧。Bose花费了一个半月才发现哪些数据被访问并可能被泄露，又过了三周的时间才开始通知受影响的个人。Bose对于此次攻击的响应时间太过漫长，以致于攻击者在这段时间里简直可以对泄露的数据为所欲为。

其他专家还指出，Bose的响应时间过长，这可能危及受此次数据泄露事件影响的其他企业和个人。

Pathlock 总裁凯文·邓恩 (Kevin Dunne) 表示，Bose本可以做出更快的反应并为这次袭击承担更多责任，同时还制定了明确的计划，以防止未来此类袭击再次发生。

• 所有企业都应该从这次攻击中吸取教训——将关键业务数据保存在可以管理和监控的应用程序中，而不是保存在电子表格或其他非托管数据库中，员工数据就像客户、财务或知识产权相关数据一样都是敏感数据。企业应该投资于人力资源管理系统，并确保他们有良好的访问控制和数据丢失预防措施，以降低员工潜在数据泄露的风险。

他补充说，对于涉及网络安全攻击的利益相关者来说，人们的态度存在很大分歧。

他解释说，一些公司在报告对其系统的攻击时过于谨慎，因为他们希望避免吸引进一步的攻击，或向勒索软件团伙妥协。

• 但无论如何，受攻击影响而泄露了数据的员工应该尽快得到通知，以便他们可以监控受感染帐户中的任何异常活动。他告诉ZDNet说：股东经常会感到非常纠结，因为公开有关违规的信息通常会导致股价大幅下跌，但另一方面，当公众尽早获悉违规情况时，企业可以更好地管理预期。

nVisium首席执行官Jack Mannino表示，不同的行政州和行业对报告事件有不同的要求。但他敦促任何受攻击的公司积极主动地通知受害者，以避免在事后调查中显得被动。

Shared Assessments的CISO汤姆·加鲁巴(Tom Garrubba)等专家表示，一些公司对信息披露的重要性存在一种误解，他们认为只有在公开交易(上市公司)或在受监管的环境中运营时才需要披露违规信息。

• 无论您的企业属于何种行业、是否上市，掩盖或拖延事件披露的做法长期来看都会阻碍改善网络卫生状况、抵御未来攻击的能力。很多企业存在一种侥幸心理，认为自己不会被闪电击中两次，因此拒绝为了改善网络安全状况投入适当的资金。这会造成一种虚假的安全感，即通过通过瞒报来大事化小。但是，如果您很不幸地再次遭受网络攻击，之前的瞒报和拖延都将被曝光，这对企业的品牌和声誉都将产生非常严重的损害。在当今数字化的时代，企业成功的关键是提高透明度和客户的信任度，信任才是全球通信的‘货币’。

本文翻译自：https://www.zdnet.com/article/ransomware-attack-on-bose-exposes-employee-ssns-and-financial-information/如若转载，请注明原文地址。