前情回顾·网络安全事件通知要求

安全内参5月23日消息,美国洲际交易所(ICE)因未能确保其子公司及时报告2021年4月出现的VPN安全漏洞,遭美国证券交易委员会(SEC)指控,需支付1000万美元(约合人民币7245万元)罚款。

洲际交易所是一家位列《财富》500强榜单的美国公司,在全球范围内拥有并经营多家金融交易所和结算所,包括纽约证券交易所。2023年,该公司雇佣了超过1.3万名员工,报告总收入为99.03亿美元。

美国《监管系统合规性和完整性》(Regulation SCI)法规要求,如公司发现入侵等安全事件,必须立即通知SEC,并在24小时内提供更新,除非他们确定事件对其业务或市场参与者的影响微乎其微。

SEC表示:“被告受Reg SCI监管,但却未能按要求通知SEC有关入侵事件。相反,委员会工作人员在评估类似网络漏洞报告的过程中主动联系了被告。”

“SEC在命令中指控,洲际交易所足足花了四天时间评估事件影响,得出内部结论,认为这是一次微不足道的事件。在涉及市场关键中介机构的网络安全事件中,每一秒都很重要,四天过于漫长。”

洲际交易所于2021年4月15日发现了这一事件。此前,第三方通知洲际交易所,可能发生了与其VPN设备中未知漏洞有关的系统入侵。

疑为国家级黑客入侵

后续调查发现,一名威胁行为者在一台被入侵的VPN设备上部署了恶意代码,用于远程访问洲际交易所的企业网络。

SEC的命令显示:“我们认为国家级复杂威胁行为者在一台被入侵的VPN设备上安装了Webshell代码,试图窃取该设备处理的信息,包括员工姓名、密码和多因素认证代码。利用这些数据,威胁行为者或能访问内部企业网络。”

洲际交易所的安全团队发现证据表明,威胁行为者能够窃取“VPN配置数据和特定的洲际交易所用户元数据”,但是他们依然确定攻击者只访问了一台被入侵的VPN设备。

SEC表示,洲际交易所员工未在数天内向子公司的法律和合规官员通知这一VPN安全漏洞,违反了Reg SCI法规和洲际交易所的内部网络事件报告程序。由于这一失误,洲际交易所子公司未能正确评估入侵情况,并未履行Reg SCI规定的披露义务。

洲际交易所及其子公司同意接受SEC的命令,承认子公司违反了Regulation SCI的通知规定,且这些违规行为系洲际交易所所致。

对于SEC的调查结果,洲际交易所及其子公司既未承认也未否认,表示将按SEC禁止令的规定,不再违反Reg SCI法规,并支付1000万美元民事罚款。

参考资料:https://www.bleepingcomputer.com/news/security/intercontinental-exchange-to-pay-10m-sec-penalty-over-vpn-breach/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。