CDK Global遇到的网络攻击与安全警示

关键要点

CDK Global本周遭遇两次网络攻击，导致客户支持热线停机及大部分系统关闭。威胁行为者正在冒充CDK成员或合作伙伴联系CDK客户。CDK警示其15000家汽车经销商客户提高警惕，以防钓鱼攻击，保护敏感信息。攻击模式与之前的Change Healthcare事件相似，对业务造成连锁反应。现代网络安全需要预防多次攻击，而非仅仅应对一次违规。

CDK Global本周遭遇的两次网络攻击导致其不得不关闭客户支持电话并暂停大部分业务系统。CDK Global发布了一则语音信箱，提醒客户和商业伙伴注意，威胁行为者正在冒充CDK的成员或合作伙伴进行联系。该语音信箱中提到电话8553563270，这些威胁行为者正在进行后续的社会工程活动，以获取系统访问权限，并强调了CDK需保持警惕的重要性。

“请再次提醒您的员工注意钓鱼攻击的重要性，并采取必要的预防措施，”CDK的语音信箱中提到。“务必与熟知或确认过的CDK合作人员沟通，不要在任何情况下提供敏感信息，例如密码或系统访问权限。”

CDK Global攻击与Change Healthcare事件有相似之处

本周二和周三的双重攻击事件与早前在医疗行业发生的Change Healthcare事件有相似之处，因为汽车经销商行业在销售、薪资和一般办公操作上严重依赖于第三方SaaS公司CDK。本文周报道中，多个CDK经销商客户表示无法访问系统，只能使用纸质资料处理事务。

“CDK Global的网络攻击展示了成功攻击对企业、第三方和客户的连锁反应，”ExtraHop的高级技术经理Jamie Moles表示。“当第三方供应商在操作环境中拥有广泛权限时，客户面临的风险会显著增加。无限制的访问权限为攻击提供了明确的路径，可能导致敏感信息的泄露，甚至影响日常运营。”

一元机场.cn

Keeper Security公司安全与架构副总裁Patrick Tiquet补充道，在当今环境下，组织和IT团队必须准备好应对多个攻击，而不仅仅是单一的违规行为。Tiquet表示，检测到威胁后尽快关闭系统是控制局面的首要步骤，但这仅仅是不够的。

“CDK Global需要持续调查和修复，才能理解并应对其遭受攻击的全面影响，”Tiquet说。“CDK Global在第一次攻击后不久发生第二次攻击，这暗示了多阶段的攻击策略，攻击者可能留下后门以便重新进入。通过一个入口点获得的未经授权访问可能导致横向移动，进一步妨碍网络的安全。”

DoControl的产品副总裁Guy Rosenthal指出，CDK Global的攻击突显了现代网络安全的一个关键方面：后续社会工程策略的潜力。Rosenthal表示，威胁行为者常常利用违规后造成的混乱，以进一步推动其议程，通常会冒充支持代表以获取更多敏感信息。

“安全团队应主动对其人员和客户进行培训，使其能够识别这些策略，”Rosenthal说。“强调验证任何支持人员身份的重要性，尤其是在发生违规事件时。鼓励他们使用已知的、可信赖的沟通渠道，并对不请自来的联系保持警惕。”

Rosenthal补充道，尽管关于此次违规的具体情况不详，但事件的模式表明这是一场针对性的攻击。

“多次临近发生的事件通常是指威胁行为者试图最大化影响，以及施加赎金或数据勒索压力的特征，”Rosenthal说。