经过近五个月的调查后，Citrix公司透露网络罪犯没有访问任何客户数据，但确实窃取了商业文件。

根据Citrix公司总裁兼首席执行官David Henshall的说法，恶意行为者通过密码喷洒攻击利用低强度密码成功访问该公司的内部网络。Henshall声称，这次Citrix数据泄漏事故不涉及任何漏洞利用，也不会影响“任何Citrix产品或客户云服务”的安全性。

Henshall在一篇博客文章中写道：“在进入我们的网络后，在2018年10月13日和2019年3月8日之间的有限时间内，网络犯罪者间歇性地访问网络，并且，主要从该公司两个网络驱动器中窃取商业文档和文件，一个是用于存储当前和历史业务文档的共享网络驱动器，另一个是我们咨询业务中使用的基于Web的工具相关的驱动器。网络罪犯也可能访问了数量非常有限的受攻击用户的个人虚拟驱动器和公司电子邮件帐户，并且启动了有限数量的内部应用程序，而没有进一步利用。”

FBI最初在3月6日通知Citrix公司，恶意行为者可能已经访问过公司系统，这意味着该公司只花了两天时间就关闭攻击者的访问权限。

Rendition Infosec公司创始人兼总裁Jake Williams表示，对于Citrix数据泄漏事故这样重大的事件，他们的“响应速度非比寻常”。

Williams告诉SearchSecurity：“老实说，我很惊讶他们这么快就做到。我原本预计会花更长的时间。在作出响应前，重要的是确定攻击者正在使用的所有访问方法。”

The Media Trust公司数字安全和运营经理Usman Rahim表示，在FBI向公司发出警告之前，在长达5个月的时间内，攻击者都可以访问Citrix系统，这着实“令人担忧”。

Rahim告诉SearchSecurity：“在这样的攻击中，时间非常敏感，并且，在这种情况下，攻击者有很多时间。我们认为Citrix这样公司能够利用其资产和基础设施提供更好安全措施。然而，Citrix提供的信息足够允许攻击者访问他们的系统。”

鉴于Citrix数据泄露事故调查结果，Henshall表示，该公司已经“采取了重大举措来保护我们的系统并改进密码协议”，包括部署FireEye的端点安全技术。

Henshall写道：“我们执行了全局密码重置，改进了内部密码管理，并加强了密码协议。此外，我们改进了防火墙的日志记录，增加了我们的数据泄漏监控功能，并消除了对非必要的基于Web的服务的内部访问，同时禁用了非必要的数据传输途径。”

目前还不清楚这些改进是否包括实施双因素认证（2FA）；Citrix拒绝透露超出公开披露范围的内容。

Williams指出，更高强度的密码应该有助于缓解密码喷洒攻击。

Williams称：“如果你没有锁定策略，密码喷洒攻击总是能够成功，然而，锁定策略通常会严重影响用户体验。关闭锁定策略并不是一件容易的事。大多数企业内部不使用双因素认证，因为这绝对会影响生产力。如果这种做法没有商业成本，每个人都会部署。”

威胁情报供应商Cyren LLC公司首席技术官Richard Ford表示，他感到震惊，企业账户没有使用双因素认证。

Ford 称：“随着移动电话的普及，Duo或RSA等公司提供了一种简单的方法来提供‘软’第二因素，这可显著提高攻击难度。我原本希望今年我们能够摆脱简单的用户名/密码组合，但目前部署仍然很慢。这是我们作为一个行业需要接受的事实。”

Rahim补充说，基本的多因素身份验证可能可阻止Citrix数据泄露事故。

Rahim说：“他们没有透露他们计划采取的措施，但多因素身份验证、密码过期、密码强化和系统访问政策应该是起点。在攻击发生之前，企业应该考虑这些措施。”