《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 勒索攻擊真實(shí)案例 網(wǎng)絡(luò)安全切忌“眼不見心不煩”

勒索攻擊真實(shí)案例 網(wǎng)絡(luò)安全切忌“眼不見心不煩”

2022-11-09
來(lái)源:安全419

  此前網(wǎng)傳某制造業(yè)名企中招勒索傳聞剛過(guò),,今日,,某知名辦公軟件也被爆出大面積勒索攻擊,,各地多家企業(yè)無(wú)辜中招,勒索軟件攻擊在我國(guó)呈現(xiàn)愈演愈烈趨勢(shì),。今天,,我們引用以下勒索攻擊真實(shí)案例,望企業(yè)用戶從中借鑒參考,,以便重新認(rèn)識(shí)網(wǎng)絡(luò)安全建設(shè)的重要性,。

  本案例源于英國(guó)數(shù)字、文化,、媒體和體育部(DCMS)于八月初發(fā)布的網(wǎng)絡(luò)安全漏洞調(diào)查報(bào)告,該報(bào)告調(diào)研了數(shù)十家英國(guó)本地企業(yè),,從他們經(jīng)歷各種的安全事件前后分析,,梳理了企業(yè)在安全事件發(fā)生后對(duì)安全的全新認(rèn)知。

  該案例為某私營(yíng)建筑企業(yè),,公司擁有超過(guò)250人規(guī)模,,他們?cè)?019年曾遭受了嚴(yán)重的勒索軟件攻擊,導(dǎo)致其IT系統(tǒng)停擺兩周之久,。此次攻擊,,該公司認(rèn)為他們沒有發(fā)生客戶資料泄露,所以他們沒有通知任何官方機(jī)構(gòu)或客戶,。

  攻擊發(fā)生之前:網(wǎng)絡(luò)安全“眼不見心不煩”

  根據(jù)報(bào)告編撰單位的調(diào)查采訪,,該公司IT總監(jiān)表示,在該公司遭到入侵前,,他們認(rèn)為自己的網(wǎng)絡(luò)系統(tǒng)安全是“足夠”的,,他們擁有充足的計(jì)劃和資金,用于安全咨詢和技術(shù)投資,。但他也指出,,在2019年攻擊之前,企業(yè)的高層對(duì)網(wǎng)絡(luò)安全的了解相對(duì)較少,。

  負(fù)責(zé)該公司業(yè)務(wù)系統(tǒng)的運(yùn)維人員則指出,,在事件發(fā)生之前,網(wǎng)絡(luò)安全對(duì)于他們來(lái)說(shuō)并不是個(gè)“大問(wèn)題”,,且“眼不見心不煩”,。其心理來(lái)自于傳統(tǒng)的認(rèn)知,“像我們這樣的小企業(yè),,怎么可能成為受攻擊對(duì)象,!”

  同時(shí),該公司對(duì)于負(fù)責(zé)所有系統(tǒng)開發(fā)和維護(hù)的第三方供應(yīng)商保有信心,,認(rèn)為他們可以解決這些問(wèn)題,,而不是自己還要做更多的事情,。其IT總監(jiān)就表示,“我們知道自身的弱點(diǎn)(網(wǎng)絡(luò)安全方面),,只是我們沒有抽出時(shí)間來(lái)解決它,,因?yàn)檫€有更多優(yōu)先要解決的事件。(業(yè)務(wù)優(yōu)先)”

  遭受攻擊時(shí)的反應(yīng):業(yè)務(wù)恢復(fù)耗時(shí)兩周

  當(dāng)時(shí)間回溯到2019年,,該企業(yè)于某日凌晨3點(diǎn),,接到了第三方基礎(chǔ)設(shè)施提供方的通知,他們正在成為勒索軟件攻擊的受害者,。通常而言,,勒索軟件攻擊多選在深夜進(jìn)行加密操作,這對(duì)于他們而言將會(huì)有更多充裕時(shí)間的可能,。

  對(duì)于該企業(yè)而言,,在他們還沒有來(lái)得及反應(yīng)之前,也就是攻擊發(fā)生的凌晨3點(diǎn)接到通知之后的兩個(gè)多小時(shí),,勒索軟件開始關(guān)閉了他們的大部分IT系統(tǒng),,并且橫向擴(kuò)展訪問(wèn)了服務(wù)器上的大量文件。

  業(yè)務(wù)系統(tǒng)的運(yùn)維人員在參與調(diào)查采訪時(shí)表示,,當(dāng)勒索軟件“停止工作”才引起了他們的注意,,而一切都晚了。事件被形容為滾雪球,,當(dāng)整個(gè)公司的人都無(wú)法訪問(wèn)文件時(shí),,他們才突然意識(shí)到問(wèn)題的嚴(yán)重性。

  IT總監(jiān)在當(dāng)天早上與他們的外包商進(jìn)行了會(huì)議溝通,,確定了問(wèn)題的嚴(yán)重性之后,,在上午10點(diǎn)緊急召開的董事會(huì)上向高層報(bào)告攻擊事件。當(dāng)時(shí)他們已經(jīng)收到了攻擊者的勒索郵件,,勒索組織要求支付一定數(shù)量的比特幣作為恢復(fù)系統(tǒng)的條件,。

  董事會(huì)迅速做出了決定,第一,,公司決定不支付贖金,,第二,將盡快啟動(dòng)全面業(yè)務(wù)連續(xù)性恢復(fù),,使系統(tǒng)恢復(fù)到攻擊前的狀態(tài),。

  兩臺(tái)文件服務(wù)器和兩臺(tái)電腦在這次攻擊事件中被加密,為降低風(fēng)險(xiǎn),,其IT總監(jiān)命令總部的所有電腦暫時(shí)關(guān)閉,。但在接受調(diào)查采訪時(shí)其IT總監(jiān)表示,他低估了恢復(fù)所需的時(shí)間,,他們從進(jìn)行恢復(fù)到完全恢復(fù),,花費(fèi)了兩周時(shí)間之久,。

  整個(gè)的恢復(fù)計(jì)劃是操作系統(tǒng)優(yōu)先,在重新安裝操作系統(tǒng)之后,,他們?yōu)橄到y(tǒng)部署了三種不同的殺毒軟件,。之后,他們確定了“一級(jí)數(shù)據(jù)”需要在6個(gè)小時(shí)內(nèi)恢復(fù),。在兩周時(shí)間里,,他們重建了15到20個(gè)虛擬服務(wù)器,并確保了第三方基礎(chǔ)設(shè)施提供商排除相關(guān)隱患之后,,他們上傳了公司的12TB的共享備份數(shù)據(jù),。

  第三方供應(yīng)商在參與調(diào)查后指出,該勒索軟件已經(jīng)在該公司內(nèi)部潛伏了18個(gè)月,,但他們無(wú)法確定是什么觸發(fā)了勒索軟件的病毒下發(fā),。

  入侵應(yīng)急之后:經(jīng)濟(jì)損失巨大 IT總監(jiān)提出辭職

  在經(jīng)歷勒索攻擊之后,他們事后統(tǒng)計(jì)了安全調(diào)查,、滲透測(cè)試和額外的安全測(cè)試上的花費(fèi)約為1萬(wàn)英鎊,,但他們沒有辦法量化其他的損失,,比如收入損失,、調(diào)查和修復(fù)漏洞所花費(fèi)的時(shí)間,以及對(duì)員工生產(chǎn)力和客戶關(guān)系等全面的影響,。

  鑒于事件對(duì)公司產(chǎn)生了負(fù)面影響,,其IT總監(jiān)也做出了向董事會(huì)辭職的決定,因?yàn)樗麤]有很好地履行崗位職責(zé),。但董事長(zhǎng)拒絕了他的要求,,董事會(huì)做出的決定是,“鼓勵(lì)把所有必要的安全措施落實(shí)到位”,。業(yè)務(wù)系統(tǒng)的運(yùn)維人員將此描述為“領(lǐng)導(dǎo)層理解并感謝他們的努力,,盡管這兩周因攻擊導(dǎo)致業(yè)務(wù)虧損?!?/p>

  現(xiàn)在,,一些新的安全措施已被應(yīng)用,比如公司關(guān)閉了對(duì)外的服務(wù)器,,內(nèi)部員工將使用多因素認(rèn)證(MFA)來(lái)訪問(wèn)系統(tǒng),。此外公司還修改了防火墻和防病毒軟件保護(hù),他們的服務(wù)器和公司辦公電腦包括筆記本,,都安全了防病毒系統(tǒng),。

  自此次勒索軟件攻擊發(fā)生以來(lái),該公司更加重視技術(shù)而非人員來(lái)保證網(wǎng)絡(luò)安全,。根據(jù)其IT總監(jiān)的說(shuō)法,,員工是“在很多方面最薄弱的環(huán)節(jié),,因此我們?yōu)閭€(gè)人提供了新的網(wǎng)絡(luò)安全培訓(xùn),以及每月的安全簡(jiǎn)報(bào)和一年兩次的安全實(shí)戰(zhàn)演習(xí),?!?/p>

  該公司IT總監(jiān)表示,經(jīng)歷攻擊之后,,他們的安全水平已經(jīng)得到了很大的提升,,他們對(duì)領(lǐng)先或持平競(jìng)爭(zhēng)對(duì)手保有信心。經(jīng)歷攻擊得到的“收益”是,,他們的供應(yīng)商也改善了服務(wù),,他們現(xiàn)在正在進(jìn)行更多的掃描和監(jiān)控,并在安全方面給他們更多的指導(dǎo)和威脅信息同步,。

  后話:“業(yè)務(wù)連續(xù)性恢復(fù)”已成企業(yè)生存底線

  此勒索攻擊案例對(duì)于該公司而言,,萬(wàn)幸的是勒索病毒并沒有同步污染共享備份數(shù)據(jù),從中可以看出該公司全面的“業(yè)務(wù)連續(xù)性恢復(fù)”計(jì)劃當(dāng)中,,對(duì)于備份數(shù)據(jù)的保護(hù)機(jī)制挽救了公司的在線業(yè)務(wù),。

  對(duì)于“業(yè)務(wù)連續(xù)性恢復(fù)”這一問(wèn)題,行業(yè)廠商CloudWonder嘉云此前曾指出,,全行業(yè)對(duì)業(yè)務(wù)連續(xù)性,、數(shù)據(jù)保護(hù)工作持續(xù)增量,由第三方技術(shù)支撐的云容災(zāi)解決方案對(duì)業(yè)務(wù),、數(shù)據(jù)再生速度快,,多云異構(gòu)對(duì)多云環(huán)境的完美支持等,已經(jīng)逐漸成為各級(jí)企業(yè)的剛性需求,。

  越來(lái)越多的公司正在成為勒索攻擊的受害者,,這要求公司在制定“業(yè)務(wù)連續(xù)性恢復(fù)”計(jì)劃時(shí)不僅要看方案對(duì)業(yè)務(wù)、數(shù)據(jù)保護(hù)有效性,,同樣重要的是恢復(fù)時(shí)間要求盡量的短,,在此案例中用兩周時(shí)間進(jìn)行恢復(fù)顯然將對(duì)業(yè)務(wù)運(yùn)營(yíng)產(chǎn)生重大影響。

  CloudWonder嘉云告訴安全419,,為應(yīng)對(duì)勒索攻擊為首的頻繁網(wǎng)絡(luò)安全事件,,他們已為其容災(zāi)解決方案中加入了主動(dòng)式智能識(shí)別技術(shù),比如一旦系統(tǒng)偵測(cè)到勒索病毒,,就會(huì)即刻告知用戶,,且在災(zāi)難發(fā)生的時(shí)候自動(dòng)地將災(zāi)備系統(tǒng)完成恢復(fù)并且就緒。

  也就是說(shuō),,CloudWonder嘉云的容災(zāi)解決方案部署在企業(yè)的在線業(yè)務(wù)當(dāng)中,,如業(yè)務(wù)遭遇勒索,企業(yè)可以依靠該系統(tǒng)瞬時(shí)在異地重構(gòu)業(yè)務(wù)系統(tǒng)和數(shù)據(jù),,從而充分保障業(yè)務(wù)連續(xù)性,,提高企業(yè)在線業(yè)務(wù)的安全抗性,。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。