此前網(wǎng)傳某制造業(yè)名企中招勒索傳聞剛過,,今日,,某知名辦公軟件也被爆出大面積勒索攻擊,,各地多家企業(yè)無辜中招,,勒索軟件攻擊在我國呈現(xiàn)愈演愈烈趨勢。今天,,我們引用以下勒索攻擊真實案例,,望企業(yè)用戶從中借鑒參考,,以便重新認識網(wǎng)絡(luò)安全建設(shè)的重要性,。
本案例源于英國數(shù)字、文化,、媒體和體育部(DCMS)于八月初發(fā)布的網(wǎng)絡(luò)安全漏洞調(diào)查報告,,該報告調(diào)研了數(shù)十家英國本地企業(yè),從他們經(jīng)歷各種的安全事件前后分析,,梳理了企業(yè)在安全事件發(fā)生后對安全的全新認知,。
該案例為某私營建筑企業(yè),公司擁有超過250人規(guī)模,,他們在2019年曾遭受了嚴重的勒索軟件攻擊,,導(dǎo)致其IT系統(tǒng)停擺兩周之久。此次攻擊,,該公司認為他們沒有發(fā)生客戶資料泄露,,所以他們沒有通知任何官方機構(gòu)或客戶。
攻擊發(fā)生之前:網(wǎng)絡(luò)安全“眼不見心不煩”
根據(jù)報告編撰單位的調(diào)查采訪,,該公司IT總監(jiān)表示,,在該公司遭到入侵前,他們認為自己的網(wǎng)絡(luò)系統(tǒng)安全是“足夠”的,,他們擁有充足的計劃和資金,,用于安全咨詢和技術(shù)投資。但他也指出,,在2019年攻擊之前,,企業(yè)的高層對網(wǎng)絡(luò)安全的了解相對較少。
負責該公司業(yè)務(wù)系統(tǒng)的運維人員則指出,,在事件發(fā)生之前,,網(wǎng)絡(luò)安全對于他們來說并不是個“大問題”,,且“眼不見心不煩”。其心理來自于傳統(tǒng)的認知,,“像我們這樣的小企業(yè),,怎么可能成為受攻擊對象!”
同時,,該公司對于負責所有系統(tǒng)開發(fā)和維護的第三方供應(yīng)商保有信心,,認為他們可以解決這些問題,而不是自己還要做更多的事情,。其IT總監(jiān)就表示,,“我們知道自身的弱點(網(wǎng)絡(luò)安全方面),只是我們沒有抽出時間來解決它,,因為還有更多優(yōu)先要解決的事件,。(業(yè)務(wù)優(yōu)先)”
遭受攻擊時的反應(yīng):業(yè)務(wù)恢復(fù)耗時兩周
當時間回溯到2019年,該企業(yè)于某日凌晨3點,,接到了第三方基礎(chǔ)設(shè)施提供方的通知,,他們正在成為勒索軟件攻擊的受害者。通常而言,,勒索軟件攻擊多選在深夜進行加密操作,,這對于他們而言將會有更多充裕時間的可能。
對于該企業(yè)而言,,在他們還沒有來得及反應(yīng)之前,,也就是攻擊發(fā)生的凌晨3點接到通知之后的兩個多小時,勒索軟件開始關(guān)閉了他們的大部分IT系統(tǒng),,并且橫向擴展訪問了服務(wù)器上的大量文件,。
業(yè)務(wù)系統(tǒng)的運維人員在參與調(diào)查采訪時表示,當勒索軟件“停止工作”才引起了他們的注意,,而一切都晚了,。事件被形容為滾雪球,當整個公司的人都無法訪問文件時,,他們才突然意識到問題的嚴重性,。
IT總監(jiān)在當天早上與他們的外包商進行了會議溝通,確定了問題的嚴重性之后,,在上午10點緊急召開的董事會上向高層報告攻擊事件,。當時他們已經(jīng)收到了攻擊者的勒索郵件,勒索組織要求支付一定數(shù)量的比特幣作為恢復(fù)系統(tǒng)的條件,。
董事會迅速做出了決定,,第一,公司決定不支付贖金,,第二,,將盡快啟動全面業(yè)務(wù)連續(xù)性恢復(fù),,使系統(tǒng)恢復(fù)到攻擊前的狀態(tài)。
兩臺文件服務(wù)器和兩臺電腦在這次攻擊事件中被加密,,為降低風險,,其IT總監(jiān)命令總部的所有電腦暫時關(guān)閉。但在接受調(diào)查采訪時其IT總監(jiān)表示,,他低估了恢復(fù)所需的時間,,他們從進行恢復(fù)到完全恢復(fù),花費了兩周時間之久,。
整個的恢復(fù)計劃是操作系統(tǒng)優(yōu)先,,在重新安裝操作系統(tǒng)之后,他們?yōu)橄到y(tǒng)部署了三種不同的殺毒軟件,。之后,,他們確定了“一級數(shù)據(jù)”需要在6個小時內(nèi)恢復(fù)。在兩周時間里,,他們重建了15到20個虛擬服務(wù)器,,并確保了第三方基礎(chǔ)設(shè)施提供商排除相關(guān)隱患之后,他們上傳了公司的12TB的共享備份數(shù)據(jù),。
第三方供應(yīng)商在參與調(diào)查后指出,,該勒索軟件已經(jīng)在該公司內(nèi)部潛伏了18個月,但他們無法確定是什么觸發(fā)了勒索軟件的病毒下發(fā),。
入侵應(yīng)急之后:經(jīng)濟損失巨大 IT總監(jiān)提出辭職
在經(jīng)歷勒索攻擊之后,他們事后統(tǒng)計了安全調(diào)查,、滲透測試和額外的安全測試上的花費約為1萬英鎊,,但他們沒有辦法量化其他的損失,比如收入損失,、調(diào)查和修復(fù)漏洞所花費的時間,,以及對員工生產(chǎn)力和客戶關(guān)系等全面的影響。
鑒于事件對公司產(chǎn)生了負面影響,,其IT總監(jiān)也做出了向董事會辭職的決定,,因為他沒有很好地履行崗位職責。但董事長拒絕了他的要求,,董事會做出的決定是,,“鼓勵把所有必要的安全措施落實到位”。業(yè)務(wù)系統(tǒng)的運維人員將此描述為“領(lǐng)導(dǎo)層理解并感謝他們的努力,,盡管這兩周因攻擊導(dǎo)致業(yè)務(wù)虧損,。”
現(xiàn)在,,一些新的安全措施已被應(yīng)用,,比如公司關(guān)閉了對外的服務(wù)器,,內(nèi)部員工將使用多因素認證(MFA)來訪問系統(tǒng)。此外公司還修改了防火墻和防病毒軟件保護,,他們的服務(wù)器和公司辦公電腦包括筆記本,,都安全了防病毒系統(tǒng)。
自此次勒索軟件攻擊發(fā)生以來,,該公司更加重視技術(shù)而非人員來保證網(wǎng)絡(luò)安全,。根據(jù)其IT總監(jiān)的說法,員工是“在很多方面最薄弱的環(huán)節(jié),,因此我們?yōu)閭€人提供了新的網(wǎng)絡(luò)安全培訓(xùn),,以及每月的安全簡報和一年兩次的安全實戰(zhàn)演習?!?/p>
該公司IT總監(jiān)表示,,經(jīng)歷攻擊之后,他們的安全水平已經(jīng)得到了很大的提升,,他們對領(lǐng)先或持平競爭對手保有信心,。經(jīng)歷攻擊得到的“收益”是,他們的供應(yīng)商也改善了服務(wù),,他們現(xiàn)在正在進行更多的掃描和監(jiān)控,,并在安全方面給他們更多的指導(dǎo)和威脅信息同步。
后話:“業(yè)務(wù)連續(xù)性恢復(fù)”已成企業(yè)生存底線
此勒索攻擊案例對于該公司而言,,萬幸的是勒索病毒并沒有同步污染共享備份數(shù)據(jù),,從中可以看出該公司全面的“業(yè)務(wù)連續(xù)性恢復(fù)”計劃當中,對于備份數(shù)據(jù)的保護機制挽救了公司的在線業(yè)務(wù),。
對于“業(yè)務(wù)連續(xù)性恢復(fù)”這一問題,,行業(yè)廠商CloudWonder嘉云此前曾指出,全行業(yè)對業(yè)務(wù)連續(xù)性,、數(shù)據(jù)保護工作持續(xù)增量,,由第三方技術(shù)支撐的云容災(zāi)解決方案對業(yè)務(wù)、數(shù)據(jù)再生速度快,,多云異構(gòu)對多云環(huán)境的完美支持等,,已經(jīng)逐漸成為各級企業(yè)的剛性需求。
越來越多的公司正在成為勒索攻擊的受害者,,這要求公司在制定“業(yè)務(wù)連續(xù)性恢復(fù)”計劃時不僅要看方案對業(yè)務(wù),、數(shù)據(jù)保護有效性,同樣重要的是恢復(fù)時間要求盡量的短,,在此案例中用兩周時間進行恢復(fù)顯然將對業(yè)務(wù)運營產(chǎn)生重大影響,。
CloudWonder嘉云告訴安全419,為應(yīng)對勒索攻擊為首的頻繁網(wǎng)絡(luò)安全事件,,他們已為其容災(zāi)解決方案中加入了主動式智能識別技術(shù),,比如一旦系統(tǒng)偵測到勒索病毒,,就會即刻告知用戶,且在災(zāi)難發(fā)生的時候自動地將災(zāi)備系統(tǒng)完成恢復(fù)并且就緒,。
也就是說,,CloudWonder嘉云的容災(zāi)解決方案部署在企業(yè)的在線業(yè)務(wù)當中,如業(yè)務(wù)遭遇勒索,,企業(yè)可以依靠該系統(tǒng)瞬時在異地重構(gòu)業(yè)務(wù)系統(tǒng)和數(shù)據(jù),,從而充分保障業(yè)務(wù)連續(xù)性,提高企業(yè)在線業(yè)務(wù)的安全抗性,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<