本案例源于英國數(shù)字,、文化、媒體和體育部(DCMS)于八月初發(fā)布的網(wǎng)絡安全漏洞調(diào)查報告,,該報告調(diào)研了數(shù)十家英國本地企業(yè),,從他們經(jīng)歷各種的安全事件前后分析,梳理了企業(yè)在安全事件發(fā)生后對安全的全新認知,。
該案例對象是一家私營企業(yè),,人員規(guī)模小于50人,他們在2020年3月遭到勒索軟件攻擊,,攻擊者通過木馬釣魚作為突破口,,導致其IT系統(tǒng)關停數(shù)日。報告采訪了該司戰(zhàn)略主管和IT風險經(jīng)理,,獲取了如下信息:
攻擊發(fā)生之前:支持網(wǎng)絡安全并樂于投資
兩位管理人員在接受調(diào)查采訪時高調(diào)表示,,就網(wǎng)絡安全方面他們老板的態(tài)度是積極的,表現(xiàn)是“支持網(wǎng)絡安全”并“樂于投資”,?!耙晕覀冞@種規(guī)模的公司來看,認為在保證安全方面,,所做的一切都是合理的,。”其戰(zhàn)略主管表示,。
該司IT風險經(jīng)理認為他們的安全措施已經(jīng)“足夠”,,比如業(yè)務系統(tǒng)有防火墻和殺毒軟件的保護。更加重要的是,,他們投資了數(shù)萬美元,,為核心業(yè)務系統(tǒng)增設了一套備份系統(tǒng),該系統(tǒng)可以持續(xù)地將數(shù)據(jù)保存到云端,。對于這項投資,,受訪管理人員認為具有必要性,,因為這些核心的重要數(shù)據(jù)必須妥善保存。
此外,,該司還聘用了一個外部網(wǎng)絡安全供應商,,提供的服務包括每月10天的IT支持,和一年兩次的在線培訓,。該司還與這家安全供應商建立了一個電子郵件篩選流程,,相當于避免被釣魚攻擊的防護措施。
這家公司沒有正式的網(wǎng)絡安全策略,,但他們內(nèi)部執(zhí)行著不成文的規(guī)定,,比如不允許員工訪問非商業(yè)相關網(wǎng)站,或不使用陌生的移動存儲設備等,。這些規(guī)定可以一定程度的避免病毒入侵風險,。
遭受攻擊時的反應:交給安全供應商
雖然他們與安全供應商建立了電子郵件篩選流程,用來防范釣魚攻擊,,但攻擊者仍然找到了“合理”的攻擊方式,,案例中用“一封被認可的電子郵件”來形容,而釣魚對象則是該公司IT權限最大的常務董事,。
針對企業(yè)高管的釣魚攻擊,,顯然這封郵件沒有被納入到電子郵件篩選流程當中,且這位常務董事根據(jù)自我常識判斷認為郵件沒有問題,,并且點擊了郵件附帶的含有木馬病毒的附件。
案例陳述表明,,該公司在短時間內(nèi)接連遭遇了兩次類似的攻擊,,但因為常務董事身份權限更大,被認為可能會造成更大的傷害,。當他打開附件之后,,他的辦公電腦隨即被鎖定。
員工們也幾乎同時發(fā)現(xiàn)了問題,,因為疫情的原因當時他們都在家里工作,,攻擊導致他們VPN連接中斷。IT風險經(jīng)理隨即聯(lián)系了外部供應商,,在他們的建議下,,該組織隨即下線了所有服務器和內(nèi)部終端,以限制病毒傳播,。
隨后的時間內(nèi),,供應商協(xié)助參與了調(diào)查工作,以確保病毒被完全清除,,并為所有員工重新設置密碼,,并幫助他們重新登錄系統(tǒng),。然后他們進行了進一步的檢查,以評估是否存在數(shù)據(jù)泄露,,以確認是否有相關法律風險,。
入侵應急之后:未來還將持續(xù)加強安全建設
戰(zhàn)略主管陳訴表示,常務董事對其愚蠢的操作感受到了極大壓力,,因為他們在剛剛適應疫情帶來的封鎖,,加之公司即將結束財年,這種關鍵時期任何的IT風險都應該被排除和限制,。
IT風險經(jīng)理則基于對供應商保有信心,,所以他擔心的只有一件事,就是常務董事的個人電腦上的敏感文件是否會泄露,。因為如有數(shù)據(jù)泄露發(fā)生,,他們將面臨一系列的法律風險。
由于投資建設了備份系統(tǒng),,他們對于核心業(yè)務系統(tǒng)上的數(shù)據(jù)備份和恢復沒有任何擔心,。
在接受采訪時,該公司還尚未進行正式的事件總結,,也沒有量化成本損失,,但兩位受訪者估計由于停工期間的生產(chǎn)力和收入損失,以及外部供應商的額外收費,,他們保守估計損失折合人民幣在10萬元左右,。
戰(zhàn)略主管指出,在攻擊沒有發(fā)生之前,,他們在網(wǎng)絡安全方面確實會感到緊張,,但經(jīng)歷了類似的攻擊之外,他們已經(jīng)掌握了處理的流程,,和應對攻擊的知識點,,這讓他對未來保持一定的信心。
當然,,一些加強工作還是要做,,比如這次入侵之后,該公司開始為員工每周進行一次培訓,,幫助員工關注和了解社工欺騙,、釣魚攻擊等,他們還增強了多種手段的電子郵件安全性,。
該公司還計劃獲得Cyber Essentials認證,,這一認證是該國政府推出的一項計劃,計劃包含一系列控制措施以緩解防范常見的網(wǎng)絡攻擊,這也意味著未來他們還將持續(xù)加強安全建設,。
后話:云備份是該企業(yè)應對勒索攻擊亮點
此勒索攻擊案例對于該公司的影響是數(shù)日的IT系統(tǒng)中斷,,萬幸的是,其處理流程和仍在堅守崗位的安全措施讓他們度過了這一艱難時刻,,沒有產(chǎn)生進一步的致命影響,。
這一案例分享更高的價值在于該司為核心業(yè)務系統(tǒng)建立了一套備份系統(tǒng),雖然采訪者對該系統(tǒng)描述相對簡單,,但可以看出,,該系統(tǒng)支持持續(xù)的、自動化的云端備份,,其優(yōu)勢是備份機制對數(shù)據(jù)時效性更高,。
勒索軟件仍然是全球商業(yè)組織和政府的頭號公敵,安全419采訪國內(nèi)多家網(wǎng)絡安全企業(yè)歸納總結了大量的防護方案(《勒索攻擊解決方案》系列訪談),,而其總體的防護方案可以被拆分為事前,、事中、事后三步,,其中備份就是事后安全的重要舉措,。
由多家著名科技公司、網(wǎng)絡安全公司,、政府機構組成的非營利組織勒索軟件特別工作組(RTF)前不久公布了一份特別針對中小企業(yè)的“勒索軟件防御藍圖”,,該藍圖將勒索軟件防護分為四方面工作,分別為識別,、保護,、響應和恢復。其中恢復流程當中就強調(diào)了自動備份的重要性,。
據(jù)安全419進一步觀察,,當越來越多的專業(yè)安全企業(yè)及咨詢機構都開始將數(shù)據(jù)恢復作為幫助用戶抵御勒索軟件攻擊的最后防線,而基于核心業(yè)務系統(tǒng),、數(shù)據(jù)的容災解決方案在保障數(shù)據(jù)完整性及業(yè)務連續(xù)性方面將遠優(yōu)于傳統(tǒng)的備份方案。
更多信息可以來這里獲取==>>電子技術應用-AET<<