此前網(wǎng)傳某制造業(yè)名企中招勒索傳聞剛過，今日，某知名辦公軟件也被爆出大面積勒索攻擊，各地多家企業(yè)無辜中招，勒索軟件攻擊在我國呈現(xiàn)愈演愈烈趨勢。今天，我們引用以下勒索攻擊真實案例，望企業(yè)用戶從中借鑒參考，以便重新認(rèn)識網(wǎng)絡(luò)安全建設(shè)的重要性。

　　本案例源于英國數(shù)字、文化、媒體和體育部（DCMS）于八月初發(fā)布的網(wǎng)絡(luò)安全漏洞調(diào)查報告，該報告調(diào)研了數(shù)十家英國本地企業(yè)，從他們經(jīng)歷各種的安全事件前后分析，梳理了企業(yè)在安全事件發(fā)生后對安全的全新認(rèn)知。

　　該案例為某私營建筑企業(yè)，公司擁有超過250人規(guī)模，他們在2019年曾遭受了嚴(yán)重的勒索軟件攻擊，導(dǎo)致其IT系統(tǒng)停擺兩周之久。此次攻擊，該公司認(rèn)為他們沒有發(fā)生客戶資料泄露，所以他們沒有通知任何官方機構(gòu)或客戶。

　　攻擊發(fā)生之前：網(wǎng)絡(luò)安全“眼不見心不煩”

　　根據(jù)報告編撰單位的調(diào)查采訪，該公司IT總監(jiān)表示，在該公司遭到入侵前，他們認(rèn)為自己的網(wǎng)絡(luò)系統(tǒng)安全是“足夠”的，他們擁有充足的計劃和資金，用于安全咨詢和技術(shù)投資。但他也指出，在2019年攻擊之前，企業(yè)的高層對網(wǎng)絡(luò)安全的了解相對較少。

　　負(fù)責(zé)該公司業(yè)務(wù)系統(tǒng)的運維人員則指出，在事件發(fā)生之前，網(wǎng)絡(luò)安全對于他們來說并不是個“大問題”，且“眼不見心不煩”。其心理來自于傳統(tǒng)的認(rèn)知，“像我們這樣的小企業(yè)，怎么可能成為受攻擊對象！”

　　同時，該公司對于負(fù)責(zé)所有系統(tǒng)開發(fā)和維護(hù)的第三方供應(yīng)商保有信心，認(rèn)為他們可以解決這些問題，而不是自己還要做更多的事情。其IT總監(jiān)就表示，“我們知道自身的弱點（網(wǎng)絡(luò)安全方面），只是我們沒有抽出時間來解決它，因為還有更多優(yōu)先要解決的事件。（業(yè)務(wù)優(yōu)先）”

　　遭受攻擊時的反應(yīng)：業(yè)務(wù)恢復(fù)耗時兩周

　　當(dāng)時間回溯到2019年，該企業(yè)于某日凌晨3點，接到了第三方基礎(chǔ)設(shè)施提供方的通知，他們正在成為勒索軟件攻擊的受害者。通常而言，勒索軟件攻擊多選在深夜進(jìn)行加密操作，這對于他們而言將會有更多充裕時間的可能。

　　對于該企業(yè)而言，在他們還沒有來得及反應(yīng)之前，也就是攻擊發(fā)生的凌晨3點接到通知之后的兩個多小時，勒索軟件開始關(guān)閉了他們的大部分IT系統(tǒng)，并且橫向擴(kuò)展訪問了服務(wù)器上的大量文件。

　　業(yè)務(wù)系統(tǒng)的運維人員在參與調(diào)查采訪時表示，當(dāng)勒索軟件“停止工作”才引起了他們的注意，而一切都晚了。事件被形容為滾雪球，當(dāng)整個公司的人都無法訪問文件時，他們才突然意識到問題的嚴(yán)重性。

　　IT總監(jiān)在當(dāng)天早上與他們的外包商進(jìn)行了會議溝通，確定了問題的嚴(yán)重性之后，在上午10點緊急召開的董事會上向高層報告攻擊事件。當(dāng)時他們已經(jīng)收到了攻擊者的勒索郵件，勒索組織要求支付一定數(shù)量的比特幣作為恢復(fù)系統(tǒng)的條件。

　　董事會迅速做出了決定，第一，公司決定不支付贖金，第二，將盡快啟動全面業(yè)務(wù)連續(xù)性恢復(fù)，使系統(tǒng)恢復(fù)到攻擊前的狀態(tài)。

　　兩臺文件服務(wù)器和兩臺電腦在這次攻擊事件中被加密，為降低風(fēng)險，其IT總監(jiān)命令總部的所有電腦暫時關(guān)閉。但在接受調(diào)查采訪時其IT總監(jiān)表示，他低估了恢復(fù)所需的時間，他們從進(jìn)行恢復(fù)到完全恢復(fù)，花費了兩周時間之久。

　　整個的恢復(fù)計劃是操作系統(tǒng)優(yōu)先，在重新安裝操作系統(tǒng)之后，他們?yōu)橄到y(tǒng)部署了三種不同的殺毒軟件。之后，他們確定了“一級數(shù)據(jù)”需要在6個小時內(nèi)恢復(fù)。在兩周時間里，他們重建了15到20個虛擬服務(wù)器，并確保了第三方基礎(chǔ)設(shè)施提供商排除相關(guān)隱患之后，他們上傳了公司的12TB的共享備份數(shù)據(jù)。

　　第三方供應(yīng)商在參與調(diào)查后指出，該勒索軟件已經(jīng)在該公司內(nèi)部潛伏了18個月，但他們無法確定是什么觸發(fā)了勒索軟件的病毒下發(fā)。

　　入侵應(yīng)急之后：經(jīng)濟(jì)損失巨大 IT總監(jiān)提出辭職

　　在經(jīng)歷勒索攻擊之后，他們事后統(tǒng)計了安全調(diào)查、滲透測試和額外的安全測試上的花費約為1萬英鎊，但他們沒有辦法量化其他的損失，比如收入損失、調(diào)查和修復(fù)漏洞所花費的時間，以及對員工生產(chǎn)力和客戶關(guān)系等全面的影響。

　　鑒于事件對公司產(chǎn)生了負(fù)面影響，其IT總監(jiān)也做出了向董事會辭職的決定，因為他沒有很好地履行崗位職責(zé)。但董事長拒絕了他的要求，董事會做出的決定是，“鼓勵把所有必要的安全措施落實到位”。業(yè)務(wù)系統(tǒng)的運維人員將此描述為“領(lǐng)導(dǎo)層理解并感謝他們的努力，盡管這兩周因攻擊導(dǎo)致業(yè)務(wù)虧損。”

　　現(xiàn)在，一些新的安全措施已被應(yīng)用，比如公司關(guān)閉了對外的服務(wù)器，內(nèi)部員工將使用多因素認(rèn)證（MFA）來訪問系統(tǒng)。此外公司還修改了防火墻和防病毒軟件保護(hù)，他們的服務(wù)器和公司辦公電腦包括筆記本，都安全了防病毒系統(tǒng)。

　　自此次勒索軟件攻擊發(fā)生以來，該公司更加重視技術(shù)而非人員來保證網(wǎng)絡(luò)安全。根據(jù)其IT總監(jiān)的說法，員工是“在很多方面最薄弱的環(huán)節(jié)，因此我們?yōu)閭€人提供了新的網(wǎng)絡(luò)安全培訓(xùn)，以及每月的安全簡報和一年兩次的安全實戰(zhàn)演習(xí)。”

　　該公司IT總監(jiān)表示，經(jīng)歷攻擊之后，他們的安全水平已經(jīng)得到了很大的提升，他們對領(lǐng)先或持平競爭對手保有信心。經(jīng)歷攻擊得到的“收益”是，他們的供應(yīng)商也改善了服務(wù)，他們現(xiàn)在正在進(jìn)行更多的掃描和監(jiān)控，并在安全方面給他們更多的指導(dǎo)和威脅信息同步。

　　后話：“業(yè)務(wù)連續(xù)性恢復(fù)”已成企業(yè)生存底線

　　此勒索攻擊案例對于該公司而言，萬幸的是勒索病毒并沒有同步污染共享備份數(shù)據(jù)，從中可以看出該公司全面的“業(yè)務(wù)連續(xù)性恢復(fù)”計劃當(dāng)中，對于備份數(shù)據(jù)的保護(hù)機制挽救了公司的在線業(yè)務(wù)。

　　對于“業(yè)務(wù)連續(xù)性恢復(fù)”這一問題，行業(yè)廠商CloudWonder嘉云此前曾指出，全行業(yè)對業(yè)務(wù)連續(xù)性、數(shù)據(jù)保護(hù)工作持續(xù)增量，由第三方技術(shù)支撐的云容災(zāi)解決方案對業(yè)務(wù)、數(shù)據(jù)再生速度快，多云異構(gòu)對多云環(huán)境的完美支持等，已經(jīng)逐漸成為各級企業(yè)的剛性需求。

　　越來越多的公司正在成為勒索攻擊的受害者，這要求公司在制定“業(yè)務(wù)連續(xù)性恢復(fù)”計劃時不僅要看方案對業(yè)務(wù)、數(shù)據(jù)保護(hù)有效性，同樣重要的是恢復(fù)時間要求盡量的短，在此案例中用兩周時間進(jìn)行恢復(fù)顯然將對業(yè)務(wù)運營產(chǎn)生重大影響。

　　CloudWonder嘉云告訴安全419，為應(yīng)對勒索攻擊為首的頻繁網(wǎng)絡(luò)安全事件，他們已為其容災(zāi)解決方案中加入了主動式智能識別技術(shù)，比如一旦系統(tǒng)偵測到勒索病毒，就會即刻告知用戶，且在災(zāi)難發(fā)生的時候自動地將災(zāi)備系統(tǒng)完成恢復(fù)并且就緒。

　　也就是說，CloudWonder嘉云的容災(zāi)解決方案部署在企業(yè)的在線業(yè)務(wù)當(dāng)中，如業(yè)務(wù)遭遇勒索，企業(yè)可以依靠該系統(tǒng)瞬時在異地重構(gòu)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)，從而充分保障業(yè)務(wù)連續(xù)性，提高企業(yè)在線業(yè)務(wù)的安全抗性。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<