本案例源于英国数字、文化、媒体和体育部(DCMS)于八月初发布的网络安全漏洞调查报告,该报告调研了数十家英国本地企业,从他们经历各种的安全事件前后分析,梳理了企业在安全事件发生后对安全的全新认知。
该案例为某私营建筑企业,公司拥有超过250人规模,他们在2019年曾遭受了严重的勒索软件攻击,导致其IT系统停摆两周之久。此次攻击,该公司认为他们没有发生客户资料泄露,所以他们没有通知任何官方机构或客户。
攻击发生之前:网络安全“眼不见心不烦”
根据报告编撰单位的调查采访,该公司IT总监表示,在该公司遭到入侵前,他们认为自己的网络系统安全是“足够”的,他们拥有充足的计划和资金,用于安全咨询和技术投资。但他也指出,在2019年攻击之前,企业的高层对网络安全的了解相对较少。
负责该公司业务系统的运维人员则指出,在事件发生之前,网络安全对于他们来说并不是个“大问题”,且“眼不见心不烦”。其心理来自于传统的认知,“像我们这样的小企业,怎么可能成为受攻击对象!”
同时,该公司对于负责所有系统开发和维护的第三方供应商保有信心,认为他们可以解决这些问题,而不是自己还要做更多的事情。其IT总监就表示,“我们知道自身的弱点(网络安全方面),只是我们没有抽出时间来解决它,因为还有更多优先要解决的事件。(业务优先)”
遭受攻击时的反应:业务恢复耗时两周
当时间回溯到2019年,该企业于某日凌晨3点,接到了第三方基础设施提供方的通知,他们正在成为勒索软件攻击的受害者。通常而言,勒索软件攻击多选在深夜进行加密操作,这对于他们而言将会有更多充裕时间的可能。
对于该企业而言,在他们还没有来得及反应之前,也就是攻击发生的凌晨3点接到通知之后的两个多小时,勒索软件开始关闭了他们的大部分IT系统,并且横向扩展访问了服务器上的大量文件。
业务系统的运维人员在参与调查采访时表示,当勒索软件“停止工作”才引起了他们的注意,而一切都晚了。事件被形容为滚雪球,当整个公司的人都无法访问文件时,他们才突然意识到问题的严重性。
IT总监在当天早上与他们的外包商进行了会议沟通,确定了问题的严重性之后,在上午10点紧急召开的董事会上向高层报告攻击事件。当时他们已经收到了攻击者的勒索邮件,勒索组织要求支付一定数量的比特币作为恢复系统的条件。
董事会迅速做出了决定,第一,公司决定不支付赎金,第二,将尽快启动全面业务连续性恢复,使系统恢复到攻击前的状态。
两台文件服务器和两台电脑在这次攻击事件中被加密,为降低风险,其IT总监命令总部的所有电脑暂时关闭。但在接受调查采访时其IT总监表示,他低估了恢复所需的时间,他们从进行恢复到完全恢复,花费了两周时间之久。
整个的恢复计划是操作系统优先,在重新安装操作系统之后,他们为系统部署了三种不同的杀毒软件。之后,他们确定了“一级数据”需要在6个小时内恢复。在两周时间里,他们重建了15到20个虚拟服务器,并确保了第三方基础设施提供商排除相关隐患之后,他们上传了公司的12TB的共享备份数据。
第三方供应商在参与调查后指出,该勒索软件已经在该公司内部潜伏了18个月,但他们无法确定是什么触发了勒索软件的病毒下发。
入侵应急之后:经济损失巨大 IT总监提出辞职
在经历勒索攻击之后,他们事后统计了安全调查、渗透测试和额外的安全测试上的花费约为1万英镑,但他们没有办法量化其他的损失,比如收入损失、调查和修复漏洞所花费的时间,以及对员工生产力和客户关系等全面的影响。
鉴于事件对公司产生了负面影响,其IT总监也做出了向董事会辞职的决定,因为他没有很好地履行岗位职责。但董事长拒绝了他的要求,董事会做出的决定是,“鼓励把所有必要的安全措施落实到位”。业务系统的运维人员将此描述为“领导层理解并感谢他们的努力,尽管这两周因攻击导致业务亏损。”
现在,一些新的安全措施已被应用,比如公司关闭了对外的服务器,内部员工将使用多因素认证(MFA)来访问系统。此外公司还修改了防火墙和防病毒软件保护,他们的服务器和公司办公电脑包括笔记本,都安全了防病毒系统。
自此次勒索软件攻击发生以来,该公司更加重视技术而非人员来保证网络安全。根据其IT总监的说法,员工是“在很多方面最薄弱的环节,因此我们为个人提供了新的网络安全培训,以及每月的安全简报和一年两次的安全实战演习。”
该公司IT总监表示,经历攻击之后,他们的安全水平已经得到了很大的提升,他们对领先或持平竞争对手保有信心。经历攻击得到的“收益”是,他们的供应商也改善了服务,他们现在正在进行更多的扫描和监控,并在安全方面给他们更多的指导和威胁信息同步。
后话:“业务连续性恢复”已成企业生存底线
此勒索攻击案例对于该公司而言,万幸的是勒索病毒并没有同步污染共享备份数据,从中可以看出该公司全面的“业务连续性恢复”计划当中,对于备份数据的保护机制挽救了公司的在线业务。
对于“业务连续性恢复”这一问题,行业厂商CloudWonder嘉云此前曾指出,全行业对业务连续性、数据保护工作持续增量,由第三方技术支撑的云容灾解决方案对业务、数据再生速度快,多云异构对多云环境的完美支持等,已经逐渐成为各级企业的刚性需求。
越来越多的公司正在成为勒索攻击的受害者,这要求公司在制定“业务连续性恢复”计划时不仅要看方案对业务、数据保护有效性,同样重要的是恢复时间要求尽量的短,在此案例中用两周时间进行恢复显然将对业务运营产生重大影响。
CloudWonder嘉云告诉安全419,为应对勒索攻击为首的频繁网络安全事件,他们已为其容灾解决方案中加入了主动式智能识别技术,比如一旦系统侦测到勒索病毒,就会即刻告知用户,且在灾难发生的时候自动地将灾备系统完成恢复并且就绪。
也就是说,CloudWonder嘉云的容灾解决方案部署在企业的在线业务当中,如业务遭遇勒索,企业可以依靠该系统瞬时在异地重构业务系统和数据,从而充分保障业务连续性,提高企业在线业务的安全抗性。