本案例源于英國數(shù)字、文化、媒體和體育部（DCMS）于八月初發(fā)布的網(wǎng)絡(luò)安全漏洞調(diào)查報告，該報告調(diào)研了數(shù)十家英國本地企業(yè)，從他們經(jīng)歷各種的安全事件前后分析，梳理了企業(yè)在安全事件發(fā)生后對安全的全新認(rèn)知。

　　該案例為某私營機構(gòu)，公司擁有超過250人規(guī)模，他們在2021年12月份經(jīng)歷了一場因黑客攻擊事件所引起的內(nèi)部CRM系統(tǒng)癱瘓事件，令他們難以接受的是攻擊本體并不是他們自己，而是源于CRM供應(yīng)商的勒索軟件攻擊事件。

　　是的，最近國內(nèi)也發(fā)生了相類似的事件，所以這也是該案例的特別之處。

　　攻擊發(fā)生之前：每年投入200萬確保網(wǎng)絡(luò)安全

　　在DCMS調(diào)查采訪時該公司的IT總監(jiān)表示，他們的年營業(yè)額超過1.5億英鎊（約合12億人民幣），同時他們相對了解網(wǎng)絡(luò)安全的重要性，每年在這方面的投資大約25萬英鎊（約合200萬人民幣）?？梢钥吹贸鰜恚m然這家公司在網(wǎng)絡(luò)安全方面的投入還不足整體營收的千分之二，但也不算過于糟糕。

　　他們的IT總監(jiān)認(rèn)為，對待網(wǎng)絡(luò)安全方面他們可能比絕大多數(shù)類似的公司更加認(rèn)真。他們的思考是，他們不希望自身成為那些悲慘的攻擊受害者。

　　他們在網(wǎng)絡(luò)安全建議方面確實相較完善，一方面，他們擁有一個第三方安全合作伙伴來幫助他們?nèi)旌蛱幚硭邪踩珕栴}，同時他們的所有終端都安裝了殺毒軟件，且機構(gòu)還為他們的云端服務(wù)采購了一個云安全解決方案。

　　他們還自信地說，他們還為員工提供了網(wǎng)絡(luò)安全培訓(xùn)，來提高日?；顒訒r的安全意識問題。其財務(wù)經(jīng)理在接受調(diào)查采訪時也補充道，“我們每個月至少有一次安全培訓(xùn)，以警示員工警惕網(wǎng)絡(luò)釣魚郵件之類的東西。”

　　遭受攻擊時的反應(yīng)：只能被動等待

　　安全事件發(fā)生于2021年12月中旬，他們的CRM供應(yīng)商系統(tǒng)中存在一個嚴(yán)重的供應(yīng)鏈漏洞（與Log4j漏洞爆發(fā)時間點相吻合），導(dǎo)致供應(yīng)商CRM系統(tǒng)無法正常運營，因此，該組織的CRM系統(tǒng)也處于了停用狀態(tài)。

　　根據(jù)IT總監(jiān)的說法，這次入侵本身是針對供應(yīng)商的勒索軟件攻擊，事件發(fā)生在周六晚間，并在周日蔓延到供應(yīng)商的整個服務(wù)器，迫使他們的整個基礎(chǔ)設(shè)施癱瘓。而在此期間，這家CRM供應(yīng)商沒有立即通知所服務(wù)的客戶。

　　周一早上，這家公司很快發(fā)現(xiàn)了他們的CRM 系統(tǒng)無法使用這一問題，起初，他們還懷疑可能是內(nèi)部問題，所以他們立即進(jìn)行了一些調(diào)查。在調(diào)查的過程中，他們也試圖聯(lián)系過供應(yīng)商，但是沒有得到回應(yīng)。

　　“大約72 小時后，供應(yīng)商才告訴我們，這是一次勒索軟件攻擊，勒索軟件以管理員身份進(jìn)入了他們的服務(wù)器，所以我猜他們肯定有人點擊了釣魚鏈接?！盜T總監(jiān)接受調(diào)查采訪時表示。

　　在此之后，這家CRM供應(yīng)商總共花了10天時間來徹底解決這個問題，包括從頭開始重建CRM系統(tǒng)和備份基礎(chǔ)設(shè)施。其關(guān)鍵的服務(wù)授權(quán)在兩天后重新運行，這稍顯緩解了其服務(wù)的眾多客戶。

　　顯然，受影響的不僅僅是供應(yīng)商他們自身，正如該IT總監(jiān)表示，他們公司的日常運營全部圍繞著這套CRM系統(tǒng)，所以當(dāng)CRM供應(yīng)商遭到勒索攻擊時，他們也處于了尷尬境地。他們的財務(wù)經(jīng)理就明確指出，“一旦他們解決了問題，我們就沒事了。在此期間，所有人都要親自動手來支撐業(yè)務(wù)”。

　　由于員工兩天內(nèi)無法使用公司的CRM系統(tǒng)，這為公司運營帶來了嚴(yán)重影響，因為他們要借助這套CRM系統(tǒng)來完成重要的商業(yè)支付，同樣，從事銷售和客戶服務(wù)工作的員工也無法訪問關(guān)鍵信息，因此，這一時期公司的銷售量受到了影響。

　　網(wǎng)絡(luò)入侵之后：網(wǎng)絡(luò)安全升級舉措

　　該公司的財務(wù)經(jīng)理表示，他們的團(tuán)隊為此事件“全力以赴”至少一周時間，但他們無法對期間整體損失做出準(zhǔn)確量化，比如有人說可能是數(shù)十萬英鎊，因為他們的生產(chǎn)力受到了嚴(yán)重影響，并影響了與客戶之間的業(yè)務(wù)往來。由于事件并不涉及數(shù)據(jù)泄露，所以他們沒有通知自家客戶，或是任何政府執(zhí)法機構(gòu)。

　　此次攻擊事件發(fā)生后，該公司隨后制定了一套外部供應(yīng)商風(fēng)險評估流程，以便更好地了解他們的供應(yīng)商如何保護(hù)和監(jiān)控自身環(huán)境，以及在發(fā)生違規(guī)事件時的通知流程。更為重點的是，由于受到了教訓(xùn)，他們替換了自身的備份供應(yīng)商，他們正在著手建設(shè)一個災(zāi)難恢復(fù)站點，從而在下次災(zāi)難降臨之時，從而讓業(yè)務(wù)保持連續(xù)運營。

　　此外，該公司還從經(jīng)歷勒索攻擊的供應(yīng)商那里吸取了教訓(xùn)，他們決定進(jìn)一步加強網(wǎng)絡(luò)安全方面的投入，包括一個新的管理服務(wù)被引入，他們還購買了一套自動化網(wǎng)絡(luò)釣魚模擬服務(wù)，該服務(wù)可以協(xié)作他們發(fā)送模擬的釣魚電子郵件，以幫助培訓(xùn)員工的安全意識。此外他們還引入了一套沙盒系統(tǒng)。

　　后話：“業(yè)務(wù)連續(xù)性恢復(fù)”已成企業(yè)生存底線

　　當(dāng)真正的災(zāi)難降臨時，企業(yè)才會重新審視自身的安全建設(shè)，并為之反省，從而補足自身的薄弱環(huán)節(jié)。以此次勒索攻擊案例而言，針對供應(yīng)商的攻擊確實讓他們猝不及防，但他們其實仍然可以做得更好。比如對事件的反應(yīng)速度可以更快，原本的備份計劃沒有阻止企業(yè)核心系統(tǒng)宕機對業(yè)務(wù)造成的影響等等。

　　事件發(fā)生之后，雖然錯不在自身，但他們還是補足了一系列自身的安全缺口，從事件本身性質(zhì)出發(fā)，在我們看來，更為有效的是重新評估加入了“業(yè)務(wù)連續(xù)性恢復(fù)”計劃。

　　此前行業(yè)廠商CloudWonder嘉云就曾指出，全行業(yè)對業(yè)務(wù)連續(xù)性、數(shù)據(jù)保護(hù)工作持續(xù)增量，由第三方技術(shù)支撐的云容災(zāi)解決方案對業(yè)務(wù)、數(shù)據(jù)再生速度快，多云異構(gòu)對多云環(huán)境的完美支持等，已經(jīng)逐漸成為各級企業(yè)的剛性需求。

　　越來越多的公司正在成為勒索攻擊的受害者，這要求公司在制定“業(yè)務(wù)連續(xù)性恢復(fù)”計劃時不僅要看方案對業(yè)務(wù)、數(shù)據(jù)保護(hù)有效性，同樣重要的是恢復(fù)時間要求盡量地短。在此案例中，他們之所以不再考慮用傳統(tǒng)的備份來做系統(tǒng)恢復(fù)，也是出于此考慮。

　　CloudWonder嘉云告訴安全419，為應(yīng)對勒索攻擊為首的頻繁網(wǎng)絡(luò)安全事件，他們已為其容災(zāi)解決方案中加入了主動式智能識別技術(shù)，比如一旦系統(tǒng)偵測到勒索病毒，就會即刻告知用戶，且在災(zāi)難發(fā)生的時候自動地將災(zāi)備系統(tǒng)完成恢復(fù)并且就緒。

　　也就是說，CloudWonder嘉云的容災(zāi)解決方案部署在企業(yè)的在線業(yè)務(wù)當(dāng)中，如業(yè)務(wù)遭遇勒索，企業(yè)可以依靠該系統(tǒng)瞬時在異地重構(gòu)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)，從而充分保障業(yè)務(wù)連續(xù)性，提高企業(yè)在線業(yè)務(wù)的安全抗性。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<