本案例源于英國(guó)數(shù)字、文化、媒體和體育部（DCMS）于八月初發(fā)布的網(wǎng)絡(luò)安全漏洞調(diào)查報(bào)告，該報(bào)告調(diào)研了數(shù)十家英國(guó)本地企業(yè)，從他們經(jīng)歷各種的安全事件前后分析，梳理了企業(yè)在安全事件發(fā)生后對(duì)安全的全新認(rèn)知。

　　該案例對(duì)象是一家私營(yíng)企業(yè)，人員規(guī)模小于50人，他們?cè)?020年3月遭到勒索軟件攻擊，攻擊者通過(guò)木馬釣魚(yú)作為突破口，導(dǎo)致其IT系統(tǒng)關(guān)停數(shù)日。報(bào)告采訪了該司戰(zhàn)略主管和IT風(fēng)險(xiǎn)經(jīng)理，獲取了如下信息：

　　攻擊發(fā)生之前：支持網(wǎng)絡(luò)安全并樂(lè)于投資

　　兩位管理人員在接受調(diào)查采訪時(shí)高調(diào)表示，就網(wǎng)絡(luò)安全方面他們老板的態(tài)度是積極的，表現(xiàn)是“支持網(wǎng)絡(luò)安全”并“樂(lè)于投資”?！耙晕覀冞@種規(guī)模的公司來(lái)看，認(rèn)為在保證安全方面，所做的一切都是合理的。”其戰(zhàn)略主管表示。

　　該司IT風(fēng)險(xiǎn)經(jīng)理認(rèn)為他們的安全措施已經(jīng)“足夠”，比如業(yè)務(wù)系統(tǒng)有防火墻和殺毒軟件的保護(hù)。更加重要的是，他們投資了數(shù)萬(wàn)美元，為核心業(yè)務(wù)系統(tǒng)增設(shè)了一套備份系統(tǒng)，該系統(tǒng)可以持續(xù)地將數(shù)據(jù)保存到云端。對(duì)于這項(xiàng)投資，受訪管理人員認(rèn)為具有必要性，因?yàn)檫@些核心的重要數(shù)據(jù)必須妥善保存。

　　此外，該司還聘用了一個(gè)外部網(wǎng)絡(luò)安全供應(yīng)商，提供的服務(wù)包括每月10天的IT支持，和一年兩次的在線培訓(xùn)。該司還與這家安全供應(yīng)商建立了一個(gè)電子郵件篩選流程，相當(dāng)于避免被釣魚(yú)攻擊的防護(hù)措施。

　　這家公司沒(méi)有正式的網(wǎng)絡(luò)安全策略，但他們內(nèi)部執(zhí)行著不成文的規(guī)定，比如不允許員工訪問(wèn)非商業(yè)相關(guān)網(wǎng)站，或不使用陌生的移動(dòng)存儲(chǔ)設(shè)備等。這些規(guī)定可以一定程度的避免病毒入侵風(fēng)險(xiǎn)。

　　遭受攻擊時(shí)的反應(yīng)：交給安全供應(yīng)商

　　雖然他們與安全供應(yīng)商建立了電子郵件篩選流程，用來(lái)防范釣魚(yú)攻擊，但攻擊者仍然找到了“合理”的攻擊方式，案例中用“一封被認(rèn)可的電子郵件”來(lái)形容，而釣魚(yú)對(duì)象則是該公司IT權(quán)限最大的常務(wù)董事。

　　針對(duì)企業(yè)高管的釣魚(yú)攻擊，顯然這封郵件沒(méi)有被納入到電子郵件篩選流程當(dāng)中，且這位常務(wù)董事根據(jù)自我常識(shí)判斷認(rèn)為郵件沒(méi)有問(wèn)題，并且點(diǎn)擊了郵件附帶的含有木馬病毒的附件。

　　案例陳述表明，該公司在短時(shí)間內(nèi)接連遭遇了兩次類似的攻擊，但因?yàn)槌?wù)董事身份權(quán)限更大，被認(rèn)為可能會(huì)造成更大的傷害。當(dāng)他打開(kāi)附件之后，他的辦公電腦隨即被鎖定。

　　員工們也幾乎同時(shí)發(fā)現(xiàn)了問(wèn)題，因?yàn)橐咔榈脑虍?dāng)時(shí)他們都在家里工作，攻擊導(dǎo)致他們VPN連接中斷。IT風(fēng)險(xiǎn)經(jīng)理隨即聯(lián)系了外部供應(yīng)商，在他們的建議下，該組織隨即下線了所有服務(wù)器和內(nèi)部終端，以限制病毒傳播。

　　隨后的時(shí)間內(nèi)，供應(yīng)商協(xié)助參與了調(diào)查工作，以確保病毒被完全清除，并為所有員工重新設(shè)置密碼，并幫助他們重新登錄系統(tǒng)。然后他們進(jìn)行了進(jìn)一步的檢查，以評(píng)估是否存在數(shù)據(jù)泄露，以確認(rèn)是否有相關(guān)法律風(fēng)險(xiǎn)。

　　入侵應(yīng)急之后：未來(lái)還將持續(xù)加強(qiáng)安全建設(shè)

　　戰(zhàn)略主管陳訴表示，常務(wù)董事對(duì)其愚蠢的操作感受到了極大壓力，因?yàn)樗麄冊(cè)趧倓傔m應(yīng)疫情帶來(lái)的封鎖，加之公司即將結(jié)束財(cái)年，這種關(guān)鍵時(shí)期任何的IT風(fēng)險(xiǎn)都應(yīng)該被排除和限制。

　　IT風(fēng)險(xiǎn)經(jīng)理則基于對(duì)供應(yīng)商保有信心，所以他擔(dān)心的只有一件事，就是常務(wù)董事的個(gè)人電腦上的敏感文件是否會(huì)泄露。因?yàn)槿缬袛?shù)據(jù)泄露發(fā)生，他們將面臨一系列的法律風(fēng)險(xiǎn)。

　　由于投資建設(shè)了備份系統(tǒng)，他們對(duì)于核心業(yè)務(wù)系統(tǒng)上的數(shù)據(jù)備份和恢復(fù)沒(méi)有任何擔(dān)心。

　　在接受采訪時(shí)，該公司還尚未進(jìn)行正式的事件總結(jié)，也沒(méi)有量化成本損失，但兩位受訪者估計(jì)由于停工期間的生產(chǎn)力和收入損失，以及外部供應(yīng)商的額外收費(fèi)，他們保守估計(jì)損失折合人民幣在10萬(wàn)元左右。

　　戰(zhàn)略主管指出，在攻擊沒(méi)有發(fā)生之前，他們?cè)诰W(wǎng)絡(luò)安全方面確實(shí)會(huì)感到緊張，但經(jīng)歷了類似的攻擊之外，他們已經(jīng)掌握了處理的流程，和應(yīng)對(duì)攻擊的知識(shí)點(diǎn)，這讓他對(duì)未來(lái)保持一定的信心。

　　當(dāng)然，一些加強(qiáng)工作還是要做，比如這次入侵之后，該公司開(kāi)始為員工每周進(jìn)行一次培訓(xùn)，幫助員工關(guān)注和了解社工欺騙、釣魚(yú)攻擊等，他們還增強(qiáng)了多種手段的電子郵件安全性。

　　該公司還計(jì)劃獲得Cyber Essentials認(rèn)證，這一認(rèn)證是該國(guó)政府推出的一項(xiàng)計(jì)劃，計(jì)劃包含一系列控制措施以緩解防范常見(jiàn)的網(wǎng)絡(luò)攻擊，這也意味著未來(lái)他們還將持續(xù)加強(qiáng)安全建設(shè)。

　　后話：云備份是該企業(yè)應(yīng)對(duì)勒索攻擊亮點(diǎn)

　　此勒索攻擊案例對(duì)于該公司的影響是數(shù)日的IT系統(tǒng)中斷，萬(wàn)幸的是，其處理流程和仍在堅(jiān)守崗位的安全措施讓他們度過(guò)了這一艱難時(shí)刻，沒(méi)有產(chǎn)生進(jìn)一步的致命影響。

　　這一案例分享更高的價(jià)值在于該司為核心業(yè)務(wù)系統(tǒng)建立了一套備份系統(tǒng)，雖然采訪者對(duì)該系統(tǒng)描述相對(duì)簡(jiǎn)單，但可以看出，該系統(tǒng)支持持續(xù)的、自動(dòng)化的云端備份，其優(yōu)勢(shì)是備份機(jī)制對(duì)數(shù)據(jù)時(shí)效性更高。

　　勒索軟件仍然是全球商業(yè)組織和政府的頭號(hào)公敵，安全419采訪國(guó)內(nèi)多家網(wǎng)絡(luò)安全企業(yè)歸納總結(jié)了大量的防護(hù)方案（《勒索攻擊解決方案》系列訪談），而其總體的防護(hù)方案可以被拆分為事前、事中、事后三步，其中備份就是事后安全的重要舉措。

　　由多家著名科技公司、網(wǎng)絡(luò)安全公司、政府機(jī)構(gòu)組成的非營(yíng)利組織勒索軟件特別工作組（RTF）前不久公布了一份特別針對(duì)中小企業(yè)的“勒索軟件防御藍(lán)圖”，該藍(lán)圖將勒索軟件防護(hù)分為四方面工作，分別為識(shí)別、保護(hù)、響應(yīng)和恢復(fù)。其中恢復(fù)流程當(dāng)中就強(qiáng)調(diào)了自動(dòng)備份的重要性。

　　據(jù)安全419進(jìn)一步觀察，當(dāng)越來(lái)越多的專業(yè)安全企業(yè)及咨詢機(jī)構(gòu)都開(kāi)始將數(shù)據(jù)恢復(fù)作為幫助用戶抵御勒索軟件攻擊的最后防線，而基于核心業(yè)務(wù)系統(tǒng)、數(shù)據(jù)的容災(zāi)解決方案在保障數(shù)據(jù)完整性及業(yè)務(wù)連續(xù)性方面將遠(yuǎn)優(yōu)于傳統(tǒng)的備份方案。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<