勒索攻击真实案例 小型企业因何底气十足?

首页 / 业界 / 报告 /  正文
作者:闫小川
来源:安全419
发布于:1周前
本案例源于英国数字、文化、媒体和体育部(DCMS)于八月初发布的网络安全漏洞调查报告,该报告调研了数十家英国本地企业,从他们经历各种的安全事件前后分析,梳理了企业在安全事件发生后对安全的全新认知。



该案例对象是一家私营企业,人员规模小于50人,他们在2020年3月遭到勒索软件攻击,攻击者通过木马钓鱼作为突破口,导致其IT系统关停数日。报告采访了该司战略主管和IT风险经理,获取了如下信息:
 
攻击发生之前:支持网络安全并乐于投资
 
两位管理人员在接受调查采访时高调表示,就网络安全方面他们老板的态度是积极的,表现是“支持网络安全”并“乐于投资”。 “以我们这种规模的公司来看,认为在保证安全方面,所做的一切都是合理的。”其战略主管表示。
 
该司IT风险经理认为他们的安全措施已经“足够”,比如业务系统有防火墙和杀毒软件的保护。更加重要的是,他们投资了数万美元,为核心业务系统增设了一套备份系统,该系统可以持续地将数据保存到云端。对于这项投资,受访管理人员认为具有必要性,因为这些核心的重要数据必须妥善保存。
 
此外,该司还聘用了一个外部网络安全供应商,提供的服务包括每月10天的IT支持,和一年两次的在线培训。该司还与这家安全供应商建立了一个电子邮件筛选流程,相当于避免被钓鱼攻击的防护措施。
 
这家公司没有正式的网络安全策略,但他们内部执行着不成文的规定,比如不允许员工访问非商业相关网站,或不使用陌生的移动存储设备等。这些规定可以一定程度的避免病毒入侵风险。
 
遭受攻击时的反应交给安全供应商
 
虽然他们与安全供应商建立了电子邮件筛选流程,用来防范钓鱼攻击,但攻击者仍然找到了“合理”的攻击方式,案例中用“一封被认可的电子邮件”来形容,而钓鱼对象则是该公司IT权限最大的常务董事。
 
针对企业高管的钓鱼攻击,显然这封邮件没有被纳入到电子邮件筛选流程当中,且这位常务董事根据自我常识判断认为邮件没有问题,并且点击了邮件附带的含有木马病毒的附件。
 
案例陈述表明,该公司在短时间内接连遭遇了两次类似的攻击,但因为常务董事身份权限更大,被认为可能会造成更大的伤害。当他打开附件之后,他的办公电脑随即被锁定。
 
员工们也几乎同时发现了问题,因为疫情的原因当时他们都在家里工作,攻击导致他们VPN连接中断。IT风险经理随即联系了外部供应商,在他们的建议下,该组织随即下线了所有服务器和内部终端,以限制病毒传播。
 
随后的时间内,供应商协助参与了调查工作,以确保病毒被完全清除,并为所有员工重新设置密码,并帮助他们重新登录系统。然后他们进行了进一步的检查,以评估是否存在数据泄露,以确认是否有相关法律风险。
 
入侵应急之后:未来还将持续加强安全建设
 
战略主管陈诉表示,常务董事对其愚蠢的操作感受到了极大压力,因为他们在刚刚适应疫情带来的封锁,加之公司即将结束财年,这种关键时期任何的IT风险都应该被排除和限制。
 
IT风险经理则基于对供应商保有信心,所以他担心的只有一件事,就是常务董事的个人电脑上的敏感文件是否会泄露。因为如有数据泄露发生,他们将面临一系列的法律风险。
 
由于投资建设了备份系统,他们对于核心业务系统上的数据备份和恢复没有任何担心。
 
在接受采访时,该公司还尚未进行正式的事件总结,也没有量化成本损失,但两位受访者估计由于停工期间的生产力和收入损失,以及外部供应商的额外收费,他们保守估计损失折合人民币在10万元左右。
 
战略主管指出,在攻击没有发生之前,他们在网络安全方面确实会感到紧张,但经历了类似的攻击之外,他们已经掌握了处理的流程,和应对攻击的知识点,这让他对未来保持一定的信心。
 
当然,一些加强工作还是要做,比如这次入侵之后,该公司开始为员工每周进行一次培训,帮助员工关注和了解社工欺骗、钓鱼攻击等,他们还增强了多种手段的电子邮件安全性。
 
该公司还计划获得Cyber Essentials认证,这一认证是该国政府推出的一项计划,计划包含一系列控制措施以缓解防范常见的网络攻击,这也意味着未来他们还将持续加强安全建设。
 
后话:云备份是该企业应对勒索攻击亮点
 
此勒索攻击案例对于该公司的影响是数日的IT系统中断,万幸的是,其处理流程和仍在坚守岗位的安全措施让他们度过了这一艰难时刻,没有产生进一步的致命影响。
 
这一案例分享更高的价值在于该司为核心业务系统建立了一套备份系统,虽然采访者对该系统描述相对简单,但可以看出,该系统支持持续的、自动化的云端备份,其优势是备份机制对数据时效性更高。
 
勒索软件仍然是全球商业组织和政府的头号公敌,安全419采访国内多家网络安全企业归纳总结了大量的防护方案(《勒索攻击解决方案》系列访谈),而其总体的防护方案可以被拆分为事前、事中、事后三步,其中备份就是事后安全的重要举措。
 
由多家著名科技公司、网络安全公司、政府机构组成的非营利组织勒索软件特别工作组(RTF)前不久公布了一份特别针对中小企业的“勒索软件防御蓝图”,该蓝图将勒索软件防护分为四方面工作,分别为识别、保护、响应和恢复。其中恢复流程当中就强调了自动备份的重要性。
 
据安全419进一步观察,当越来越多的专业安全企业及咨询机构都开始将数据恢复作为帮助用户抵御勒索软件攻击的最后防线,而基于核心业务系统、数据的容灾解决方案在保障数据完整性及业务连续性方面将远优于传统的备份方案。