此前網傳某制造業名企中招勒索傳聞剛過，今日，某知名辦公軟件也被爆出大面積勒索攻擊，各地多家企業無辜中招，勒索軟件攻擊在我國呈現愈演愈烈趨勢。今天，我們引用以下勒索攻擊真實案例，望企業用戶從中借鑒參考，以便重新認識網絡安全建設的重要性。

　　本案例源于英國數字、文化、媒體和體育部（DCMS）于八月初發布的網絡安全漏洞調查報告，該報告調研了數十家英國本地企業，從他們經歷各種的安全事件前后分析，梳理了企業在安全事件發生后對安全的全新認知。

　　該案例為某私營建筑企業，公司擁有超過250人規模，他們在2019年曾遭受了嚴重的勒索軟件攻擊，導致其IT系統停擺兩周之久。此次攻擊，該公司認為他們沒有發生客戶資料泄露，所以他們沒有通知任何官方機構或客戶。

　　攻擊發生之前：網絡安全“眼不見心不煩”

　　根據報告編撰單位的調查采訪，該公司IT總監表示，在該公司遭到入侵前，他們認為自己的網絡系統安全是“足夠”的，他們擁有充足的計劃和資金，用于安全咨詢和技術投資。但他也指出，在2019年攻擊之前，企業的高層對網絡安全的了解相對較少。

　　負責該公司業務系統的運維人員則指出，在事件發生之前，網絡安全對于他們來說并不是個“大問題”，且“眼不見心不煩”。其心理來自于傳統的認知，“像我們這樣的小企業，怎么可能成為受攻擊對象！”

　　同時，該公司對于負責所有系統開發和維護的第三方供應商保有信心，認為他們可以解決這些問題，而不是自己還要做更多的事情。其IT總監就表示，“我們知道自身的弱點（網絡安全方面），只是我們沒有抽出時間來解決它，因為還有更多優先要解決的事件。（業務優先）”

　　遭受攻擊時的反應：業務恢復耗時兩周

　　當時間回溯到2019年，該企業于某日凌晨3點，接到了第三方基礎設施提供方的通知，他們正在成為勒索軟件攻擊的受害者。通常而言，勒索軟件攻擊多選在深夜進行加密操作，這對于他們而言將會有更多充裕時間的可能。

　　對于該企業而言，在他們還沒有來得及反應之前，也就是攻擊發生的凌晨3點接到通知之后的兩個多小時，勒索軟件開始關閉了他們的大部分IT系統，并且橫向擴展訪問了服務器上的大量文件。

　　業務系統的運維人員在參與調查采訪時表示，當勒索軟件“停止工作”才引起了他們的注意，而一切都晚了。事件被形容為滾雪球，當整個公司的人都無法訪問文件時，他們才突然意識到問題的嚴重性。

　　IT總監在當天早上與他們的外包商進行了會議溝通，確定了問題的嚴重性之后，在上午10點緊急召開的董事會上向高層報告攻擊事件。當時他們已經收到了攻擊者的勒索郵件，勒索組織要求支付一定數量的比特幣作為恢復系統的條件。

　　董事會迅速做出了決定，第一，公司決定不支付贖金，第二，將盡快啟動全面業務連續性恢復，使系統恢復到攻擊前的狀態。

　　兩臺文件服務器和兩臺電腦在這次攻擊事件中被加密，為降低風險，其IT總監命令總部的所有電腦暫時關閉。但在接受調查采訪時其IT總監表示，他低估了恢復所需的時間，他們從進行恢復到完全恢復，花費了兩周時間之久。

　　整個的恢復計劃是操作系統優先，在重新安裝操作系統之后，他們為系統部署了三種不同的殺毒軟件。之后，他們確定了“一級數據”需要在6個小時內恢復。在兩周時間里，他們重建了15到20個虛擬服務器，并確保了第三方基礎設施提供商排除相關隱患之后，他們上傳了公司的12TB的共享備份數據。

　　第三方供應商在參與調查后指出，該勒索軟件已經在該公司內部潛伏了18個月，但他們無法確定是什么觸發了勒索軟件的病毒下發。

　　入侵應急之后：經濟損失巨大 IT總監提出辭職

　　在經歷勒索攻擊之后，他們事后統計了安全調查、滲透測試和額外的安全測試上的花費約為1萬英鎊，但他們沒有辦法量化其他的損失，比如收入損失、調查和修復漏洞所花費的時間，以及對員工生產力和客戶關系等全面的影響。

　　鑒于事件對公司產生了負面影響，其IT總監也做出了向董事會辭職的決定，因為他沒有很好地履行崗位職責。但董事長拒絕了他的要求，董事會做出的決定是，“鼓勵把所有必要的安全措施落實到位”。業務系統的運維人員將此描述為“領導層理解并感謝他們的努力，盡管這兩周因攻擊導致業務虧損。”

　　現在，一些新的安全措施已被應用，比如公司關閉了對外的服務器，內部員工將使用多因素認證（MFA）來訪問系統。此外公司還修改了防火墻和防病毒軟件保護，他們的服務器和公司辦公電腦包括筆記本，都安全了防病毒系統。

　　自此次勒索軟件攻擊發生以來，該公司更加重視技術而非人員來保證網絡安全。根據其IT總監的說法，員工是“在很多方面最薄弱的環節，因此我們為個人提供了新的網絡安全培訓，以及每月的安全簡報和一年兩次的安全實戰演習。”

　　該公司IT總監表示，經歷攻擊之后，他們的安全水平已經得到了很大的提升，他們對領先或持平競爭對手保有信心。經歷攻擊得到的“收益”是，他們的供應商也改善了服務，他們現在正在進行更多的掃描和監控，并在安全方面給他們更多的指導和威脅信息同步。

　　后話：“業務連續性恢復”已成企業生存底線

　　此勒索攻擊案例對于該公司而言，萬幸的是勒索病毒并沒有同步污染共享備份數據，從中可以看出該公司全面的“業務連續性恢復”計劃當中，對于備份數據的保護機制挽救了公司的在線業務。

　　對于“業務連續性恢復”這一問題，行業廠商CloudWonder嘉云此前曾指出，全行業對業務連續性、數據保護工作持續增量，由第三方技術支撐的云容災解決方案對業務、數據再生速度快，多云異構對多云環境的完美支持等，已經逐漸成為各級企業的剛性需求。

　　越來越多的公司正在成為勒索攻擊的受害者，這要求公司在制定“業務連續性恢復”計劃時不僅要看方案對業務、數據保護有效性，同樣重要的是恢復時間要求盡量的短，在此案例中用兩周時間進行恢復顯然將對業務運營產生重大影響。

　　CloudWonder嘉云告訴安全419，為應對勒索攻擊為首的頻繁網絡安全事件，他們已為其容災解決方案中加入了主動式智能識別技術，比如一旦系統偵測到勒索病毒，就會即刻告知用戶，且在災難發生的時候自動地將災備系統完成恢復并且就緒。

　　也就是說，CloudWonder嘉云的容災解決方案部署在企業的在線業務當中，如業務遭遇勒索，企業可以依靠該系統瞬時在異地重構業務系統和數據，從而充分保障業務連續性，提高企業在線業務的安全抗性。

更多信息可以來這里獲取==>>電子技術應用-AET<<