此前网传某制造业名企中招勒索传闻刚过，今日，某知名办公软件也被爆出大面积勒索攻击，各地多家企业无辜中招，勒索软件攻击在我国呈现愈演愈烈趋势。今天，我们引用以下勒索攻击真实案例，望企业用户从中借鉴参考，以便重新认识网络安全建设的重要性。

　　本案例源于英国数字、文化、媒体和体育部（DCMS）于八月初发布的网络安全漏洞调查报告，该报告调研了数十家英国本地企业，从他们经历各种的安全事件前后分析，梳理了企业在安全事件发生后对安全的全新认知。

　　该案例为某私营建筑企业，公司拥有超过250人规模，他们在2019年曾遭受了严重的勒索软件攻击，导致其IT系统停摆两周之久。此次攻击，该公司认为他们没有发生客户资料泄露，所以他们没有通知任何官方机构或客户。

　　攻击发生之前：网络安全“眼不见心不烦”

　　根据报告编撰单位的调查采访，该公司IT总监表示，在该公司遭到入侵前，他们认为自己的网络系统安全是“足够”的，他们拥有充足的计划和资金，用于安全咨询和技术投资。但他也指出，在2019年攻击之前，企业的高层对网络安全的了解相对较少。

　　负责该公司业务系统的运维人员则指出，在事件发生之前，网络安全对于他们来说并不是个“大问题”，且“眼不见心不烦”。其心理来自于传统的认知，“像我们这样的小企业，怎么可能成为受攻击对象！”

　　同时，该公司对于负责所有系统开发和维护的第三方供应商保有信心，认为他们可以解决这些问题，而不是自己还要做更多的事情。其IT总监就表示，“我们知道自身的弱点（网络安全方面），只是我们没有抽出时间来解决它，因为还有更多优先要解决的事件。（业务优先）”

　　遭受攻击时的反应：业务恢复耗时两周

　　当时间回溯到2019年，该企业于某日凌晨3点，接到了第三方基础设施提供方的通知，他们正在成为勒索软件攻击的受害者。通常而言，勒索软件攻击多选在深夜进行加密操作，这对于他们而言将会有更多充裕时间的可能。

　　对于该企业而言，在他们还没有来得及反应之前，也就是攻击发生的凌晨3点接到通知之后的两个多小时，勒索软件开始关闭了他们的大部分IT系统，并且横向扩展访问了服务器上的大量文件。

　　业务系统的运维人员在参与调查采访时表示，当勒索软件“停止工作”才引起了他们的注意，而一切都晚了。事件被形容为滚雪球，当整个公司的人都无法访问文件时，他们才突然意识到问题的严重性。

　　IT总监在当天早上与他们的外包商进行了会议沟通，确定了问题的严重性之后，在上午10点紧急召开的董事会上向高层报告攻击事件。当时他们已经收到了攻击者的勒索邮件，勒索组织要求支付一定数量的比特币作为恢复系统的条件。

　　董事会迅速做出了决定，第一，公司决定不支付赎金，第二，将尽快启动全面业务连续性恢复，使系统恢复到攻击前的状态。

　　两台文件服务器和两台电脑在这次攻击事件中被加密，为降低风险，其IT总监命令总部的所有电脑暂时关闭。但在接受调查采访时其IT总监表示，他低估了恢复所需的时间，他们从进行恢复到完全恢复，花费了两周时间之久。

　　整个的恢复计划是操作系统优先，在重新安装操作系统之后，他们为系统部署了三种不同的杀毒软件。之后，他们确定了“一级数据”需要在6个小时内恢复。在两周时间里，他们重建了15到20个虚拟服务器，并确保了第三方基础设施提供商排除相关隐患之后，他们上传了公司的12TB的共享备份数据。

　　第三方供应商在参与调查后指出，该勒索软件已经在该公司内部潜伏了18个月，但他们无法确定是什么触发了勒索软件的病毒下发。

　　入侵应急之后：经济损失巨大 IT总监提出辞职

　　在经历勒索攻击之后，他们事后统计了安全调查、渗透测试和额外的安全测试上的花费约为1万英镑，但他们没有办法量化其他的损失，比如收入损失、调查和修复漏洞所花费的时间，以及对员工生产力和客户关系等全面的影响。

　　鉴于事件对公司产生了负面影响，其IT总监也做出了向董事会辞职的决定，因为他没有很好地履行岗位职责。但董事长拒绝了他的要求，董事会做出的决定是，“鼓励把所有必要的安全措施落实到位”。业务系统的运维人员将此描述为“领导层理解并感谢他们的努力，尽管这两周因攻击导致业务亏损。”

　　现在，一些新的安全措施已被应用，比如公司关闭了对外的服务器，内部员工将使用多因素认证（MFA）来访问系统。此外公司还修改了防火墙和防病毒软件保护，他们的服务器和公司办公电脑包括笔记本，都安全了防病毒系统。

　　自此次勒索软件攻击发生以来，该公司更加重视技术而非人员来保证网络安全。根据其IT总监的说法，员工是“在很多方面最薄弱的环节，因此我们为个人提供了新的网络安全培训，以及每月的安全简报和一年两次的安全实战演习。”

　　该公司IT总监表示，经历攻击之后，他们的安全水平已经得到了很大的提升，他们对领先或持平竞争对手保有信心。经历攻击得到的“收益”是，他们的供应商也改善了服务，他们现在正在进行更多的扫描和监控，并在安全方面给他们更多的指导和威胁信息同步。

　　后话：“业务连续性恢复”已成企业生存底线

　　此勒索攻击案例对于该公司而言，万幸的是勒索病毒并没有同步污染共享备份数据，从中可以看出该公司全面的“业务连续性恢复”计划当中，对于备份数据的保护机制挽救了公司的在线业务。

　　对于“业务连续性恢复”这一问题，行业厂商CloudWonder嘉云此前曾指出，全行业对业务连续性、数据保护工作持续增量，由第三方技术支撑的云容灾解决方案对业务、数据再生速度快，多云异构对多云环境的完美支持等，已经逐渐成为各级企业的刚性需求。

　　越来越多的公司正在成为勒索攻击的受害者，这要求公司在制定“业务连续性恢复”计划时不仅要看方案对业务、数据保护有效性，同样重要的是恢复时间要求尽量的短，在此案例中用两周时间进行恢复显然将对业务运营产生重大影响。

　　CloudWonder嘉云告诉安全419，为应对勒索攻击为首的频繁网络安全事件，他们已为其容灾解决方案中加入了主动式智能识别技术，比如一旦系统侦测到勒索病毒，就会即刻告知用户，且在灾难发生的时候自动地将灾备系统完成恢复并且就绪。

　　也就是说，CloudWonder嘉云的容灾解决方案部署在企业的在线业务当中，如业务遭遇勒索，企业可以依靠该系统瞬时在异地重构业务系统和数据，从而充分保障业务连续性，提高企业在线业务的安全抗性。

更多信息可以来这里获取==>>电子技术应用-AET<<