本案例源于英國數字、文化、媒體和體育部（DCMS）于八月初發布的網絡安全漏洞調查報告，該報告調研了數十家英國本地企業，從他們經歷各種的安全事件前后分析，梳理了企業在安全事件發生后對安全的全新認知。

　　該案例對象是一家私營企業，人員規模小于50人，他們在2020年3月遭到勒索軟件攻擊，攻擊者通過木馬釣魚作為突破口，導致其IT系統關停數日。報告采訪了該司戰略主管和IT風險經理，獲取了如下信息：

　　攻擊發生之前：支持網絡安全并樂于投資

　　兩位管理人員在接受調查采訪時高調表示，就網絡安全方面他們老板的態度是積極的，表現是“支持網絡安全”并“樂于投資”。“以我們這種規模的公司來看，認為在保證安全方面，所做的一切都是合理的。”其戰略主管表示。

　　該司IT風險經理認為他們的安全措施已經“足夠”，比如業務系統有防火墻和殺毒軟件的保護。更加重要的是，他們投資了數萬美元，為核心業務系統增設了一套備份系統，該系統可以持續地將數據保存到云端。對于這項投資，受訪管理人員認為具有必要性，因為這些核心的重要數據必須妥善保存。

　　此外，該司還聘用了一個外部網絡安全供應商，提供的服務包括每月10天的IT支持，和一年兩次的在線培訓。該司還與這家安全供應商建立了一個電子郵件篩選流程，相當于避免被釣魚攻擊的防護措施。

　　這家公司沒有正式的網絡安全策略，但他們內部執行著不成文的規定，比如不允許員工訪問非商業相關網站，或不使用陌生的移動存儲設備等。這些規定可以一定程度的避免病毒入侵風險。

　　遭受攻擊時的反應：交給安全供應商

　　雖然他們與安全供應商建立了電子郵件篩選流程，用來防范釣魚攻擊，但攻擊者仍然找到了“合理”的攻擊方式，案例中用“一封被認可的電子郵件”來形容，而釣魚對象則是該公司IT權限最大的常務董事。

　　針對企業高管的釣魚攻擊，顯然這封郵件沒有被納入到電子郵件篩選流程當中，且這位常務董事根據自我常識判斷認為郵件沒有問題，并且點擊了郵件附帶的含有木馬病毒的附件。

　　案例陳述表明，該公司在短時間內接連遭遇了兩次類似的攻擊，但因為常務董事身份權限更大，被認為可能會造成更大的傷害。當他打開附件之后，他的辦公電腦隨即被鎖定。

　　員工們也幾乎同時發現了問題，因為疫情的原因當時他們都在家里工作，攻擊導致他們VPN連接中斷。IT風險經理隨即聯系了外部供應商，在他們的建議下，該組織隨即下線了所有服務器和內部終端，以限制病毒傳播。

　　隨后的時間內，供應商協助參與了調查工作，以確保病毒被完全清除，并為所有員工重新設置密碼，并幫助他們重新登錄系統。然后他們進行了進一步的檢查，以評估是否存在數據泄露，以確認是否有相關法律風險。

　　入侵應急之后：未來還將持續加強安全建設

　　戰略主管陳訴表示，常務董事對其愚蠢的操作感受到了極大壓力，因為他們在剛剛適應疫情帶來的封鎖，加之公司即將結束財年，這種關鍵時期任何的IT風險都應該被排除和限制。

　　IT風險經理則基于對供應商保有信心，所以他擔心的只有一件事，就是常務董事的個人電腦上的敏感文件是否會泄露。因為如有數據泄露發生，他們將面臨一系列的法律風險。

　　由于投資建設了備份系統，他們對于核心業務系統上的數據備份和恢復沒有任何擔心。

　　在接受采訪時，該公司還尚未進行正式的事件總結，也沒有量化成本損失，但兩位受訪者估計由于停工期間的生產力和收入損失，以及外部供應商的額外收費，他們保守估計損失折合人民幣在10萬元左右。

　　戰略主管指出，在攻擊沒有發生之前，他們在網絡安全方面確實會感到緊張，但經歷了類似的攻擊之外，他們已經掌握了處理的流程，和應對攻擊的知識點，這讓他對未來保持一定的信心。

　　當然，一些加強工作還是要做，比如這次入侵之后，該公司開始為員工每周進行一次培訓，幫助員工關注和了解社工欺騙、釣魚攻擊等，他們還增強了多種手段的電子郵件安全性。

　　該公司還計劃獲得Cyber Essentials認證，這一認證是該國政府推出的一項計劃，計劃包含一系列控制措施以緩解防范常見的網絡攻擊，這也意味著未來他們還將持續加強安全建設。

　　后話：云備份是該企業應對勒索攻擊亮點

　　此勒索攻擊案例對于該公司的影響是數日的IT系統中斷，萬幸的是，其處理流程和仍在堅守崗位的安全措施讓他們度過了這一艱難時刻，沒有產生進一步的致命影響。

　　這一案例分享更高的價值在于該司為核心業務系統建立了一套備份系統，雖然采訪者對該系統描述相對簡單，但可以看出，該系統支持持續的、自動化的云端備份，其優勢是備份機制對數據時效性更高。

　　勒索軟件仍然是全球商業組織和政府的頭號公敵，安全419采訪國內多家網絡安全企業歸納總結了大量的防護方案（《勒索攻擊解決方案》系列訪談），而其總體的防護方案可以被拆分為事前、事中、事后三步，其中備份就是事后安全的重要舉措。

　　由多家著名科技公司、網絡安全公司、政府機構組成的非營利組織勒索軟件特別工作組（RTF）前不久公布了一份特別針對中小企業的“勒索軟件防御藍圖”，該藍圖將勒索軟件防護分為四方面工作，分別為識別、保護、響應和恢復。其中恢復流程當中就強調了自動備份的重要性。

　　據安全419進一步觀察，當越來越多的專業安全企業及咨詢機構都開始將數據恢復作為幫助用戶抵御勒索軟件攻擊的最后防線，而基于核心業務系統、數據的容災解決方案在保障數據完整性及業務連續性方面將遠優于傳統的備份方案。

更多信息可以來這里獲取==>>電子技術應用-AET<<