本案例源于英國數字、文化、媒體和體育部（DCMS）于八月初發布的網絡安全漏洞調查報告，該報告調研了數十家英國本地企業，從他們經歷各種的安全事件前后分析，梳理了企業在安全事件發生后對安全的全新認知。

　　該案例為某私營機構，公司擁有超過250人規模，他們在2021年12月份經歷了一場因黑客攻擊事件所引起的內部CRM系統癱瘓事件，令他們難以接受的是攻擊本體并不是他們自己，而是源于CRM供應商的勒索軟件攻擊事件。

　　是的，最近國內也發生了相類似的事件，所以這也是該案例的特別之處。

　　攻擊發生之前：每年投入200萬確保網絡安全

　　在DCMS調查采訪時該公司的IT總監表示，他們的年營業額超過1.5億英鎊（約合12億人民幣），同時他們相對了解網絡安全的重要性，每年在這方面的投資大約25萬英鎊（約合200萬人民幣）。可以看得出來，雖然這家公司在網絡安全方面的投入還不足整體營收的千分之二，但也不算過于糟糕。

　　他們的IT總監認為，對待網絡安全方面他們可能比絕大多數類似的公司更加認真。他們的思考是，他們不希望自身成為那些悲慘的攻擊受害者。

　　他們在網絡安全建議方面確實相較完善，一方面，他們擁有一個第三方安全合作伙伴來幫助他們全天候處理所有安全問題，同時他們的所有終端都安裝了殺毒軟件，且機構還為他們的云端服務采購了一個云安全解決方案。

　　他們還自信地說，他們還為員工提供了網絡安全培訓，來提高日常活動時的安全意識問題。其財務經理在接受調查采訪時也補充道，“我們每個月至少有一次安全培訓，以警示員工警惕網絡釣魚郵件之類的東西。”

　　遭受攻擊時的反應：只能被動等待

　　安全事件發生于2021年12月中旬，他們的CRM供應商系統中存在一個嚴重的供應鏈漏洞（與Log4j漏洞爆發時間點相吻合），導致供應商CRM系統無法正常運營，因此，該組織的CRM系統也處于了停用狀態。

　　根據IT總監的說法，這次入侵本身是針對供應商的勒索軟件攻擊，事件發生在周六晚間，并在周日蔓延到供應商的整個服務器，迫使他們的整個基礎設施癱瘓。而在此期間，這家CRM供應商沒有立即通知所服務的客戶。

　　周一早上，這家公司很快發現了他們的CRM 系統無法使用這一問題，起初，他們還懷疑可能是內部問題，所以他們立即進行了一些調查。在調查的過程中，他們也試圖聯系過供應商，但是沒有得到回應。

　　“大約72 小時后，供應商才告訴我們，這是一次勒索軟件攻擊，勒索軟件以管理員身份進入了他們的服務器，所以我猜他們肯定有人點擊了釣魚鏈接。”IT總監接受調查采訪時表示。

　　在此之后，這家CRM供應商總共花了10天時間來徹底解決這個問題，包括從頭開始重建CRM系統和備份基礎設施。其關鍵的服務授權在兩天后重新運行，這稍顯緩解了其服務的眾多客戶。

　　顯然，受影響的不僅僅是供應商他們自身，正如該IT總監表示，他們公司的日常運營全部圍繞著這套CRM系統，所以當CRM供應商遭到勒索攻擊時，他們也處于了尷尬境地。他們的財務經理就明確指出，“一旦他們解決了問題，我們就沒事了。在此期間，所有人都要親自動手來支撐業務”。

　　由于員工兩天內無法使用公司的CRM系統，這為公司運營帶來了嚴重影響，因為他們要借助這套CRM系統來完成重要的商業支付，同樣，從事銷售和客戶服務工作的員工也無法訪問關鍵信息，因此，這一時期公司的銷售量受到了影響。

　　網絡入侵之后：網絡安全升級舉措

　　該公司的財務經理表示，他們的團隊為此事件“全力以赴”至少一周時間，但他們無法對期間整體損失做出準確量化，比如有人說可能是數十萬英鎊，因為他們的生產力受到了嚴重影響，并影響了與客戶之間的業務往來。由于事件并不涉及數據泄露，所以他們沒有通知自家客戶，或是任何政府執法機構。

　　此次攻擊事件發生后，該公司隨后制定了一套外部供應商風險評估流程，以便更好地了解他們的供應商如何保護和監控自身環境，以及在發生違規事件時的通知流程。更為重點的是，由于受到了教訓，他們替換了自身的備份供應商，他們正在著手建設一個災難恢復站點，從而在下次災難降臨之時，從而讓業務保持連續運營。

　　此外，該公司還從經歷勒索攻擊的供應商那里吸取了教訓，他們決定進一步加強網絡安全方面的投入，包括一個新的管理服務被引入，他們還購買了一套自動化網絡釣魚模擬服務，該服務可以協作他們發送模擬的釣魚電子郵件，以幫助培訓員工的安全意識。此外他們還引入了一套沙盒系統。

　　后話：“業務連續性恢復”已成企業生存底線

　　當真正的災難降臨時，企業才會重新審視自身的安全建設，并為之反省，從而補足自身的薄弱環節。以此次勒索攻擊案例而言，針對供應商的攻擊確實讓他們猝不及防，但他們其實仍然可以做得更好。比如對事件的反應速度可以更快，原本的備份計劃沒有阻止企業核心系統宕機對業務造成的影響等等。

　　事件發生之后，雖然錯不在自身，但他們還是補足了一系列自身的安全缺口，從事件本身性質出發，在我們看來，更為有效的是重新評估加入了“業務連續性恢復”計劃。

　　此前行業廠商CloudWonder嘉云就曾指出，全行業對業務連續性、數據保護工作持續增量，由第三方技術支撐的云容災解決方案對業務、數據再生速度快，多云異構對多云環境的完美支持等，已經逐漸成為各級企業的剛性需求。

　　越來越多的公司正在成為勒索攻擊的受害者，這要求公司在制定“業務連續性恢復”計劃時不僅要看方案對業務、數據保護有效性，同樣重要的是恢復時間要求盡量地短。在此案例中，他們之所以不再考慮用傳統的備份來做系統恢復，也是出于此考慮。

　　CloudWonder嘉云告訴安全419，為應對勒索攻擊為首的頻繁網絡安全事件，他們已為其容災解決方案中加入了主動式智能識別技術，比如一旦系統偵測到勒索病毒，就會即刻告知用戶，且在災難發生的時候自動地將災備系統完成恢復并且就緒。

　　也就是說，CloudWonder嘉云的容災解決方案部署在企業的在線業務當中，如業務遭遇勒索，企業可以依靠該系統瞬時在異地重構業務系統和數據，從而充分保障業務連續性，提高企業在線業務的安全抗性。

更多信息可以來這里獲取==>>電子技術應用-AET<<