勒索攻击真实案例 第三方供应商攻击敲响企业应对警钟

本案例源于英国数字、文化、媒体和体育部（DCMS）于八月初发布的网络安全漏洞调查报告，该报告调研了数十家英国本地企业，从他们经历各种的安全事件前后分析，梳理了企业在安全事件发生后对安全的全新认知。

该案例为某私营机构，公司拥有超过250人规模，他们在2021年12月份经历了一场因黑客攻击事件所引起的内部CRM系统瘫痪事件，令他们难以接受的是攻击本体并不是他们自己，而是源于CRM供应商的勒索软件攻击事件。

是的，最近国内也发生了相类似的事件，所以这也是该案例的特别之处。

在DCMS调查采访时该公司的IT总监表示，他们的年营业额超过1.5亿英镑（约合12亿人民币），同时他们相对了解网络安全的重要性，每年在这方面的投资大约25万英镑（约合200万人民币）。可以看得出来，虽然这家公司在网络安全方面的投入还不足整体营收的千分之二，但也不算过于糟糕。

他们的IT总监认为，对待网络安全方面他们可能比绝大多数类似的公司更加认真。他们的思考是，他们不希望自身成为那些悲惨的攻击受害者。

他们在网络安全建议方面确实相较完善，一方面，他们拥有一个第三方安全合作伙伴来帮助他们全天候处理所有安全问题，同时他们的所有终端都安装了杀毒软件，且机构还为他们的云端服务采购了一个云安全解决方案。

他们还自信地说，他们还为员工提供了网络安全培训，来提高日常活动时的安全意识问题。其财务经理在接受调查采访时也补充道，“我们每个月至少有一次安全培训，以警示员工警惕网络钓鱼邮件之类的东西。”

安全事件发生于2021年12月中旬，他们的CRM供应商系统中存在一个严重的供应链漏洞（与Log4j漏洞爆发时间点相吻合），导致供应商CRM系统无法正常运营，因此，该组织的CRM系统也处于了停用状态。

根据IT总监的说法，这次入侵本身是针对供应商的勒索软件攻击，事件发生在周六晚间，并在周日蔓延到供应商的整个服务器，迫使他们的整个基础设施瘫痪。而在此期间，这家CRM供应商没有立即通知所服务的客户。

周一早上，这家公司很快发现了他们的CRM 系统无法使用这一问题，起初，他们还怀疑可能是内部问题，所以他们立即进行了一些调查。在调查的过程中，他们也试图联系过供应商，但是没有得到回应。

“大约72 小时后，供应商才告诉我们，这是一次勒索软件攻击，勒索软件以管理员身份进入了他们的服务器，所以我猜他们肯定有人点击了钓鱼链接。”IT总监接受调查采访时表示。

在此之后，这家CRM供应商总共花了10天时间来彻底解决这个问题，包括从头开始重建CRM系统和备份基础设施。其关键的服务授权在两天后重新运行，这稍显缓解了其服务的众多客户。

显然，受影响的不仅仅是供应商他们自身，正如该IT总监表示，他们公司的日常运营全部围绕着这套CRM系统，所以当CRM供应商遭到勒索攻击时，他们也处于了尴尬境地。他们的财务经理就明确指出，“一旦他们解决了问题，我们就没事了。在此期间，所有人都要亲自动手来支撑业务”。

由于员工两天内无法使用公司的CRM系统，这为公司运营带来了严重影响，因为他们要借助这套CRM系统来完成重要的商业支付，同样，从事销售和客户服务工作的员工也无法访问关键信息，因此，这一时期公司的销售量受到了影响。

该公司的财务经理表示，他们的团队为此事件“全力以赴”至少一周时间，但他们无法对期间整体损失做出准确量化，比如有人说可能是数十万英镑，因为他们的生产力受到了严重影响，并影响了与客户之间的业务往来。由于事件并不涉及数据泄露，所以他们没有通知自家客户，或是任何政府执法机构。

此次攻击事件发生后，该公司随后制定了一套外部供应商风险评估流程，以便更好地了解他们的供应商如何保护和监控自身环境，以及在发生违规事件时的通知流程。更为重点的是，由于受到了教训，他们替换了自身的备份供应商，他们正在着手建设一个灾难恢复站点，从而在下次灾难降临之时，从而让业务保持连续运营。

此外，该公司还从经历勒索攻击的供应商那里吸取了教训，他们决定进一步加强网络安全方面的投入，包括一个新的管理服务被引入，他们还购买了一套自动化网络钓鱼模拟服务，该服务可以协作他们发送模拟的钓鱼电子邮件，以帮助培训员工的安全意识。此外他们还引入了一套沙盒系统。

当真正的灾难降临时，企业才会重新审视自身的安全建设，并为之反省，从而补足自身的薄弱环节。以此次勒索攻击案例而言，针对供应商的攻击确实让他们猝不及防，但他们其实仍然可以做得更好。比如对事件的反应速度可以更快，原本的备份计划没有阻止企业核心系统宕机对业务造成的影响等等。

事件发生之后，虽然错不在自身，但他们还是补足了一系列自身的安全缺口，从事件本身性质出发，在我们看来，更为有效的是重新评估加入了“业务连续性恢复”计划。

此前行业厂商CloudWonder嘉云就曾指出，全行业对业务连续性、数据保护工作持续增量，由第三方技术支撑的云容灾解决方案对业务、数据再生速度快，多云异构对多云环境的完美支持等，已经逐渐成为各级企业的刚性需求。

越来越多的公司正在成为勒索攻击的受害者，这要求公司在制定“业务连续性恢复”计划时不仅要看方案对业务、数据保护有效性，同样重要的是恢复时间要求尽量地短。在此案例中，他们之所以不再考虑用传统的备份来做系统恢复，也是出于此考虑。

CloudWonder嘉云告诉安全419，为应对勒索攻击为首的频繁网络安全事件，他们已为其容灾解决方案中加入了主动式智能识别技术，比如一旦系统侦测到勒索病毒，就会即刻告知用户，且在灾难发生的时候自动地将灾备系统完成恢复并且就绪。

也就是说，CloudWonder嘉云的容灾解决方案部署在企业的在线业务当中，如业务遭遇勒索，企业可以依靠该系统瞬时在异地重构业务系统和数据，从而充分保障业务连续性，提高企业在线业务的安全抗性。

END

闫小川

安全419编辑部

热衷于挖掘网络安全行业的甲方和乙方。