勒索软件模拟演练考验高管应急能力

国外媒体CSO参与了一场桌面演练，该演练将CISO和高级安全领导者置于红队与蓝队的对抗之中，模拟了一场针对水务公司的勒索软件攻击场景。

勒索软件桌面演练为参与者提供了一个攻击场景，让他们能够测试并提升企业的准备情况和响应能力。

在本月举行的Infosecurity Europe(欧洲信息安全)会议上，国外媒体CSO加入了蓝队，与由攻击者组成的红队进行了一场针对水务行业的勒索软件桌面模拟对抗，这场名为“Operation 999”的演练由网络安全供应商Semperis设计和执行，该公司是Active Directory(AD)和混合身份环境保护领域的专家。

每支队伍由来自公共和私营部门的七名参与者组成，包括前黑客和事件响应执行官。

蓝队由史蒂夫·希尔(Steve Hill)领导，他曾是瑞士信贷集团的首席信息安全官，团队成员还包括bp公司的安全主管里特什·帕特尔(Ritesh Patel)和风险管理咨询公司Schillings Partners的首席信息安全官克雷格·爱德华兹(Craig Edwards)。

该演练聚焦于一场旨在破坏一家虚构的英国水务公司(“Springfieldshire Water Treatment”)服务能力的勒索软件攻击，迫使该公司不得不支付赎金，以满足其一百万客户的用水需求。

针对“Springfieldshire Water Treatment”公司的假设性攻击模拟共分为四个阶段。每个回合都包含一次攻击-响应循环，由Semperis的安全研究总监约西·拉赫曼(Yossi Rachman)担任游戏主持人。

在演练的第一阶段，红队被邀请攻击该水厂基于SCADA(数据采集与监视控制系统)的过时工业控制系统。攻击者了解到，运营技术系统与IT系统已集成在一起，这是当今越来越普遍的做法。通过进一步的情报收集，包括开源情报，他们确定该水厂的首席工程师将在他们发动攻击的那天庆祝生日，攻击时间定在12月24日，以在许多员工休假期间造成最大程度的破坏。

安全监控检测到了可疑活动，一些终端显示出了加密迹象。首席工程师的电脑上也检测到了异常，促使蓝队展开了调查。

在演练的下一阶段，红队得知他们已控制了SCADA系统，并收到了升级攻击的选项。

红队继续进行了恶意数据加密。他们转而攻击敏感的IT系统，并沿途提升了权限，最终窃取了敏感的企业数据和电子邮件。攻击团队决定不进行任何操作破坏，因为他们不想被视为或被当作恐怖分子对待——他们纯粹是为了钱，于是继续尝试向Springfieldshire Water Treatment勒索高达2000万英镑的赎金。

与此同时，蓝队方面，防御者开始启动事件响应计划，试图遏制攻击并恢复受影响的系统。

在这一阶段，蓝队接到法律部门的电话，建议他们向英国国家网络安全中心和监管机构报告此次攻击，并警告说如果不这样做可能会导致罚款或责任问题。通知合作伙伴并引入外部事件响应专家的专业知识成为防御者此阶段的主要关注点。

随着演练的进行，蓝队在咨询了当局、法律团队和危机管理专家后，拒绝支付赎金。攻击者没有选择通过威胁破坏水处理算法或化学泵来加剧危机(这可能会污染水源)，而是决定在网上泄露客户记录，直到赎金被支付。

勒索软件攻击的消息在社交媒体上泄露，同时泄露的还有一些员工和客户的数据。媒体报道了这一事件，引发了由自称“专家”的人士煽动的广泛恐慌。

作为回应，Springfieldshire郡的领导人举行了新闻发布会，要求采取行动，并威胁要展开调查。蓝队决定通过社交媒体平台和媒体发布声明，向公众保证尽管水处理公司正遭受网络攻击，但他们的供水仍然安全。

演练的最后阶段考虑了问题的解决和未来的缓解措施。蓝队试图制定一个计划，以确保遏制措施既成功又完整，并考虑采取步骤确保对类似攻击的长期抵御能力。

尽管他们的勒索软件请求被拒绝，但红队仍通过在攻击前做空Springfieldshire Water Treatment的股票而获利。在演练的场景中，Springfieldshire Water Treatment是一家上市公司，正受到一家竞争对手的收购要约。

“Operation 999”演练提供了一场网络安全桌面模拟，旨在让参与者演练事件响应策略，这场桌面演练提供了一种沉浸式体验，但没有涉及任何实际操作键盘或分析技术数据(如演练特定的日志文件等)。

该演练场景旨在通过类似于战时军事部队训练的机制来磨练网络事件准备能力。

所有参与这场两小时演练的人都(或至少看起来都)高度投入。蓝队的大部分讨论都集中在识别保持水厂运行和提供最低可行服务所需的关键资产上，以及与利益相关者的联络上。

演练结束后，Semperis的拉赫曼承认，虽然培训演练无法完全为真实攻击中的混乱做好准备，但它确实能让防御者制定出更好的事件响应计划。

“两支队伍都表现得非常出色，而且非常有创意，”拉赫曼说，“不过，我认为蓝队在攻击发生时(圣诞节前夕)就与所有利益相关者取得联系的假设相当乐观。”

演练中呈现的场景虽然是虚构的，但远非不可能发生。

2024年10月，美国最大的水和废水公用事业公司American Water在其计算机网络中检测到了未经授权的活动，这扰乱了客户服务和账单处理。在英国，Southern Water遭受了一次由黑客组织Black Basta发起的数据泄露攻击，该组织入侵了公司的服务器基础设施，并窃取了大量个人数据。

Semperis委托进行的一项针对350家英国和美国公用事业提供商的调查发现，62%的提供商在过去一年中成为过攻击目标，其中54%遭受了永久性的系统损坏。

尽管90%的企业去年激活了网络危机计划，但大多数企业仍因过时的应急预案、跨团队沟通不畅和工具繁多而遭受了反复的破坏。

在Infosecurity Europe会议上关于勒索软件历史的主题演讲中，WithSecure的首席研究官米科·海波宁(Mikko Hypponen)将勒索软件攻击者描述为不屈不挠，并认为他们所带来的威胁比火灾、事故或自然灾害更为严峻。

“没有人会试图每天、每周都烧毁你的工厂，直到他们成功为止，”海波宁说，“然而，这些人会试图每天、每周都侵入你的网络，如果他们成功了，他们就会像火灾或洪水一样让你的公司停摆。”