《網絡攻擊剖析》——《華爾街日報》

wsj

這是每位高管的噩夢。某天你走進辦公室,發現電腦系統被網絡犯罪分子鎖定了——他們要求你支付贖金才能恢復網絡。

這正是鋼鐵製造與設計公司United Structures of America總裁戴恩·德雷克的遭遇。2019年,這家總部位於休斯頓的公司網絡遭到犯罪分子劫持。

儘管公司支付了贖金,但僅恢復了部分數據——黑客要求更多贖金才肯解鎖剩餘數據。公司艱難地嘗試重建數據,最終被迫宣告破產。

現任DRD Designs建築事務所負責人的德雷克先生,在《華爾街日報》專業網絡安全論壇上與本報專業產品創新與戰略主管尼古拉斯·埃利奧特進行了對話。以下是經過編輯的訪談節選。

凌晨驚魂

**華爾街日報:**能否談談您如何首次察覺網絡攻擊,以及事件是如何發展的?

**德雷克先生:**那是2019年陣亡將士紀念日假期剛結束。我總是很早到辦公室,那天早晨5:30到6:00之間就到了。登錄電腦時發現運行異常。

意識到遭遇網絡攻擊後,我立即開始關閉服務器。公司有400多台聯網設備——包括個人電腦和製造設備。由於假期期間這些設備保持開機並連接服務器,約80%受到影響。當天中午前,所有生產都已停滯。

**華爾街日報:**你是否告知客户遭受了嚴重網絡攻擊?

**德雷克先生:**那不是第一週,是第二週或更晚些時候。通常鋼材從需求到運輸我有1-2周緩衝期。

起初我很樂觀,認為這只是又一樁不幸事件。我原以為我們有完全可用的備份系統——它確實安裝了,所以直到中午時分我都不是很擔心。

後來才發現備份系統雖安裝卻未初始化,根本沒準備好。我學到的眾多教訓之一就是:必須通過消防演習和模擬演練確保備份系統可正常運作。

**華爾街日報:**你同事聯繫了當地警方,他們怎麼説?

**德雷克先生:**沒什麼實質性幫助。問題在於當時犯罪團伙鎖定了我約15台服務器和400台設備,每個地址索要2個比特幣。如果想解鎖全部400台設備,代價會非常慘重。[2019年6月底1個比特幣價格達13,879美元]

我諮詢的顧問們基本都建議不要支付贖金,但也表示理解我的任何決定。我最終在6月29日遭攻擊後,於7月1日支付了贖金。耽擱這兩天是因為當時不熟悉比特幣交易流程,實際操作比預想困難。

**華爾街日報:**有時網絡犯罪分子會提供某種形式的客户服務,指導你如何獲取加密貨幣並完成支付。您有過這種經歷嗎?

**德雷克先生:**可以説,那個網絡罪犯給了我一天寬限期。我當時通過西聯匯款購買了比特幣,全程都是自己操作。由於匯率在一夜之間波動,比特幣在那段時間暴漲了10%,導致我資金不足。

我試圖爭辯説:“我昨天給你們的美元金額與比特幣價值是匹配的。“但對方不接受,他們堅持要完整的比特幣。這對我來説也很新鮮——雖然現在是2024年,這個概念已經普及,但在2019年那會兒我還不太瞭解。

最終,攻擊者允許我補足差額湊齊整枚比特幣。

美國聯合建築公司前總裁戴恩·德雷克給出的網絡安全建議之一:“永遠要測試自己的弱點”。圖片來源:華爾街日報### 臨牀式應對

**華爾街日報:**當時您處於全面封鎖狀態,需要臨時學習新知識,還要與神秘的黑客周旋。您是如何應對的?有人分擔壓力還是獨自承擔?

**德雷克先生:**我的思維方式比較臨牀化,會刻意將情緒與事態分離。我清楚必須獨自面對這個困境,每天只能睡兩三個小時。

我曾經歷過一段非常忙碌的時期。那時我日常關注的是加班、生產與供應鏈,而如今全都被奪走了。

我完全記不清前一個月或兩個月給誰開過發票。我只能通過銀行流水重建財務系統。這絕不是我想推薦給任何人的做法。

你還面臨着税務責任,如果需要繳税或被審計,你將陷入無賬可查的困境。

**華爾街日報:**在此之前,你對網絡安全風險有何看法?

德雷克先生: 我曾遭遇過一次病毒攻擊。雖然不涉及勒索軟件,但確實讓我癱瘓了一整天。之後我召開了多次會議,配備了IT人員,還聘請第三方管理服務器。

但所有設備採購部署後,我從未進行測試,最終發現系統辜負了我的信任。務必定期測試薄弱環節。

**華爾街日報:**你還有其他建議嗎?

德雷克先生: 最重要的——這個詞當時對我很新鮮——是密碼衞生。

黑客是通過IT管理員的個人筆記本電腦入侵系統的。他的電腦處於未鎖定狀態,攻擊者以管理員權限侵入後成功觸發了後續問題。

他的密碼是公司地址,而且這個密碼可能已使用了六到八年。

所以再次強調密碼衞生。我知道人們常抱怨那些規則:銀行總要求定期更新,其他所有系統也都要更新。

但最不希望發生的事情就是在所有活動中使用同一個密碼。

**觀眾提問:**您當時是否有律師代表協助處理此事?是否聘請了事件響應公司——那些專門處理攻擊後果等問題的網絡安全專家?您是否購買了網絡安全保險?

德雷克先生: 我當時沒有任何法律協助。雖然有許多律師朋友,我們偶爾會交流,但沒有專業的法律支持。儘管公司現已倒閉,但我們當時確保了所有應付款項得到處理。我從未因此被起訴,也不擔心這點。這可能有些無知,但這就是我的選擇。我沒有購買網絡安全保險。

這要歸咎於我的傲慢和自負——我以為自己制定的方案足以應對問題。如今我會建議任何企業都購買網絡安全保險,因為對手總在進化,而我當時沒有。在這個領域裏,傲慢是要不得的。

雖然事發時沒有事件響應團隊,但我在攻擊當天中午就獲得了專業支援,他們幫了大忙。從網絡安全角度看,他們如此迅速地發現我的系統漏洞百出、毫無防護,實在令人震驚。

**華爾街日報:**經歷了這次嚴重攻擊後,您如何看待針對員工的網絡安全培訓?

**德雷克先生:**我認為這極其重要。你需要進行培訓,需要測試員工是否會打開釣魚郵件。

如果員工未能通過測試,或未按時完成培訓,應當採取建設性的紀律處分,因為那個不重視安全的人可能成為入侵的突破口。説起來容易做起來難,但這是安全和人力資源部門必須100%達成共識的地方。

致信 [email protected]

刊登於2022年6月8日印刷版,標題為《網絡攻擊剖析》。