《网络攻击剖析》——《华尔街日报》

wsj

这是每位高管的噩梦。某天你走进办公室,发现电脑系统被网络犯罪分子锁定了——他们要求你支付赎金才能恢复网络。

这正是钢铁制造与设计公司United Structures of America总裁戴恩·德雷克的遭遇。2019年,这家总部位于休斯顿的公司网络遭到犯罪分子劫持。

尽管公司支付了赎金,但仅恢复了部分数据——黑客要求更多赎金才肯解锁剩余数据。公司艰难地尝试重建数据,最终被迫宣告破产。

现任DRD Designs建筑事务所负责人的德雷克先生,在《华尔街日报》专业网络安全论坛上与本报专业产品创新与战略主管尼古拉斯·埃利奥特进行了对话。以下是经过编辑的访谈节选。

凌晨惊魂

**华尔街日报:**能否谈谈您如何首次察觉网络攻击,以及事件是如何发展的?

**德雷克先生:**那是2019年阵亡将士纪念日假期刚结束。我总是很早到办公室,那天早晨5:30到6:00之间就到了。登录电脑时发现运行异常。

意识到遭遇网络攻击后,我立即开始关闭服务器。公司有400多台联网设备——包括个人电脑和制造设备。由于假期期间这些设备保持开机并连接服务器,约80%受到影响。当天中午前,所有生产都已停滞。

**华尔街日报:**你是否告知客户遭受了严重网络攻击?

**德雷克先生:**那不是第一周,是第二周或更晚些时候。通常钢材从需求到运输我有1-2周缓冲期。

起初我很乐观,认为这只是又一桩不幸事件。我原以为我们有完全可用的备份系统——它确实安装了,所以直到中午时分我都不是很担心。

后来才发现备份系统虽安装却未初始化,根本没准备好。我学到的众多教训之一就是:必须通过消防演习和模拟演练确保备份系统可正常运作。

**华尔街日报:**你同事联系了当地警方,他们怎么说?

**德雷克先生:**没什么实质性帮助。问题在于当时犯罪团伙锁定了我约15台服务器和400台设备,每个地址索要2个比特币。如果想解锁全部400台设备,代价会非常惨重。[2019年6月底1个比特币价格达13,879美元]

我咨询的顾问们基本都建议不要支付赎金,但也表示理解我的任何决定。我最终在6月29日遭攻击后,于7月1日支付了赎金。耽搁这两天是因为当时不熟悉比特币交易流程,实际操作比预想困难。

**华尔街日报:**有时网络犯罪分子会提供某种形式的客户服务,指导你如何获取加密货币并完成支付。您有过这种经历吗?

**德雷克先生:**可以说,那个网络罪犯给了我一天宽限期。我当时通过西联汇款购买了比特币,全程都是自己操作。由于汇率在一夜之间波动,比特币在那段时间暴涨了10%,导致我资金不足。

我试图争辩说:“我昨天给你们的美元金额与比特币价值是匹配的。“但对方不接受,他们坚持要完整的比特币。这对我来说也很新鲜——虽然现在是2024年,这个概念已经普及,但在2019年那会儿我还不太了解。

最终,攻击者允许我补足差额凑齐整枚比特币。

美国联合建筑公司前总裁戴恩·德雷克给出的网络安全建议之一:“永远要测试自己的弱点”。图片来源:华尔街日报### 临床式应对

**华尔街日报:**当时您处于全面封锁状态,需要临时学习新知识,还要与神秘的黑客周旋。您是如何应对的?有人分担压力还是独自承担?

**德雷克先生:**我的思维方式比较临床化,会刻意将情绪与事态分离。我清楚必须独自面对这个困境,每天只能睡两三个小时。

我曾经历过一段非常忙碌的时期。那时我日常关注的是加班、生产与供应链,而如今全都被夺走了。

我完全记不清前一个月或两个月给谁开过发票。我只能通过银行流水重建财务系统。这绝不是我想推荐给任何人的做法。

你还面临着税务责任,如果需要缴税或被审计,你将陷入无账可查的困境。

**华尔街日报:**在此之前,你对网络安全风险有何看法?

德雷克先生: 我曾遭遇过一次病毒攻击。虽然不涉及勒索软件,但确实让我瘫痪了一整天。之后我召开了多次会议,配备了IT人员,还聘请第三方管理服务器。

但所有设备采购部署后,我从未进行测试,最终发现系统辜负了我的信任。务必定期测试薄弱环节。

**华尔街日报:**你还有其他建议吗?

德雷克先生: 最重要的——这个词当时对我很新鲜——是密码卫生。

黑客是通过IT管理员的个人笔记本电脑入侵系统的。他的电脑处于未锁定状态,攻击者以管理员权限侵入后成功触发了后续问题。

他的密码是公司地址,而且这个密码可能已使用了六到八年。

所以再次强调密码卫生。我知道人们常抱怨那些规则:银行总要求定期更新,其他所有系统也都要更新。

但最不希望发生的事情就是在所有活动中使用同一个密码。

**观众提问:**您当时是否有律师代表协助处理此事?是否聘请了事件响应公司——那些专门处理攻击后果等问题的网络安全专家?您是否购买了网络安全保险?

德雷克先生: 我当时没有任何法律协助。虽然有许多律师朋友,我们偶尔会交流,但没有专业的法律支持。尽管公司现已倒闭,但我们当时确保了所有应付款项得到处理。我从未因此被起诉,也不担心这点。这可能有些无知,但这就是我的选择。我没有购买网络安全保险。

这要归咎于我的傲慢和自负——我以为自己制定的方案足以应对问题。如今我会建议任何企业都购买网络安全保险,因为对手总在进化,而我当时没有。在这个领域里,傲慢是要不得的。

虽然事发时没有事件响应团队,但我在攻击当天中午就获得了专业支援,他们帮了大忙。从网络安全角度看,他们如此迅速地发现我的系统漏洞百出、毫无防护,实在令人震惊。

**华尔街日报:**经历了这次严重攻击后,您如何看待针对员工的网络安全培训?

**德雷克先生:**我认为这极其重要。你需要进行培训,需要测试员工是否会打开钓鱼邮件。

如果员工未能通过测试,或未按时完成培训,应当采取建设性的纪律处分,因为那个不重视安全的人可能成为入侵的突破口。说起来容易做起来难,但这是安全和人力资源部门必须100%达成共识的地方。

致信 [email protected]

刊登于2022年6月8日印刷版,标题为《网络攻击剖析》。