1. 我是CIO首页
  2. 新闻
  3. 安全

马士基:从灾难性的网络攻击中重生

马士基:从灾难性的网络攻击中重生

亚当·班克斯(Adam Banks)重新担任丹麦运输和物流业巨头马士基(Maersk)的首席技术和信息官,该公司以运输集装箱而闻名。

马士基集团成立于1904年,总部位于丹麦哥本哈根,在全球135个国家设有办事机构,拥有约89,000名员工,在集装箱运输、物流、码头运营、石油和天然气开采与生产,以及与航运和零售行业相关其它活动中,为客户提供了一流的服务。

马士基集团旗下的马士基航运是全球最大的集装箱承运输公司,服务网络遍及全球。2014年马士基集团位列世界500强第172名。

2018年7月,《财富》世界500强排行榜发布,马士基公司在”2018年《财富》世界500强”中排行第305位。2018年12月18日,世界品牌实验室发布《2018世界品牌500强》,马士基排名第313。

两年前,在没有警告的情况下,亚当·班克斯(Adam Banks)发现自己面临严重的恶意软件攻击,该攻击会破坏公司的大多数系统和应用程序,同时消除对几乎所有数据的访问权限。

两年过去了,亚当·班克斯(Adam Banks)终于愿意概述他们遇到的破坏规模,后来这种破坏后来被称为NotPetya的恶意软件占据了上风,并且很多公司的业务暂停了。亚当·班克斯(Adam Banks)说:“包括49,000台笔记本电脑和打印功能在内的所有最终用户设备均被销毁。我们无法访问所有1200个应用程序,大约有1000个应用被破坏。数据保留在备份中,但是应用程序本身无法从那些备份数据中还原,因为它们一启动将立即被重新感染。我们的6200台服务器中,大约有3500台被销毁了。”

网络攻击也打击了通信。由于网络损坏,所有固定电话均无法使用,并且由于它们已与Outlook同步,因此所有联系人均已从手机中删除  ,从而严重阻碍了任何形式的协调响应。

马士基并不是唯一一家遭受NotPetya困扰的IT崩溃的公司。食品和饮料制造商Mondelez,制药巨头默克公司,广告代理商WPP,保健和卫生产品制造商Reckitt Benckiser,法国建筑公司Saint-Gobain和FedEx的欧洲子公司TNT Express数以千计的跨国公司受到影响。

在2017年5月WannaCry勒索软件激增之后,许多受影响的组织都认为NotPetya的设计目的是为了勒索金钱。如果说纯粹搞破坏是其动机,那么NotPetya当然可以实现其目标。由于感染了乌克兰广泛使用的税务软件MeDoc的升级,NotPetya迅速传播到欧洲,美国及其他地区的60多个国家。

此代码旨在破坏而非勒索。肇事者想破坏乌克兰政府的稳定,造成财政和社会混乱。所有使用默认软件来提交乌克兰纳税申报表的公司都受到了流氓员工的社会工程的损害。

恶意软件使用多种不同的方法通过网络传播。所以亚当·班克斯(Adam Banks)在马士基(Maersk)的软件进行了适当的修补,但仅能防御NotPetya的传播方式之一。它利用了其他弱点,不仅是技术上的弱点,还包括程序和行为上的弱点。”

“我们在马士基(Maersk)的软件进行了适当的修补,但仅能防御NotPetya的传播方式之一。它利用了其他弱点,不仅是技术上的弱点,还包括程序和行为上的弱点。”

亚当·班克斯(Adam Banks)

该病毒一旦激活,仅在七分钟内即可传播。对于马士基,与其他组织一样,破坏的程度是巨大的。

除了影响打印和文件共享功能,便携式计算机,应用程序和服务器外,NotPetya还严重破坏了马士基的DHCP(动态主机配置协议)和Active Directory的实现,这两种配置分别允许设备通过分配IP地址和地址来参与网络。提供有效地址的目录查找。随着这些技术的发展,控制其访问云服务的技术也被破坏并变得不稳定,而其服务总线则完全丢失。亚当·班克斯(Adam Banks)对此影响的广度非常坦诚:“连接到网络的任何基于Microsoft的东西都有100%被破坏。”

亚当·班克斯(Adam Banks)和他的团队迅速采取行动,专注于对病毒进行逆向工程以了解其工作原理。他说:“我们基于Windows 10设计了一个新的Windows版本,该版本不易受到此特定病毒的攻击。我们还尽可能加强了它,以使其不易受到其他攻击。”

幸运的是,他们能够从尼日利亚马士基办事处检索其Active Directory的完整副本。它不受NotPetya的影响,马士基当地一名员工负责将关键数据传输到丹麦。

马士基港口

在攻击发生后的四到九天内,使用该干净的软件,马士基IT团队能够重建Active Directory并构建出2,000台新笔记本电脑,并启用核心业务流程和系统。有趣的是,该团队甚至与创建NotPetya的人员建立了联系,并深入了解了导致其组织内外严重破坏的恶意软件。

团队的努力得到了回报。马士基成为全球第一家对恶意软件进行反向工程的公司。不仅如此,董事会还同意与其他受影响的组织共享此信息-慷慨的举动使该公司具有一定的信誉度,这将证明是有用的。

这并非一帆风顺。班克斯说:“我们不得不重新考虑计划的一部分。” 在马士基“用尽了50公里半径内的所有USB随身硬盘之后”,对使用USB驱动程序避免网络拥塞以及移动数据和软件的最初策略进行了修订。最后,通过网络传播,我们节省了大约三天的恢复时间。但是我们只能这样做,因为我们已经与许多合作伙伴建立了信誉,可以使用他们的公司网络来分发我们的新产品。”   

在随后的几周中,尽管有大量受损和毁坏的系统,但班克斯组建的团队仍在继续工作。两周后,所有全局应用程序已还原。四周后,所有49,000台笔记本电脑都得到了重建。更困难的是恢复支持区域程序的非全局应用程序。班克斯承认:“这是复苏中最重大的挑战。”

尽管NotPetya的创建者专注于破坏,但班克斯认为,勒索也是一种影响,受感染的计算机显示一条消息,要求比特币300美元。当然,这并不是说该事件对公司而言并不昂贵。相反,其董事长吉姆·哈格曼·斯纳贝(Jim Hagemann Snabe)在达沃斯世界经济论坛上表示,在NotPetya事件上,花费了马士基2.5亿至3亿美元。

通过公开了解该恶意软件及其对系统的影响,马士基可以诚实地知道其面临的困难以及原因,并利用其作为受信任的全球品牌的声誉来克服某些后续问题。例如,在某些情况下,公司被允许对海关文书进行追溯备案。结果,班克斯说:“尽管受到了重大破坏,但当时(通过其运输集装箱)运送的大约95%的库存或多或少地准时到达了正确的位置。”

自事件发生以来,马士基一直在采取主动行动,对所有88,000名马士基员工进行网络意识教育。例如,鼓励公司在港口的体力劳动者考虑网络安全以及安全性。

马士基:从灾难性的网络攻击中重生插图(5)

自NotPetya事件以来,亚当·班克斯(Adam Banks)一直在反思技术安全行业的广泛经验。至关重要的是,他认为威胁格局已经发生了根本变化。他说:“被卷入民族活动的风险是真实的。而且,这类网络武器比传统的恶意软件更具破坏性。您仍然需要一个边界来将罪犯拒之门外,但您还需要更广泛地思考。您必须假设,越来越多的州级攻击都将100%成功。”

亚当·班克斯(Adam Banks)认为,许多常见的安全措施不足以应对这种威胁。例如,在线备份不再安全,他说:“您必须假设它会消失。”

修补仍然是必要的,但还不够:“首席执行官必须知道这一点,”他警告道。他说,仅网络保险还不够,尽管值得拥有,“特别是在保单成本下降的情况下。”

那么,组织应如何应对这种新的威胁水平?

亚当·班克斯(Adam Banks)认为:“预防不太可能是一种有效的策略。自动检测和响应是关键。特权访问管理(PAM)越来越重要。使用特权帐户的数量有限,可以合理地假设会感染的计算机数量要少得多,大约是5,000,而不是在马士基看到的55,000。”

尽管从历史上看,董事会可能会在此类事件后罢免CIO或CISO,但许多人开始意识到这样做并不是有效的应对措施。随着严重破坏性的州级恶意软件的出现越来越频繁,高级管理人员越来越多地意识到,要想成功地解决此类危机并在将来避免这种危机,它必须在IT和网络安全之间建立合作伙伴关系。毕竟,亚当·班克斯(Adam Banks)说:“他们意识到,这类攻击不仅仅是技术问题。他们是一个业务问题。”

本文为作者 胡慧 独立观点,并不代表 我是CIO 立场。

发表评论

登录后才能评论