2020年夏天,保險公司Mapfre遭受了一次勒索軟件攻擊,影響了該公司在西班牙的數千臺服務器和工作站。當時的情況復雜至極——正值疫情肆虐,又是在一個許多西班牙公民都在度假、對Mapfre的道路救援服務需求增加的假期前夕。
但公司成功地從這次事件中變得更加強大。西班牙數據保護局后來也強調,這家跨國公司采取了適當的安全措施來應對網絡攻擊,使其能夠積極行動,將攻擊的影響降到最低,該局還贊揚了保險公司能夠透明地溝通這一情況。
Mapfre的CSO兼危機管理負責人Guillermo Llorente不僅親身經歷了這一情況,還領導了保險公司的應對工作。他向CSO Spain講述了自己吸取的教訓,以及Mapfre是如何將一次勒索軟件攻擊轉變為安全管理成功案例的。
讓我們回到2020年夏天。Mapfre是如何經歷公司有史以來最大規模的網絡攻擊的?事件發生后最初的那段時間是怎樣的?你又做出了哪些最初的決策?
Llorente:像這類事件中通常發生的那樣,突然間燈熄滅了,而CISO或危機管理人員必須讓燈重新亮起。
如今,我們對那天發生的事情有了更多的了解。例如,網絡攻擊在一年前就開始醞釀,當時有人購買了與Mapfre類似的互聯網域名,意圖發動勒索軟件攻擊,而這一切發生在2020年8月14日,也就是疫情肆虐那年,又正值西班牙和世界上許多國家的假期——而且還是在周末的晚上9點。因此,那一天是Mapfre歷史上辦公室人數最少的一天,而次日,即8月15日,是西班牙自駕游出行人數最多的一天,對于我們這樣一家當時擁有20%市場份額的領先車險公司來說,這是一個重要日子,有著眾多潛在客戶需要關注。
這不是某個車庫里的家伙發起的攻擊,而是一個行業發起的,這是一次經過長期準備且精心設計的攻擊,正如我們在法務分析中所了解到的,攻擊者反復引爆病毒,而我們的殺毒軟件阻止了這些病毒,直到其中一個病毒突破了安全屏障。
盡管攻擊時機如此復雜,但他們還是成功了。他們是如何做到的?
首先,是因為我們有些幸運,其次,是因為我們有所準備,因為得益于疫情形勢,我們擁有一個運轉良好的危機管理系統。從這個意義上說,雖然沒有任何業務連續性和危機管理計劃能夠考慮到所有可能的情況——比如在疫情期間遭受大規模網絡攻擊,迫使大規模遠程辦公——但那些沒有這樣計劃的人就遭殃了……第三,是因為我們團隊的能力,第四,是因為團隊具備高效工作并吸納公司后續提供的增援的能力。
在遭受此類攻擊時,公司會面臨是否支付贖金的抉擇,但在Mapfre的情況下……
我們決定不支付,如果你選擇這樣做,就別無選擇,只能透明處理,而我們也正是這么做的。我們之所以能做出這個決定,是因為我們有安全的備份,并且可以在安全的空間里建立副本以繼續提供服務。老實說,我必須說,我并不喜歡透明這個選項。那天晚上我已經焦頭爛額了,不想再添上溝通的問題。
做出這樣的決定需要付出巨大的代價,首先是媒體曝光,我們的總裁和副總裁出面向媒體解釋,我們發表聲明稱自己遭到了攻擊,但我們無法提供更多信息,因為我們自己也不清楚情況。我們知道沒有發生大規模數據泄露,但我們不知道攻擊者在我們的系統中潛伏了多久,我們只知道他們破壞了我們的系統并加密了數據。事實上,我們花了幾個月的時間才確認沒有數據被竊取。
當然,溝通部分必然是一大挑戰……
我并沒有完全意識到這一事件的嚴重性。此外,這一事件不僅要報告給西班牙監管機構,還要報告給23個不同國家的23個監管機構,并且必須不斷向他們通報情況。我們還必須與Mapfre合作伙伴公司的安全管理人員——以及這些公司內部各個層級的人員——以及與客戶保持不斷溝通。能夠在公司陷入混亂時保持信息一致,是我們的成功之一。
另一方面,由于這種透明度和溝通,全世界都知道我們存在漏洞,當然,那一周我們遭受了眾多試圖發起的攻擊。舉個例子:8月15日,我為此感到非常自豪,沒有一位Mapfre客戶得不到服務,盡管從邏輯上講,服務質量無法達到平常的標準——不可避免地出現了更多延誤等——所以我們在他們續保時提供了降價優惠,然而,許多客戶收到了一條帶有虛假鏈接的手機短信,試圖欺騙他們。
你們是否查出了網絡攻擊背后的黑手?
是烏克蘭、俄羅斯或白俄羅斯的團體,它們是眾多此類團體中的幾個。通常,其中幾個團體協同工作,每個團體負責網絡攻擊的一個方面,直到最后的勒索。由于我們決定切斷所有通信和互聯網,他們無法繼續攻擊。其中一個團體甚至獲得了特權用戶憑據,這迫使我們在事件發生后數月內,對互聯網訪問和遠程工作實施了非常嚴格的限制條件。
這一事件是否標志著Mapfre安全政策的轉折點?
如果我們能夠幸存下來,那是因為我們之前已經做了很多工作,而且我們已經做好了準備,但這一事件強化了一些我們雖然有所考慮但并未深入理解的方面,比如溝通的重要性,這是我們吸取的主要教訓之一,還有基線的一致性,即所有國家都有相同的安全要求,以及對日益復雜的攻擊的監控和響應能力的顯著提升。
公司目前是否正在遭受大量攻擊?
我們所面臨的威脅狀況與國土安全部、國家密碼學中心(NCC)甚至世界經濟論壇的任何報告所述一致:網絡威脅持續增長。這是一場永無止境的競賽,其解決方案與目前企業大幅增加安全投資的做法不同。從長遠來看,這是不可持續的,因為我們面對的是準國家機構,甚至可以說是國家機構。企業還必須依靠國家的防御。必須改變這種模式,這需要國家直接干預網絡的控制和安全,以及大型科技公司承擔責任,其中許多公司在其軟件方面處于壟斷地位,為此他們不斷發布安全更新,而理論上這些軟件本應是安全的。是的,軟件開發商、網絡公司以及政府都有責任。
Mapfre在網絡安全方面的投資是多少?
我們在本行業內的安全投資中處于上游平均水平。此外,疫情帶來的一個好處是,沒有人再討論網絡安全預算了。在Mapfre,當然,人們對安全的重要性有著高度的認識,這是至關重要的,因為這不僅僅關乎金錢。
在選擇安全供應商時,是否對使用來自中國或俄羅斯等某些國家制造商的技術存在限制?
這些都是需要考慮的問題。如果大多數攻擊來自某些地區和團伙,那么用來自某個特定來源的系統來危害你的網絡會帶來后果。我們有一個流程,從供應商審批開始,然后對倡議進行風險分析。此外,我們還考慮了歐盟和我們國家特別發出的建議,我們以CCN批準的產品為指導。
另一個挑戰是接受來自歐洲的所有法規,如《數字業務韌性法案》(DORA)。
是的,作為一家在歐盟許多國家都有業務且規模龐大(保費超過300億歐元)的歐洲保險集團,我們受到監管機構的重點關注,必須適應這種復雜的局面。我們的目標當然是遵守法規。
CIO和CISO之間的合作至關重要。你與公司的CIO關系如何?
我很幸運能與像Vanessa Escrivá這樣出色的CIO共事,我和她建立了良好的專業關系。我們的努力朝著同一個目標邁進:為Mapfre提供最可持續和最安全的系統,盡管我們的職責不同,她的職責是提供服務,而我的職責是確保服務安全進行。我們的關系是密切而永久的合作,盡管我們在獨立領域工作——受同一個老板領導——遵循職責分離的原則,這是推薦的做法。
你離開軍隊進入私營部門。你如何評估自己職業生涯的這一階段?
的確,我是一名休假中的步兵中尉。我非常珍視在私營部門的這些年,這是一段讓我成長的經歷,現在我比以前更專業、更豐富了。另一方面,我認為我已經成功地將自己在軍隊中培養的在危機情況下不斷作戰的準備融入到了工作中,這非常有用,因為如今的公司在永久性的危機環境中運營,在這種情況下,安全不僅是技術問題,更是治理問題,而安全負責人給公司帶來的主要價值是使它們具有韌性。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號