探秘一起恶性网络安全事件

对网络安全重大事件进行深入分析,从中汲取教训是确保信息安全管理工作持续改进的重要方法。以下是我们搜集整理的在业界发生的网络安全事故案例,给您参考,让我们多作思考和辨析其根本原因,汲取经验教训,以防事故再发。

最近,一家大型网络存储服务提供商遭遇勒索软件攻击,整个内部网络中的大部分服务器内的全部文件被勒索软件加密,包括重要的业务服务器,以及部分工作站电脑。黑客勒索两百万美金的比特币,在权衡之后,该网络存储商用比特币进行赎金的支付,幸运的是,他们获得了解锁重要文件的密钥,然而该服务商的信息安全主管仍然表示黑客提供的解密程序解密速度太慢。股市分析师预估该勒索事件导致的业务损失将达数亿美金。据网络安全调查机构分析称,黑客们使用的英语习惯接近俄语,因此怀疑为东欧或俄罗斯黑客所为。

通常来讲,数据存储服务商有足够的存储设备,也应该有数据备份这种基本的网络安全常识,然而上述案例却让人对此表示怀疑。在进一步联系该服务商,并了解了情况之后,发现他们其实是有对重要数据进行备份的。不过,最新的备份也感染了勒索病毒,离线的没有感染病毒的备份却比较老旧。我们相信这种状况是很多有同样遭遇的机构的共性。

事情并没有因此而结束,不要忘了,该服务商的产品和用户!黑客们利用了NAS产品中的一个零日漏洞,假冒该存储厂商发送软件(及固件)的升级通知,不少用户点击了链接并进行了“升级”。结果可想而知,用户们在NAS中的重要数据也都感染了勒索病毒,不付200多美金就清空设备。鉴于用户数量庞大,该服务商紧急发布官方通报,提醒用户们注意对零日漏洞的修复,同时提升安全防范意识,进行安全配置加固,防范钓鱼行为。

可是,已经中招的用户们呢?有用户找厂商要说法,要赔付,要垫付比特币赎金,然而厂商“无情”地拒绝了这些用户。有可怜的用户找到我司(昆明亭长朗然科技有限公司)进行咨询,在了解情况之后,我们表示:厂商虽然有责任,但是产品出现安全漏洞是难以避免的,不能因为产品被发现了安全漏洞就对客户进行赔付。厂商如果及时修复了新发现的安全漏洞,且及时告知了用户,并尽力帮助用户修复安全问题。用户也有责任使用好该产品,并保护好自己的数据的安全。起初,该可怜的用户对我司的回复不够满意,我们举出了微软每月都有大量安全漏洞被发现和修复的情况为例,微软并没有对用户使用其操作系统所造成的安全问题进行赔偿。从科学上讲,漏洞问题是软件开发过程中必不可少的,新的漏洞会不断被发现出来,只要厂商及时发布安全更新程序,就尽到其基本责任了,用户有也有责任和义务及时安装相关的更新和修复。该可怜的用户最终无言以对,只好认载了。

由于该网络安全事件案例的一些资料来源自网络,并非我们亲历亲见,因此在此声明我们不保证该事件案例的真实性和可靠性,亦不会为所提供资料不正确、内容上的错误或遗漏,负上任何法律责任。同时,我们希望我们的安全案例分析活动不会给涉事机构的名声和信誉带来负责的影响,也希望这些涉事机构不会因此而将我们排除在其供应商之列,因此我们并不点名道姓。尽管如此,这并不表示我们展示的网络安全事件是完全杜撰的,聪明的网友或者有经验的网络安全从业人员应该知道,万事皆有可能,安全隐患必将导致安全事件,人类的所有观念都是基于现实的,没什么所谓的凭空捏造,但是也请不要对号入座。

对于上述网络安全事件,我们可以科学推想及预测,云存储厂商遭遇黑客入侵,进而让勒索软件感染所有用户文件的情形必将在未来某日出现,让我们拭目以待。我们公司专注于信息安全意识业务,不过我们不是预言家,更不希望世界出现灾难,但是仍然要请人们注意防范可能的灾难发生,因为不法分子们总会想出各种方法去制造灾难,往往他们有机会能够得逞。

最后,请明白:世界之大,我们披露的案例有一些普遍性,请大家不要对号入座。它山之石,可以攻玉。不要让类似的悲剧再重演,也不要上类似的悲剧发生在自己身上,这才是智者的行为。