偶然性在2017年干预以营救世界上最大的航运企业集团
尼日利亚首都削减的电力在2017年的NotPetya袭击期间挽救了马士克的网络基础设施,这家航空公司的安全负责人承认。
叙述在黑帽欧洲会议上周在伦敦,马士队Ciso Andy Powell表示,恶意软件几乎消除了该公司Active Directory的所有在线备份 - 仁慈地,为其在其电力下降的拉各斯办公室举行的文章。
马尔斯克(Maersk)在130个国家 /地区拥有574个办事处,并在下一步从拉各斯(Lagos)的飞行中预订了Active Directory Server是一流的座位(与临时人类托管人的临时托管人一起)。
鲍威尔告诉《黑帽》受众,Active Directory是在Windows环境中管理网络访问权限的Microsoft服务。他说,即使在非常大的网络中,离线备份也至关重要。
'还不够好'
A.P.Møller-Maersk为了给丹麦公司提供全名,于2017年6月27日在Kremlin支持的黑客仍然是主要嫌疑人的袭击中。
攻击者传播恶意软件在控制了M.E.Doc的软件更新机制后,这是针对乌克兰开展业务的事实上的标准会计套餐,作为精心计划的运营的一部分。
恢复速度很慢:Maersk的网络在七分钟内瘫痪,大部分损坏是在一个小时内造成的,并且恢复其Active Directory系统花了9天的时间。“还不够好,”鲍威尔说 - 24小时应该是目标周转。
但是,该公司确实在一个关键方面表现出色:他们告诉所有人“直接发生的事情”,鲍威尔说。许多顾客的第一个回答并没有生气,但“我们该如何帮助?”
他补充说:“许多大型国际公司被NotPetya击中不那么开放,诚实和透明。”
阅读《每日Swig》中的更多最新勒索软件新闻beplay2018官网
诚实和透明度在内部至关重要,鲍威尔称之为“揭示您的死”政策。
客户和合作伙伴的同情反应证明了违规并不总是归因于无能或过失。
鲍威尔说:“我们长期以来一直在努力地停止它,答案是'否' - 但他们可以更好地包含它。
作为一家涉及全球20%贸易的航运巨头,马尔斯克是复杂的,国家赞助的漏洞利用的明显目标,其韧性对全球经济产生了影响。
鲍威尔说:“民族国家武器更加普遍。”“令人担忧的是,那些民族国家武器高端的武器正在代理:代表他们行事的犯罪团伙。”
马士克至少检测到三个先进的持续威胁(APT)仅在去年就通过其供应链(例如合作伙伴或供应商)来探测其网络。
艰巨的任务
马士克的清理工作是一项艰巨的任务。
NotPetya是迄今为俄罗斯针对乌克兰的网络战设计的最具破坏性的剥削,迄今为止,浪费了近50,000家公司笔记本电脑,并破坏了整个VoIP电话网络。
该公司迅速建造了2,000台笔记本电脑,其中许多笔记本电脑从高街零售商处采购,而WhatsApp集团成为了重要的通信生命线。
如果无法访问其破坏的计算机系统上的数据,Maersk实际上不知道其容器中有什么。现场员工必须手动检查,对时间敏感的药物有特定的供应链问题。
得到教训
遏制勒索软件在如此广泛的网络中,这是一个艰巨的挑战,精巧的特权访问也是如此,鲍威尔建议的“严厉方法”可能是必要的。
他唤起了多个战头导弹,他警告说,假设任何传入的漏洞都没有陪伴。NotPetya本身与四个不同的软件利用捆绑在一起。
鲍威尔(Powell)警告说,担心您的后门,而不仅仅是前门,尽管感觉NotPetya竖起了12个新的前门,并将攻击者交给了钥匙。
CISO还赞扬了安全划分原则的优点,识别您的关键业务应用程序和排练事件响应剧本。
他说,他专注于标准,而不是政策 - 后者现在是组织中被禁止的词。
即使是看似较小的事件,也进行了计算机取证。
马斯克现在已经在五个原则中阐述了这些痛苦的教训,与组织的弹性,董事会问责制和安全性有关,是一种利益,增长驱动力和每个人的责任。
你可能还喜欢勒索软件吊杆加强备用攻击
