【NotPetya】史上破壞力最強的一次網絡攻擊(八):醒覺的代價

    經 NotPetya 一役,馬士基不僅致力改進自身的網絡安全,而且還把它發展成一項「競爭優勢」,它是一次非常切中要害又非常昂貴的喚醒服務。

    發生襲擊後兩星期,馬士基的網絡終於恢復至可以重新運作,公司為絕大部分員工下發整理後的個人電腦。哥本哈根總部大樓地庫的自助餐廳,已被挪用為重新安裝電腦的部門,每次都有 20 部電腦被排成一列,系統服務站的員工會按順序插入USB,按照畫面提示不斷點擊執行清洗工作。

    從梅登黑德返回哥本哈根後,Henrik Jensen 從按著使用者姓名字母排列的幾百部手提電腦中,找到了屬於自己的一部,硬盤裡面的東西已經被徹底刪除,並且安裝了一個乾淨的 Windows 鏡像。

    有危就有機

    五個月後,馬士基主席 Jim Hagemann Snabe 於瑞士達沃斯世界經濟論壇大會上,對公司 IT 部門在這次拯救行動中付出的「英雄般的努力」表示稱讚。 他說,從 6 月 27 日凌晨 4 點他在加州被一通電話吵醒開始,公司只用了 10 天時間就重建了由 4,000 部伺服器和 45,000 部 PC 組成的整個網絡。(完全恢復需要花更長的時間:梅登黑德一些員工還得夜以繼日地工作將近兩個月重建馬士基的軟件安裝。)Snabe 對觀眾說:「我們用頑強不屈的毅力,克服了問題。」

    Snabe 續道,馬士基不僅致力於改進自身的網絡安全,而且還把它發展成一項「競爭優勢」。的確,在 NotPetya 的喚醒下,IT 人員提出的每一項安全功能,幾乎都馬上被批准。多重因素驗證安全策略,在全公司得以展開,一直被擱置的 Windows 10 升級工作也獲批了。

    不過 Snabe 對於公司在 NotPetya 之前的保安態勢卻說得不多。馬士基保安人員稱,公司的一些伺服器在受到攻擊前,仍然是 Windows 2000 ——這個操作系統已經舊到連微軟都不再支援了。2016 年時,一群 IT 主管曾經推動過對馬士基全球網絡進行前瞻性的安全再設計,他們呼籲要修補不夠完美的軟件、更新過時的操作系統,以及解決低效的網絡分段問題。他們警告說,最後這個漏洞會使進入網絡的惡意軟件瘋狂擴散四周,其後 NotPetya 正正確認了這個結論。

    這些安全改造提案獲得批准及撥款,但它的成功從來都不在馬士基大多數資深 IT 監管者所謂的 KPI 範疇內,所以實現這些對他們的獎金並沒有貢獻,以至沒有人肯花心機推動。

    狂風後的點算

    Snabe 還在演講中表示,由於應對迅速以及人手的變通方式,公司因 NotPetya 導致的訂單損失僅佔總量的 20%,但除了業務損失、下線時間以及重建整個網絡的成本外,馬士基還賠償了許多客戶變更航線或者存放其無路可去的貨物的開支。一位馬士基客戶談及收到七位數支票以補償貨運損失時說:「在不夠兩分鐘的討論後,他們就給了我很可觀的 100 萬補償。」NotPetya 給馬士基造成的損失總計在 2.5 億美元到 3 億美元之間,不過,大多數員工私下懷疑公司的會計壓低了數字。

    不管怎樣,那些數字只是量化了今次破壞力,但未必顯示所有實情。比方說,依賴馬士基轉運站的物流公司,在這次業務中斷中並沒有像馬士基的客戶那樣得到優厚對待。據紐瓦克市貨車組織 Association of Bi-State Motor Carriers 的總裁 Jeffrey Bader 估計,光是貨車公司未獲償還的損失就達到千萬美元,他說:「這是一場噩夢,我們虧了很多錢,也令我們非常生氣。」

    在這次事件中,馬士基只是其中一個受害者,其他因 NotPetya 而臨時關閉的製藥巨頭默克公司,告訴股東自己因該惡意軟件而損失了 8.7 億美元。聯邦快遞的歐洲子公司 TNT Express 也受到重創,需要數月時間才能恢復部分數據,損失達到了 4 億美元。

    Snabe 最後總結說:「這是一次非常切中要害的喚醒服務。」然後他再用一種納維亞人特有的輕描淡寫性語氣補充道:「你還可以說,這是非常昂貴的一次。」

    相關文章:【NotPetya】史上破壞力最強的一次網絡攻擊(七):跨國接力賽

    #CyberWarfare #ISSP #Maersk #NotPetya #Ransomware #TNT Express

    相關文章