2015年5月17日星期天，網(wǎng)絡(luò)犯罪分子向我所在的企業(yè)——HotSchedules公司，負(fù)責(zé)為來(lái)自餐廳、醫(yī)院以及零售行業(yè)的超過(guò)200萬(wàn)員工提供云服務(wù)——發(fā)動(dòng)了一場(chǎng)惡毒的分布式拒絕服務(wù)攻擊。從星期天夜間到星期二下午，這些惡意人士在長(zhǎng)達(dá)45個(gè)小時(shí)內(nèi)阻撓著用戶(hù)正常檢查并管理自己的工作規(guī)劃——而且從未透露其攻擊動(dòng)機(jī)。

[[142217]]

雖然這對(duì)于每一位CEO來(lái)講都是一場(chǎng)令人難忘的噩夢(mèng)，但對(duì)我個(gè)人而言這卻成了一次寶貴的經(jīng)驗(yàn)并值得為公司的整場(chǎng)頑強(qiáng)對(duì)抗感到自豪。HotSchedules在過(guò)去16年當(dāng)中曾成功化解過(guò)多次網(wǎng)絡(luò)攻擊，且沒(méi)有經(jīng)歷過(guò)任何一次服務(wù)中斷。這次來(lái)襲的攻勢(shì)異常兇猛，相信我的經(jīng)歷幫助大家從中總結(jié)教訓(xùn)并獲得啟示。

由于好萊塢大片的錯(cuò)誤引導(dǎo)，我們往往將網(wǎng)絡(luò)攻擊的對(duì)抗想象成是正義與邪惡兩方的黑客們各自坐在冷冰冰的屏幕前，利用散發(fā)出綠色熒光的代碼在互聯(lián)網(wǎng)當(dāng)中激烈過(guò)招。但在現(xiàn)實(shí)生活中，網(wǎng)絡(luò)安全對(duì)抗需要企業(yè)內(nèi)每一位員工的參與。如果大家正在經(jīng)驗(yàn)一家企業(yè)，那么攻擊活動(dòng)會(huì)考驗(yàn)?zāi)钠髽I(yè)文化、團(tuán)隊(duì)協(xié)作以及集體使命感。團(tuán)隊(duì)要么找到辦法完成向客戶(hù)作出的業(yè)務(wù)承諾，要么眼睜睜看著業(yè)務(wù)體系陷入癱瘓。每一項(xiàng)網(wǎng)絡(luò)攻擊手段都擁有對(duì)應(yīng)的技術(shù)性解決方案，但員工的實(shí)際反應(yīng)才真正決定著企業(yè)的最終命運(yùn)——更具體地講，也就是客戶(hù)眼中的勝負(fù)關(guān)系。

人為因素

星期天傍晚，此次DDoS攻擊的消息正式傳開(kāi)，HotSchedules公司的全體員工立刻沖進(jìn)自己的辦公室。沒(méi)有應(yīng)急部署，也沒(méi)有臨時(shí)方案。在這場(chǎng)對(duì)抗當(dāng)中，人們自發(fā)采取了主動(dòng)態(tài)度，按照既定方式開(kāi)始應(yīng)對(duì)。

對(duì)于任何一家企業(yè)而言，遇到攻擊活動(dòng)之后的最高優(yōu)先級(jí)就是繼續(xù)為客戶(hù)提供服務(wù)。我們?nèi)匀荒軌蛟L(fǎng)問(wèn)自己的數(shù)據(jù)庫(kù)，所以技術(shù)工程師們匯總出名單并將其轉(zhuǎn)交給我們的客戶(hù)服務(wù)團(tuán)隊(duì)。這時(shí)的客戶(hù)服務(wù)團(tuán)隊(duì)已經(jīng)在規(guī)模上得到擴(kuò)充，其中包括原有團(tuán)隊(duì)成員、客戶(hù)成功經(jīng)理、市場(chǎng)營(yíng)銷(xiāo)人員、人力資源員工以及其他幾乎來(lái)自各個(gè)非技術(shù)部門(mén)的員工。他們將日程規(guī)劃下載下來(lái)并通過(guò)郵件將副本發(fā)送給客戶(hù)。在接下來(lái)的48個(gè)小時(shí)當(dāng)中，我們的團(tuán)隊(duì)一直通過(guò)電話(huà)、郵箱以及社交媒體不眠不休地為客戶(hù)提供幫助。當(dāng)客戶(hù)打進(jìn)電話(huà)時(shí)，我們能夠提供名單、時(shí)間表、崗位交換以及其它多種核心服務(wù)。

優(yōu)先級(jí)中的次要項(xiàng)目就是保持透明度。一旦我們了解到當(dāng)前事態(tài)，會(huì)立刻將情況匯報(bào)給客戶(hù)。我們的政策是“不搞暗箱操作，一切明面進(jìn)行”。這一原則是我從BTC Revolutions處學(xué)來(lái)的，這是一家數(shù)字化社交營(yíng)銷(xiāo)及戰(zhàn)略規(guī)劃?rùn)C(jī)構(gòu)，他們負(fù)責(zé)了我公司員工團(tuán)隊(duì)的培訓(xùn)工作。我們?cè)谧约旱墓俜骄W(wǎng)站、Facebook、Twitter等平臺(tái)上發(fā)布聲明并更新實(shí)時(shí)動(dòng)態(tài)，并在第二天早上直接向客戶(hù)打電話(huà)匯報(bào)情況，同時(shí)回答我們?cè)诰W(wǎng)站及推文評(píng)論中收到的問(wèn)題。

我們的團(tuán)隊(duì)不眠不休地工作了兩天，同時(shí)保持著令人難以置信的工作強(qiáng)度與效率水平。數(shù)據(jù)中心的地板成了臨時(shí)休息區(qū)，工程師們始終堅(jiān)持在自己的崗位之上，只是偶爾到這里小憩一會(huì)兒。很多企業(yè)恐怕不具備如此出色的員工隊(duì)伍。歸根結(jié)底，這取決于我們雇用誰(shuí)、如何培訓(xùn)他們以及如何幫助他們?cè)诠ぷ鳟?dāng)中獲得認(rèn)同感與成就感。作為CEO，我對(duì)于自己的員工團(tuán)隊(duì)感到無(wú)比驕傲。

網(wǎng)絡(luò)戰(zhàn)爭(zhēng)

在每一位面向客戶(hù)的團(tuán)隊(duì)成員都在努力維持服務(wù)進(jìn)行并與客戶(hù)進(jìn)行交流的同時(shí)，我們的IT部門(mén)則集中力量解決網(wǎng)絡(luò)威脅。雖然沒(méi)有繼續(xù)數(shù)據(jù)遭遇泄露，但我們對(duì)這樣的惡意攻擊仍然缺乏必要準(zhǔn)備。

攻擊過(guò)程當(dāng)中，每秒數(shù)據(jù)傳輸流量達(dá)到了驚人的10至15 Gb每秒(即Gbps)——這相當(dāng)于我們正常傳輸速率的250倍。當(dāng)我打電話(huà)給從業(yè)銀行及電信工作的朋友需求幫助時(shí)，恐怖的數(shù)字令我們也呆立當(dāng)場(chǎng)。對(duì)于大多數(shù)商業(yè)企業(yè)來(lái)講，這樣的流量都遠(yuǎn)遠(yuǎn)超過(guò)預(yù)期。只有整個(gè)團(tuán)隊(duì)的成員在精心的編排之下通力協(xié)作，再配合極為昂貴的網(wǎng)絡(luò)資源投入，才有可能應(yīng)對(duì)得了這么龐大的流量壓力。

我們很難確切掌握攻擊活動(dòng)是否會(huì)停止，又將在何時(shí)停止。無(wú)論我們?cè)鯓虞氜D(zhuǎn)騰挪，DDoS都如影隨形。當(dāng)時(shí)我們?cè)?jīng)試圖將服務(wù)利用其它IP地址進(jìn)行發(fā)布，但犯罪分子很快就再次跟了上來(lái)。因此，我們做出了一個(gè)艱難的決定，即發(fā)布“黑洞”來(lái)舍棄一部分流量。這事實(shí)上傳達(dá)出了這樣的一種信息——“你已經(jīng)惹到我們了，我們絕不會(huì)讓你實(shí)現(xiàn)任何進(jìn)一步破壞。”

最后，勞累的安全工程師們?cè)谑鼙Ｗo(hù)子網(wǎng)上重新設(shè)計(jì)了整套服務(wù)，而相關(guān)保護(hù)則由Akamai公司的云安全解決方案提供——其流量承受上限高達(dá)321 Gbps。到5月19號(hào)星期二的凌晨2：37，我們的服務(wù)終于重新上線(xiàn)。

經(jīng)驗(yàn)總結(jié)

聯(lián)邦調(diào)查局方面一直無(wú)法確定是誰(shuí)組織了這次惡意攻擊，而且整個(gè)過(guò)程中我們也沒(méi)有收到任何贖金要求、聲明或者動(dòng)機(jī)解釋。來(lái)自多個(gè)國(guó)家的成千上萬(wàn)臺(tái)服務(wù)器都參與到了攻擊當(dāng)中，而且我們發(fā)現(xiàn)其中有六成左右來(lái)自海外地區(qū)。面對(duì)這樣撲朔迷離的狀況，我懷疑我們永遠(yuǎn)也抓不到這群犯罪分子。

考慮到有90%的企業(yè)遭受過(guò)DDoS攻擊，我想奮力抵抗是值得的——無(wú)論需要付出怎樣的代價(jià)。從云環(huán)境退縮回內(nèi)部設(shè)施，就像是為了避免事故而從汽車(chē)回退到馬匹那樣，簡(jiǎn)直是荒謬。考慮到內(nèi)部技術(shù)方案的高昂成本，餐飲行業(yè)當(dāng)然更傾向于使用價(jià)格低廉的云與移動(dòng)計(jì)算產(chǎn)品。雖然剛剛遭受了攻擊，但我仍然號(hào)召整個(gè)行業(yè)以勇敢且積極的心態(tài)面對(duì)這一切。

此次DDoS攻擊是我從業(yè)以來(lái)帶來(lái)壓力最大的一次事故，但它卻也讓我積累到了寶貴的經(jīng)驗(yàn)。在整個(gè)過(guò)程中，我們沒(méi)有丟失任何數(shù)據(jù)，并且仍然為客戶(hù)提供一定程度的服務(wù)支持。我還知道，公司的一組同事連續(xù)45個(gè)小時(shí)一直在幫助客戶(hù)解決問(wèn)題。對(duì)于企業(yè)而言，這樣出色的員工顯然比任何技術(shù)成果都更加重要。