安全總監(jiān)Guillermo Llorente討論了領(lǐng)導(dǎo)Mapfre這家西班牙跨國(guó)企業(yè)應(yīng)對(duì)2020年網(wǎng)絡(luò)攻擊的經(jīng)歷，以及他從將這一事件轉(zhuǎn)化為安全管理成功案例中所吸取的經(jīng)驗(yàn)教訓(xùn)。

2020年夏天，保險(xiǎn)公司Mapfre遭受了一次勒索軟件攻擊，影響了該公司在西班牙的數(shù)千臺(tái)服務(wù)器和工作站。當(dāng)時(shí)的情況復(fù)雜至極——正值疫情肆虐，又是在一個(gè)許多西班牙公民都在度假、對(duì)Mapfre的道路救援服務(wù)需求增加的假期前夕。

但公司成功地從這次事件中變得更加強(qiáng)大。西班牙數(shù)據(jù)保護(hù)局后來(lái)也強(qiáng)調(diào)，這家跨國(guó)公司采取了適當(dāng)?shù)陌踩胧﹣?lái)應(yīng)對(duì)網(wǎng)絡(luò)攻擊，使其能夠積極行動(dòng)，將攻擊的影響降到最低，該局還贊揚(yáng)了保險(xiǎn)公司能夠透明地溝通這一情況。

Mapfre的CSO兼危機(jī)管理負(fù)責(zé)人Guillermo Llorente不僅親身經(jīng)歷了這一情況，還領(lǐng)導(dǎo)了保險(xiǎn)公司的應(yīng)對(duì)工作。他向CSO Spain講述了自己吸取的教訓(xùn)，以及Mapfre是如何將一次勒索軟件攻擊轉(zhuǎn)變?yōu)榘踩芾沓晒Π咐摹?/p>

讓我們回到2020年夏天。Mapfre是如何經(jīng)歷公司有史以來(lái)最大規(guī)模的網(wǎng)絡(luò)攻擊的?事件發(fā)生后最初的那段時(shí)間是怎樣的?你又做出了哪些最初的決策?

Llorente：像這類事件中通常發(fā)生的那樣，突然間燈熄滅了，而CISO或危機(jī)管理人員必須讓燈重新亮起。

如今，我們對(duì)那天發(fā)生的事情有了更多的了解。例如，網(wǎng)絡(luò)攻擊在一年前就開始醞釀，當(dāng)時(shí)有人購(gòu)買了與Mapfre類似的互聯(lián)網(wǎng)域名，意圖發(fā)動(dòng)勒索軟件攻擊，而這一切發(fā)生在2020年8月14日，也就是疫情肆虐那年，又正值西班牙和世界上許多國(guó)家的假期——而且還是在周末的晚上9點(diǎn)。因此，那一天是Mapfre歷史上辦公室人數(shù)最少的一天，而次日，即8月15日，是西班牙自駕游出行人數(shù)最多的一天，對(duì)于我們這樣一家當(dāng)時(shí)擁有20%市場(chǎng)份額的領(lǐng)先車險(xiǎn)公司來(lái)說(shuō)，這是一個(gè)重要日子，有著眾多潛在客戶需要關(guān)注。

這不是某個(gè)車庫(kù)里的家伙發(fā)起的攻擊，而是一個(gè)行業(yè)發(fā)起的，這是一次經(jīng)過(guò)長(zhǎng)期準(zhǔn)備且精心設(shè)計(jì)的攻擊，正如我們?cè)诜▌?wù)分析中所了解到的，攻擊者反復(fù)引爆病毒，而我們的殺毒軟件阻止了這些病毒，直到其中一個(gè)病毒突破了安全屏障。

盡管攻擊時(shí)機(jī)如此復(fù)雜，但他們還是成功了。他們是如何做到的?

首先，是因?yàn)槲覀冇行┬疫\(yùn)，其次，是因?yàn)槲覀冇兴鶞?zhǔn)備，因?yàn)榈靡嬗谝咔樾蝿?shì)，我們擁有一個(gè)運(yùn)轉(zhuǎn)良好的危機(jī)管理系統(tǒng)。從這個(gè)意義上說(shuō)，雖然沒(méi)有任何業(yè)務(wù)連續(xù)性和危機(jī)管理計(jì)劃能夠考慮到所有可能的情況——比如在疫情期間遭受大規(guī)模網(wǎng)絡(luò)攻擊，迫使大規(guī)模遠(yuǎn)程辦公——但那些沒(méi)有這樣計(jì)劃的人就遭殃了……第三，是因?yàn)槲覀儓F(tuán)隊(duì)的能力，第四，是因?yàn)閳F(tuán)隊(duì)具備高效工作并吸納公司后續(xù)提供的增援的能力。

在遭受此類攻擊時(shí)，公司會(huì)面臨是否支付贖金的抉擇，但在Mapfre的情況下……

我們決定不支付，如果你選擇這樣做，就別無(wú)選擇，只能透明處理，而我們也正是這么做的。我們之所以能做出這個(gè)決定，是因?yàn)槲覀冇邪踩膫浞?，并且可以在安全的空間里建立副本以繼續(xù)提供服務(wù)。老實(shí)說(shuō)，我必須說(shuō)，我并不喜歡透明這個(gè)選項(xiàng)。那天晚上我已經(jīng)焦頭爛額了，不想再添上溝通的問(wèn)題。

做出這樣的決定需要付出巨大的代價(jià)，首先是媒體曝光，我們的總裁和副總裁出面向媒體解釋，我們發(fā)表聲明稱自己遭到了攻擊，但我們無(wú)法提供更多信息，因?yàn)槲覀冏约阂膊磺宄闆r。我們知道沒(méi)有發(fā)生大規(guī)模數(shù)據(jù)泄露，但我們不知道攻擊者在我們的系統(tǒng)中潛伏了多久，我們只知道他們破壞了我們的系統(tǒng)并加密了數(shù)據(jù)。事實(shí)上，我們花了幾個(gè)月的時(shí)間才確認(rèn)沒(méi)有數(shù)據(jù)被竊取。

當(dāng)然，溝通部分必然是一大挑戰(zhàn)……

我并沒(méi)有完全意識(shí)到這一事件的嚴(yán)重性。此外，這一事件不僅要報(bào)告給西班牙監(jiān)管機(jī)構(gòu)，還要報(bào)告給23個(gè)不同國(guó)家的23個(gè)監(jiān)管機(jī)構(gòu)，并且必須不斷向他們通報(bào)情況。我們還必須與Mapfre合作伙伴公司的安全管理人員——以及這些公司內(nèi)部各個(gè)層級(jí)的人員——以及與客戶保持不斷溝通。能夠在公司陷入混亂時(shí)保持信息一致，是我們的成功之一。

另一方面，由于這種透明度和溝通，全世界都知道我們存在漏洞，當(dāng)然，那一周我們?cè)馐芰吮姸嘣噲D發(fā)起的攻擊。舉個(gè)例子：8月15日，我為此感到非常自豪，沒(méi)有一位Mapfre客戶得不到服務(wù)，盡管從邏輯上講，服務(wù)質(zhì)量無(wú)法達(dá)到平常的標(biāo)準(zhǔn)——不可避免地出現(xiàn)了更多延誤等——所以我們?cè)谒麄兝m(xù)保時(shí)提供了降價(jià)優(yōu)惠，然而，許多客戶收到了一條帶有虛假鏈接的手機(jī)短信，試圖欺騙他們。

你們是否查出了網(wǎng)絡(luò)攻擊背后的黑手?

是烏克蘭、俄羅斯或白俄羅斯的團(tuán)體，它們是眾多此類團(tuán)體中的幾個(gè)。通常，其中幾個(gè)團(tuán)體協(xié)同工作，每個(gè)團(tuán)體負(fù)責(zé)網(wǎng)絡(luò)攻擊的一個(gè)方面，直到最后的勒索。由于我們決定切斷所有通信和互聯(lián)網(wǎng)，他們無(wú)法繼續(xù)攻擊。其中一個(gè)團(tuán)體甚至獲得了特權(quán)用戶憑據(jù)，這迫使我們?cè)谑录l(fā)生后數(shù)月內(nèi)，對(duì)互聯(lián)網(wǎng)訪問(wèn)和遠(yuǎn)程工作實(shí)施了非常嚴(yán)格的限制條件。

這一事件是否標(biāo)志著Mapfre安全政策的轉(zhuǎn)折點(diǎn)?

如果我們能夠幸存下來(lái)，那是因?yàn)槲覀冎耙呀?jīng)做了很多工作，而且我們已經(jīng)做好了準(zhǔn)備，但這一事件強(qiáng)化了一些我們雖然有所考慮但并未深入理解的方面，比如溝通的重要性，這是我們吸取的主要教訓(xùn)之一，還有基線的一致性，即所有國(guó)家都有相同的安全要求，以及對(duì)日益復(fù)雜的攻擊的監(jiān)控和響應(yīng)能力的顯著提升。

公司目前是否正在遭受大量攻擊?

我們所面臨的威脅狀況與國(guó)土安全部、國(guó)家密碼學(xué)中心(NCC)甚至世界經(jīng)濟(jì)論壇的任何報(bào)告所述一致：網(wǎng)絡(luò)威脅持續(xù)增長(zhǎng)。這是一場(chǎng)永無(wú)止境的競(jìng)賽，其解決方案與目前企業(yè)大幅增加安全投資的做法不同。從長(zhǎng)遠(yuǎn)來(lái)看，這是不可持續(xù)的，因?yàn)槲覀兠鎸?duì)的是準(zhǔn)國(guó)家機(jī)構(gòu)，甚至可以說(shuō)是國(guó)家機(jī)構(gòu)。企業(yè)還必須依靠國(guó)家的防御。必須改變這種模式，這需要國(guó)家直接干預(yù)網(wǎng)絡(luò)的控制和安全，以及大型科技公司承擔(dān)責(zé)任，其中許多公司在其軟件方面處于壟斷地位，為此他們不斷發(fā)布安全更新，而理論上這些軟件本應(yīng)是安全的。是的，軟件開發(fā)商、網(wǎng)絡(luò)公司以及政府都有責(zé)任。

Mapfre在網(wǎng)絡(luò)安全方面的投資是多少?

我們?cè)诒拘袠I(yè)內(nèi)的安全投資中處于上游平均水平。此外，疫情帶來(lái)的一個(gè)好處是，沒(méi)有人再討論網(wǎng)絡(luò)安全預(yù)算了。在Mapfre，當(dāng)然，人們對(duì)安全的重要性有著高度的認(rèn)識(shí)，這是至關(guān)重要的，因?yàn)檫@不僅僅關(guān)乎金錢。

在選擇安全供應(yīng)商時(shí)，是否對(duì)使用來(lái)自中國(guó)或俄羅斯等某些國(guó)家制造商的技術(shù)存在限制?

這些都是需要考慮的問(wèn)題。如果大多數(shù)攻擊來(lái)自某些地區(qū)和團(tuán)伙，那么用來(lái)自某個(gè)特定來(lái)源的系統(tǒng)來(lái)危害你的網(wǎng)絡(luò)會(huì)帶來(lái)后果。我們有一個(gè)流程，從供應(yīng)商審批開始，然后對(duì)倡議進(jìn)行風(fēng)險(xiǎn)分析。此外，我們還考慮了歐盟和我們國(guó)家特別發(fā)出的建議，我們以CCN批準(zhǔn)的產(chǎn)品為指導(dǎo)。

另一個(gè)挑戰(zhàn)是接受來(lái)自歐洲的所有法規(guī)，如《數(shù)字業(yè)務(wù)韌性法案》(DORA)。

是的，作為一家在歐盟許多國(guó)家都有業(yè)務(wù)且規(guī)模龐大(保費(fèi)超過(guò)300億歐元)的歐洲保險(xiǎn)集團(tuán)，我們受到監(jiān)管機(jī)構(gòu)的重點(diǎn)關(guān)注，必須適應(yīng)這種復(fù)雜的局面。我們的目標(biāo)當(dāng)然是遵守法規(guī)。

CIO和CISO之間的合作至關(guān)重要。你與公司的CIO關(guān)系如何?

我很幸運(yùn)能與像Vanessa Escrivá這樣出色的CIO共事，我和她建立了良好的專業(yè)關(guān)系。我們的努力朝著同一個(gè)目標(biāo)邁進(jìn)：為Mapfre提供最可持續(xù)和最安全的系統(tǒng)，盡管我們的職責(zé)不同，她的職責(zé)是提供服務(wù)，而我的職責(zé)是確保服務(wù)安全進(jìn)行。我們的關(guān)系是密切而永久的合作，盡管我們?cè)讵?dú)立領(lǐng)域工作——受同一個(gè)老板領(lǐng)導(dǎo)——遵循職責(zé)分離的原則，這是推薦的做法。

你離開軍隊(duì)進(jìn)入私營(yíng)部門。你如何評(píng)估自己職業(yè)生涯的這一階段?

的確，我是一名休假中的步兵中尉。我非常珍視在私營(yíng)部門的這些年，這是一段讓我成長(zhǎng)的經(jīng)歷，現(xiàn)在我比以前更專業(yè)、更豐富了。另一方面，我認(rèn)為我已經(jīng)成功地將自己在軍隊(duì)中培養(yǎng)的在危機(jī)情況下不斷作戰(zhàn)的準(zhǔn)備融入到了工作中，這非常有用，因?yàn)槿缃竦墓驹谟谰眯缘奈C(jī)環(huán)境中運(yùn)營(yíng)，在這種情況下，安全不僅是技術(shù)問(wèn)題，更是治理問(wèn)題，而安全負(fù)責(zé)人給公司帶來(lái)的主要價(jià)值是使它們具有韌性。