丹麦运动和运输巨头AP Moller-Maersk的首席技术和信息官表示,网络威胁景观从根本上发生了从根本上改变了,这是一个非常真正的国家赞助活动,据丹麦运会和运输巨头APMOLLER-MAERSK表示,这是一个20%的人世界的GDP。
这是2017年第二季度的Notpetya破坏性网络攻击的关键学习之一,该公司在伦敦InfoSecurity Europe Of InfoSecurity Europe的参与者中占据了350亿美元。
“公司委员会和审计委员会需要了解这的东西是真实的,”银行说。“没有明确旨在破坏数据处理能力的”不妥。这不是剥夺您数据的勒索软件。它存在摧毁你处理它的能力。“
银行表示,这种恶意软件是国家州网络攻击日益增长的趋势的一部分。“2016年,美国国防部录得15个国家袭击事件,但2017年,该数字达到了180年,他们已经录得超过今年180年以上。这是重要的原因是,涉及的恶意软件类型比犯罪企业使用的东西巨大损坏。“
银行表示,关于国家攻击的另一个要点是,银行的攻击是它们通常非常有效地完成他们的设计。 “根据NSA [美国国家安全机构]的董事,在七年中,他一直在工作,他从未推出过攻击尚未工作过。
“但是,对于中国人,俄罗斯人和其他人来说,这一假设是真实的,当一个国家针对一个组织时,它是100%的渗透率,所以组织不能认为外围保障是有效的保护手段。”
虽然组织仍需要围栏防御,以避免业余黑客和低级网络罪犯,同时需要一些智慧,周边的智慧旨在解决公司网络中正在发生的事情,银行表示。“机会是,他们已经进入了。”
因此,第二个关键学习是,预防不可能成为一个有效的战略,银行,补充说:“自动检测和响应是关键。”
他说,马尔斯克实施了自动检测和回应。“如果我们看到网络中的一些可疑的事情,我们不只是旗帜 - 我们停止它。然后与受影响的设备的所有者接触,了解它们为什么已从网络断开连接。“
银行通过Interpetya Variant Bad Rabbit的攻击,当Notpetya Variant Badbit的攻击发起时,这项方法的有效性是2018年11月的攻击。
“但他是我们网络中唯一受影响的设备。虽然情景与NotPetya没有相同,但我认为这种形式的自动化保护是非常有价值的。“
银行的第三个主要学习是标准的在线备份不再是一种安全的方法。近年来,组织近年来从磁带备份到在线备份,他说:“但是如果它被附加到你的网络,现在你必须假设它将被击中 - 因此,它不能是一个[安全]如果它在线,备份“。
银行表示,这通过在每周旋转的基础上断开在线备份来解决这一问题。“但在云世界中,这个问题尚未解决,因为虽然它相对容易地脱节,但你有问题重新连接,”他说。
“云服务提供商需要采取行动,找到一种制作基于云的在线备份的方法更安全的解决方案。”
他说,修补是必要的,但第四个关键学习是修补不足,他说。“人们通常询问的第一个问题是我们是否被修补过。我们被适当地修补了瓦桑克里的永恒蓝色漏洞利用,但这只能以一种方式辩护,即Notpetya能够蔓延。
“andpetya - 通过在乌克兰在乌克兰提交纳税申报表的Medoc软件中通过后门分发[这是Notpetya的真实目标] - 使用许多不同的方法来传播,这就是它如此有效的原因。
“如果它不能使用永恒的蓝色传播,它会尝试通过哈希凭证盗窃。原因这对我们来说这么重要是我们ran medoc的服务器是一个由于被移动到云的物理服务器。“
银行补充说:“在NotpetyA到达之前的一天,域管理员登录,执行了机器的完整清单,然后注销。但这意味着使用传递的第一个凭证被盗散列方法为王国提供了钥匙的恶意软件,使其能够水平和垂直传播。
“这意味着在七分钟内感染了55,000名客户和7,000台服务器,当时它基本上耗尽了感染的东西。”
在IT服务方面,NotPetyA严重损坏的MaEsk的动态主机配置协议(DHCP)和Active Directory服务,企业服务总线被销毁,并且控制云的vCenter损坏和不稳定。
在最终用户设备方面,已销毁了49,000台笔记本电脑,所有打印功能都被销毁,并且文件共享不可用。
所有Maersk的1,200个应用程序都无法进入,大约1,000人被摧毁,而6,200台服务器中的约3,500人被摧毁。
第五个重点学习说,银行,是特权访问管理非常重要。“当我在支付行业工作时,我们没有管理员,”他说。“公司的没有人常设管理员特权。这是按比力为基础完成的。员工必须提出更改控制请求,并获得管理权限。
“如果我们在麦克斯克在烟草袭击时遇到了这一点,我的猜测是我们将拥有400-500台机器,而不是55,000。所以这已经变得至关重要。我们在公司的许多部分中没有提升的特权,我们正在努力归零。“
第六次重点学习,银行表示,组织需要了解大型工业,业务连续性计划和危机管理计划可能需要宽的资金集中。
“这些计划很可能会专注于资产,因为他们在马德克,”他说。“但我们现在已经改变了。危机管理计划中的第一个问题是,手头的事件是以资产为中心的或全球,它曾经意味着“大”但现在真的意味着“全球”。
“这个问题的答案决定了我们是否使用金融服务型模型,它是行政级别,每隔四小时24小时即可打电话给整个业务发生的事情,或者是否是资产的决定 - 在这种情况下,您将其推到这些资产中的执行情况。如果我们在Notpetya之前采用这种方法,我们的回答将是一个很多幻想。“
在业务连续性计划方面,银行表示,保留服务连续性计划和服务恢复计划是很重要的。
“这迫使人们看着业务连续性假设没有它的能力,”他说。“在NotpetyA之前,这两者被合并,没有任何规定的采取行动,以便没有任何技术。我们没有计划全球销毁所有IT能力的计划。
“通过迫使业务连续性和服务恢复之间的拆分,您可以在开始服务恢复时开始说没有业务技术,这导致了更好的计划版本。”
银行表示,最终关键学习是开放性和透明度的价值。“决定开放,诚实地对待发生的事情是非常有益的,”他说。“尽管有挑战,我们的95%的容器准时达到了目的地,因为我们能够通过港口移动货物四周而没有任何清关。
“除了成为人们信任的全球品牌之外,我们还能做到这一点的原因是因为港口当局知道为什么我们不能这样做,并同意我们可以复古归档我们所搬迁的一切。如果我们对此没有开放,我们永远不会有那种合作水平。“
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。