大难临头:电脑黑客入侵 稳住阵脚有几招

Cartoon of Tony the IT admin receiving an email from a hacker
Image caption 黑客进门了。

面对日益频繁、手段日益高超的网络黑客攻击,普通用户和企业机构网管在不断更新防毒知识和软件,网络安全公司也在不断提升防御技能水平。虽然造成的伤害和损失实实在在,毫不虚拟,但网络黑客袭击攻防战发生在常人看不见的战线,对于这种虚拟空间的隔空搏斗具体过程如何,大部分人没有概念。

BBC获准旁听了网络安全公司Forcepoint的一次模拟实战演练......

场景设置

零售眼睛店Blink Wink公司总部遭钓鱼式电邮袭击。邮件貌似正常,公司员工未起疑心,点击了邮件里的恶意链接。那是二个月前。现在,星期二,定时炸弹爆炸了。

星期二上午 8:30

Blink Wink 技术部门IT管理员托尼·刘易斯像往常一样到公司上班,第一件事是清理公司电邮帐户收件箱里的垃圾邮件和广告邮件。突然,他的视线停在一封邮件上,胃里一阵痉挛。

邮件里列出了某人姓名,信用卡信息和电邮地址,下面是一行字:“我还有更多这类东西。我们很快会跟你们联系,告诉你们我们要什么。”

托尼真心希望这只是个恶作剧,但也不敢掉以轻心,当即拿起电话通知公司安全部门负责人 道格拉斯·休斯。电话线那头,道格拉斯很不高兴,因为他正在纽约休假,当地时间是凌晨3:30。

他嘟哝说:“你可别涮我。”托尼把那封电邮转发过去。

“这张信用卡核实过吗? ”道格拉斯的声音睡意全无,明显紧张起来。“这人是我们的客户吗?”

“我还不清楚。”

“那,我们什么时候收到这个的?”

“嗯......看来邮件是昨天收到的,我下班后不久,所以我今天早上才看到。”

“也就是说已经过去12个小时了?”

“嗯,是的。”托尼的声音怯生生。

星期二下午 13:30

托尼通知道格拉斯:“我们收到了第二封邮件。他们索要赎金15000英镑,要Litecoin密码货币支付。英国夏令时今天晚上22:00前必须付赎金,否则他们就把我们的客户资料全部删除。”

“什么?”道格拉斯大叫,“我还以为他们只拿到一个人的资料。”

“嗯,不是这样。他们说他们掌握了所有客户的资料。”

道格拉斯一身冷汗,立刻给公司律师格雷丝·博尔顿打电话求助。她的耳机出了故障,线路也不好,声音时断时续。

她说:“很明显,这会构成泄露行为。因此,不要对那封邮件做出回应。我需要查一查现有的法律条文,以便对我们现在的处境心中有数。”

道格拉斯问:“报警呢?或者报告欧盟信息专员?还是通用数据保护规范(GDPR)办公室?这事我们该向谁通报啊?”他在纽约的浪漫假日显然泡汤了。

Image caption 勒索赎金,付还是不付?

星期二下午 15:30

事态开始失控。黑客在一个公开的文字和信息源分享网站上公布了Blink Wink公司一批客户的姓名和信用卡号码。

道格拉斯现在已经核实了这些数据的真实性。

托尼问:“我们把网站关闭行吗?那样可以控制风险。”

格雷丝插嘴:“等等,在那之前我们先得通知谁?我们的数据泄露政策怎么规定的?”

道格拉斯:“我以为那是法律部门管的事。”

格雷丝:“你不是数据安全保护负责人吗?”

“不对,我不是......”

“天哪,难道是我?“道格拉斯绝望地喊道。“不管怎么说,我们假如撤网,只会把注意力全部吸引到我们自己身上来,对吗?我不敢确定这是正确的做法。“

格雷丝:”我也不确定。“

Blink Wink公司公关部负责人,桑德拉·埃利斯也加入了电话讨论。

她语气肯定地说:“情况很不妙。我们没有保护好客户的私人信息数据。我们会为此挨揍的。”

她提醒大家,公司眼下正在做隐形眼镜“买一送一”促销。

“我们此时此刻正在设法吸引大家到这个网站来。他们的信息也被盗了吗?”

道格拉斯:“很有可能。我们必须关闭网站,至少部分关闭。然后,还得决定要不要付赎金。”

Image caption 事态貌似越来越糟糕

星期二下午 17:00

桑德拉·埃利斯起草了一份公开声明,但建议等媒体追问时再发布。

她说:“我们就说出了个事故,然后随机应变。”

道格拉斯:“不是事故,是信息泄露。”

格雷丝:“不行,不能用‘信息泄露’这个词,至少现在还不能用。”她现在考虑的是法律方面的影响。

托尼突然闯进电话会议:“我们找到一些病毒软件!我们看到一封被自动送进消毒邮箱的邮件,还有附件。我们还检查了,估计就是它。”

道格拉斯:“你没点开它吧?”他觉得事情越来越糟糕。

“嗯......我是想那那可能会加快进展......”

道格拉斯骂了句粗话,退出电话会,去吩咐保安技术员检查是否造成了更多损害。

格雷丝把话题转到如何通知信息专员办公室。

她说:“我们可以通过电话或者在网上通报。但我们得说明采取了什么措施来化解问题。”

托尼:“本来我们去年就要装最新的黑客袭击监测软件,但管那事的人走了,还没找到顶替他的。所以,这事儿就搁一边了。”

格雷丝吼道:“这事我们不能告诉信息专员办公室。我们要是无法展示自己有足够的控制机制,那就麻烦了。网络保险公司那些人可能会拒绝付保险赔偿。”

过了一会儿,道格拉斯说出了真相,这次钓鱼式黑客攻击是一次模拟真实事件的演练。不过,他透露说,二个月前确实发生过这样的事,有一封钓鱼邮件,链接到一个模仿公司云服务供应商的登录页面。

他说:“他们就是这样进来的。”

“从现在开始,我们的工作要改进。这种事还会发生,而且只会越来越严重。”

图片版权 Getty Images
Image caption 如果你反应迟钝,黑客就占了上风,可以主导事态。

应该怎么做?

模拟演习结束。总结教训,虚构的Blink Wink公司能怎么提高警惕、提升网络安全防卫呢?

Forcepoint首席科学家理查德·福特说:“反应迟缓使Blink Wink处于劣势。遇到这种情况得迅速行动,否则对方就控制了事态进展

“对数据泄露方面的法律规定不熟悉,也使这家公司防守软弱。很明显,他们没有制订针对数据泄露的政策,职责不清,也不知道该如何应对。”

理查德说,这家公司本来应该做到的包括:

  • 制订一份数据泄露应对计划,明确列出行动的具体步骤;
  • 员工按计划模拟演练;
  • 明确各人的职责,遇到数据泄露情况时能够各司其职;
  • 经常更新和重发这份计划,确保高层管理人员熟悉计划;
  • 通知第三方和供应商;
  • 收集证据,以便向信息专员办公室陈述事件的处理过程;
  • 通知公司的网络保险商寻求建议和帮助;
  • 拟定客户声明,说明公司将如何帮助客户处理相关损害;
  • 拒付勒索赎金——付了钱也未必能确保数据安然无恙。

网络专家特洛伊·亨特建议网络黑客攻击受害公司采取下列行动:

  • 确定勒索来自何方/何人;
  • 隔离中毒设备(下线);
  • 评估多少电脑中毒;
  • 通过备份恢复丢失的数据;
  • 通知客户他们的信息失窃并被泄露;
  • 制订计划,确保将来不再发生此类事件。

更多有关此项报道的内容