安全总监Guillermo Llorente讨论了领导Mapfre这家西班牙跨国企业应对2020年网络攻击的经历,以及他从将这一事件转化为安全管理成功案例中所吸取的经验教训。
2020年夏天,保险公司Mapfre遭受了一次勒索软件攻击,影响了该公司在西班牙的数千台服务器和工作站。当时的情况复杂至极——正值疫情肆虐,又是在一个许多西班牙公民都在度假、对Mapfre的道路救援服务需求增加的假期前夕。
但公司成功地从这次事件中变得更加强大。西班牙数据保护局后来也强调,这家跨国公司采取了适当的安全措施来应对网络攻击,使其能够积极行动,将攻击的影响降到最低,该局还赞扬了保险公司能够透明地沟通这一情况。
Mapfre的CSO兼危机管理负责人Guillermo Llorente不仅亲身经历了这一情况,还领导了保险公司的应对工作。他向CSO Spain讲述了自己吸取的教训,以及Mapfre是如何将一次勒索软件攻击转变为安全管理成功案例的。
让我们回到2020年夏天。Mapfre是如何经历公司有史以来最大规模的网络攻击的?事件发生后最初的那段时间是怎样的?你又做出了哪些最初的决策?
Llorente:像这类事件中通常发生的那样,突然间灯熄灭了,而CISO或危机管理人员必须让灯重新亮起。
如今,我们对那天发生的事情有了更多的了解。例如,网络攻击在一年前就开始酝酿,当时有人购买了与Mapfre类似的互联网域名,意图发动勒索软件攻击,而这一切发生在2020年8月14日,也就是疫情肆虐那年,又正值西班牙和世界上许多国家的假期——而且还是在周末的晚上9点。因此,那一天是Mapfre历史上办公室人数最少的一天,而次日,即8月15日,是西班牙自驾游出行人数最多的一天,对于我们这样一家当时拥有20%市场份额的领先车险公司来说,这是一个重要日子,有着众多潜在客户需要关注。
这不是某个车库里的家伙发起的攻击,而是一个行业发起的,这是一次经过长期准备且精心设计的攻击,正如我们在法务分析中所了解到的,攻击者反复引爆病毒,而我们的杀毒软件阻止了这些病毒,直到其中一个病毒突破了安全屏障。
尽管攻击时机如此复杂,但他们还是成功了。他们是如何做到的?
首先,是因为我们有些幸运,其次,是因为我们有所准备,因为得益于疫情形势,我们拥有一个运转良好的危机管理系统。从这个意义上说,虽然没有任何业务连续性和危机管理计划能够考虑到所有可能的情况——比如在疫情期间遭受大规模网络攻击,迫使大规模远程办公——但那些没有这样计划的人就遭殃了……第三,是因为我们团队的能力,第四,是因为团队具备高效工作并吸纳公司后续提供的增援的能力。
在遭受此类攻击时,公司会面临是否支付赎金的抉择,但在Mapfre的情况下……
我们决定不支付,如果你选择这样做,就别无选择,只能透明处理,而我们也正是这么做的。我们之所以能做出这个决定,是因为我们有安全的备份,并且可以在安全的空间里建立副本以继续提供服务。老实说,我必须说,我并不喜欢透明这个选项。那天晚上我已经焦头烂额了,不想再添上沟通的问题。
做出这样的决定需要付出巨大的代价,首先是媒体曝光,我们的总裁和副总裁出面向媒体解释,我们发表声明称自己遭到了攻击,但我们无法提供更多信息,因为我们自己也不清楚情况。我们知道没有发生大规模数据泄露,但我们不知道攻击者在我们的系统中潜伏了多久,我们只知道他们破坏了我们的系统并加密了数据。事实上,我们花了几个月的时间才确认没有数据被窃取。
当然,沟通部分必然是一大挑战……
我并没有完全意识到这一事件的严重性。此外,这一事件不仅要报告给西班牙监管机构,还要报告给23个不同国家的23个监管机构,并且必须不断向他们通报情况。我们还必须与Mapfre合作伙伴公司的安全管理人员——以及这些公司内部各个层级的人员——以及与客户保持不断沟通。能够在公司陷入混乱时保持信息一致,是我们的成功之一。
另一方面,由于这种透明度和沟通,全世界都知道我们存在漏洞,当然,那一周我们遭受了众多试图发起的攻击。举个例子:8月15日,我为此感到非常自豪,没有一位Mapfre客户得不到服务,尽管从逻辑上讲,服务质量无法达到平常的标准——不可避免地出现了更多延误等——所以我们在他们续保时提供了降价优惠,然而,许多客户收到了一条带有虚假链接的手机短信,试图欺骗他们。
你们是否查出了网络攻击背后的黑手?
是乌克兰、俄罗斯或白俄罗斯的团体,它们是众多此类团体中的几个。通常,其中几个团体协同工作,每个团体负责网络攻击的一个方面,直到最后的勒索。由于我们决定切断所有通信和互联网,他们无法继续攻击。其中一个团体甚至获得了特权用户凭据,这迫使我们在事件发生后数月内,对互联网访问和远程工作实施了非常严格的限制条件。
这一事件是否标志着Mapfre安全政策的转折点?
如果我们能够幸存下来,那是因为我们之前已经做了很多工作,而且我们已经做好了准备,但这一事件强化了一些我们虽然有所考虑但并未深入理解的方面,比如沟通的重要性,这是我们吸取的主要教训之一,还有基线的一致性,即所有国家都有相同的安全要求,以及对日益复杂的攻击的监控和响应能力的显著提升。
公司目前是否正在遭受大量攻击?
我们所面临的威胁状况与国土安全部、国家密码学中心(NCC)甚至世界经济论坛的任何报告所述一致:网络威胁持续增长。这是一场永无止境的竞赛,其解决方案与目前企业大幅增加安全投资的做法不同。从长远来看,这是不可持续的,因为我们面对的是准国家机构,甚至可以说是国家机构。企业还必须依靠国家的防御。必须改变这种模式,这需要国家直接干预网络的控制和安全,以及大型科技公司承担责任,其中许多公司在其软件方面处于垄断地位,为此他们不断发布安全更新,而理论上这些软件本应是安全的。是的,软件开发商、网络公司以及政府都有责任。
Mapfre在网络安全方面的投资是多少?
我们在本行业内的安全投资中处于上游平均水平。此外,疫情带来的一个好处是,没有人再讨论网络安全预算了。在Mapfre,当然,人们对安全的重要性有着高度的认识,这是至关重要的,因为这不仅仅关乎金钱。
在选择安全供应商时,是否对使用来自中国或俄罗斯等某些国家制造商的技术存在限制?
这些都是需要考虑的问题。如果大多数攻击来自某些地区和团伙,那么用来自某个特定来源的系统来危害你的网络会带来后果。我们有一个流程,从供应商审批开始,然后对倡议进行风险分析。此外,我们还考虑了欧盟和我们国家特别发出的建议,我们以CCN批准的产品为指导。
另一个挑战是接受来自欧洲的所有法规,如《数字业务韧性法案》(DORA)。
是的,作为一家在欧盟许多国家都有业务且规模庞大(保费超过300亿欧元)的欧洲保险集团,我们受到监管机构的重点关注,必须适应这种复杂的局面。我们的目标当然是遵守法规。
CIO和CISO之间的合作至关重要。你与公司的CIO关系如何?
我很幸运能与像Vanessa Escrivá这样出色的CIO共事,我和她建立了良好的专业关系。我们的努力朝着同一个目标迈进:为Mapfre提供最可持续和最安全的系统,尽管我们的职责不同,她的职责是提供服务,而我的职责是确保服务安全进行。我们的关系是密切而永久的合作,尽管我们在独立领域工作——受同一个老板领导——遵循职责分离的原则,这是推荐的做法。
你离开军队进入私营部门。你如何评估自己职业生涯的这一阶段?
的确,我是一名休假中的步兵中尉。我非常珍视在私营部门的这些年,这是一段让我成长的经历,现在我比以前更专业、更丰富了。另一方面,我认为我已经成功地将自己在军队中培养的在危机情况下不断作战的准备融入到了工作中,这非常有用,因为如今的公司在永久性的危机环境中运营,在这种情况下,安全不仅是技术问题,更是治理问题,而安全负责人给公司带来的主要价值是使它们具有韧性。
