安全總監(jiān)Guillermo Llorente討論了領(lǐng)導(dǎo)Mapfre這家西班牙跨國企業(yè)應(yīng)對2020年網(wǎng)絡(luò)攻擊的經(jīng)歷，以及他從將這一事件轉(zhuǎn)化為安全管理成功案例中所吸取的經(jīng)驗教訓(xùn)。

2020年夏天，保險公司Mapfre遭受了一次勒索軟件攻擊，影響了該公司在西班牙的數(shù)千臺服務(wù)器和工作站。當(dāng)時的情況復(fù)雜至極——正值疫情肆虐，又是在一個許多西班牙公民都在度假、對Mapfre的道路救援服務(wù)需求增加的假期前夕。

但公司成功地從這次事件中變得更加強(qiáng)大。西班牙數(shù)據(jù)保護(hù)局后來也強(qiáng)調(diào)，這家跨國公司采取了適當(dāng)?shù)陌踩胧﹣響?yīng)對網(wǎng)絡(luò)攻擊，使其能夠積極行動，將攻擊的影響降到最低，該局還贊揚(yáng)了保險公司能夠透明地溝通這一情況。

Mapfre的CSO兼危機(jī)管理負(fù)責(zé)人Guillermo Llorente不僅親身經(jīng)歷了這一情況，還領(lǐng)導(dǎo)了保險公司的應(yīng)對工作。他向CSO Spain講述了自己吸取的教訓(xùn)，以及Mapfre是如何將一次勒索軟件攻擊轉(zhuǎn)變?yōu)榘踩芾沓晒Π咐摹?/p>

讓我們回到2020年夏天。Mapfre是如何經(jīng)歷公司有史以來最大規(guī)模的網(wǎng)絡(luò)攻擊的?事件發(fā)生后最初的那段時間是怎樣的?你又做出了哪些最初的決策?

Llorente：像這類事件中通常發(fā)生的那樣，突然間燈熄滅了，而CISO或危機(jī)管理人員必須讓燈重新亮起。

如今，我們對那天發(fā)生的事情有了更多的了解。例如，網(wǎng)絡(luò)攻擊在一年前就開始醞釀，當(dāng)時有人購買了與Mapfre類似的互聯(lián)網(wǎng)域名，意圖發(fā)動勒索軟件攻擊，而這一切發(fā)生在2020年8月14日，也就是疫情肆虐那年，又正值西班牙和世界上許多國家的假期——而且還是在周末的晚上9點。因此，那一天是Mapfre歷史上辦公室人數(shù)最少的一天，而次日，即8月15日，是西班牙自駕游出行人數(shù)最多的一天，對于我們這樣一家當(dāng)時擁有20%市場份額的領(lǐng)先車險公司來說，這是一個重要日子，有著眾多潛在客戶需要關(guān)注。

這不是某個車庫里的家伙發(fā)起的攻擊，而是一個行業(yè)發(fā)起的，這是一次經(jīng)過長期準(zhǔn)備且精心設(shè)計的攻擊，正如我們在法務(wù)分析中所了解到的，攻擊者反復(fù)引爆病毒，而我們的殺毒軟件阻止了這些病毒，直到其中一個病毒突破了安全屏障。

盡管攻擊時機(jī)如此復(fù)雜，但他們還是成功了。他們是如何做到的?

首先，是因為我們有些幸運，其次，是因為我們有所準(zhǔn)備，因為得益于疫情形勢，我們擁有一個運轉(zhuǎn)良好的危機(jī)管理系統(tǒng)。從這個意義上說，雖然沒有任何業(yè)務(wù)連續(xù)性和危機(jī)管理計劃能夠考慮到所有可能的情況——比如在疫情期間遭受大規(guī)模網(wǎng)絡(luò)攻擊，迫使大規(guī)模遠(yuǎn)程辦公——但那些沒有這樣計劃的人就遭殃了……第三，是因為我們團(tuán)隊的能力，第四，是因為團(tuán)隊具備高效工作并吸納公司后續(xù)提供的增援的能力。

在遭受此類攻擊時，公司會面臨是否支付贖金的抉擇，但在Mapfre的情況下……

我們決定不支付，如果你選擇這樣做，就別無選擇，只能透明處理，而我們也正是這么做的。我們之所以能做出這個決定，是因為我們有安全的備份，并且可以在安全的空間里建立副本以繼續(xù)提供服務(wù)。老實說，我必須說，我并不喜歡透明這個選項。那天晚上我已經(jīng)焦頭爛額了，不想再添上溝通的問題。

做出這樣的決定需要付出巨大的代價，首先是媒體曝光，我們的總裁和副總裁出面向媒體解釋，我們發(fā)表聲明稱自己遭到了攻擊，但我們無法提供更多信息，因為我們自己也不清楚情況。我們知道沒有發(fā)生大規(guī)模數(shù)據(jù)泄露，但我們不知道攻擊者在我們的系統(tǒng)中潛伏了多久，我們只知道他們破壞了我們的系統(tǒng)并加密了數(shù)據(jù)。事實上，我們花了幾個月的時間才確認(rèn)沒有數(shù)據(jù)被竊取。

當(dāng)然，溝通部分必然是一大挑戰(zhàn)……

我并沒有完全意識到這一事件的嚴(yán)重性。此外，這一事件不僅要報告給西班牙監(jiān)管機(jī)構(gòu)，還要報告給23個不同國家的23個監(jiān)管機(jī)構(gòu)，并且必須不斷向他們通報情況。我們還必須與Mapfre合作伙伴公司的安全管理人員——以及這些公司內(nèi)部各個層級的人員——以及與客戶保持不斷溝通。能夠在公司陷入混亂時保持信息一致，是我們的成功之一。

另一方面，由于這種透明度和溝通，全世界都知道我們存在漏洞，當(dāng)然，那一周我們遭受了眾多試圖發(fā)起的攻擊。舉個例子：8月15日，我為此感到非常自豪，沒有一位Mapfre客戶得不到服務(wù)，盡管從邏輯上講，服務(wù)質(zhì)量無法達(dá)到平常的標(biāo)準(zhǔn)——不可避免地出現(xiàn)了更多延誤等——所以我們在他們續(xù)保時提供了降價優(yōu)惠，然而，許多客戶收到了一條帶有虛假鏈接的手機(jī)短信，試圖欺騙他們。

你們是否查出了網(wǎng)絡(luò)攻擊背后的黑手?

是烏克蘭、俄羅斯或白俄羅斯的團(tuán)體，它們是眾多此類團(tuán)體中的幾個。通常，其中幾個團(tuán)體協(xié)同工作，每個團(tuán)體負(fù)責(zé)網(wǎng)絡(luò)攻擊的一個方面，直到最后的勒索。由于我們決定切斷所有通信和互聯(lián)網(wǎng)，他們無法繼續(xù)攻擊。其中一個團(tuán)體甚至獲得了特權(quán)用戶憑據(jù)，這迫使我們在事件發(fā)生后數(shù)月內(nèi)，對互聯(lián)網(wǎng)訪問和遠(yuǎn)程工作實施了非常嚴(yán)格的限制條件。

這一事件是否標(biāo)志著Mapfre安全政策的轉(zhuǎn)折點?

如果我們能夠幸存下來，那是因為我們之前已經(jīng)做了很多工作，而且我們已經(jīng)做好了準(zhǔn)備，但這一事件強(qiáng)化了一些我們雖然有所考慮但并未深入理解的方面，比如溝通的重要性，這是我們吸取的主要教訓(xùn)之一，還有基線的一致性，即所有國家都有相同的安全要求，以及對日益復(fù)雜的攻擊的監(jiān)控和響應(yīng)能力的顯著提升。

公司目前是否正在遭受大量攻擊?

我們所面臨的威脅狀況與國土安全部、國家密碼學(xué)中心(NCC)甚至世界經(jīng)濟(jì)論壇的任何報告所述一致：網(wǎng)絡(luò)威脅持續(xù)增長。這是一場永無止境的競賽，其解決方案與目前企業(yè)大幅增加安全投資的做法不同。從長遠(yuǎn)來看，這是不可持續(xù)的，因為我們面對的是準(zhǔn)國家機(jī)構(gòu)，甚至可以說是國家機(jī)構(gòu)。企業(yè)還必須依靠國家的防御。必須改變這種模式，這需要國家直接干預(yù)網(wǎng)絡(luò)的控制和安全，以及大型科技公司承擔(dān)責(zé)任，其中許多公司在其軟件方面處于壟斷地位，為此他們不斷發(fā)布安全更新，而理論上這些軟件本應(yīng)是安全的。是的，軟件開發(fā)商、網(wǎng)絡(luò)公司以及政府都有責(zé)任。

Mapfre在網(wǎng)絡(luò)安全方面的投資是多少?

我們在本行業(yè)內(nèi)的安全投資中處于上游平均水平。此外，疫情帶來的一個好處是，沒有人再討論網(wǎng)絡(luò)安全預(yù)算了。在Mapfre，當(dāng)然，人們對安全的重要性有著高度的認(rèn)識，這是至關(guān)重要的，因為這不僅僅關(guān)乎金錢。

在選擇安全供應(yīng)商時，是否對使用來自中國或俄羅斯等某些國家制造商的技術(shù)存在限制?

這些都是需要考慮的問題。如果大多數(shù)攻擊來自某些地區(qū)和團(tuán)伙，那么用來自某個特定來源的系統(tǒng)來危害你的網(wǎng)絡(luò)會帶來后果。我們有一個流程，從供應(yīng)商審批開始，然后對倡議進(jìn)行風(fēng)險分析。此外，我們還考慮了歐盟和我們國家特別發(fā)出的建議，我們以CCN批準(zhǔn)的產(chǎn)品為指導(dǎo)。

另一個挑戰(zhàn)是接受來自歐洲的所有法規(guī)，如《數(shù)字業(yè)務(wù)韌性法案》(DORA)。

是的，作為一家在歐盟許多國家都有業(yè)務(wù)且規(guī)模龐大(保費超過300億歐元)的歐洲保險集團(tuán)，我們受到監(jiān)管機(jī)構(gòu)的重點關(guān)注，必須適應(yīng)這種復(fù)雜的局面。我們的目標(biāo)當(dāng)然是遵守法規(guī)。

CIO和CISO之間的合作至關(guān)重要。你與公司的CIO關(guān)系如何?

我很幸運能與像Vanessa Escrivá這樣出色的CIO共事，我和她建立了良好的專業(yè)關(guān)系。我們的努力朝著同一個目標(biāo)邁進(jìn)：為Mapfre提供最可持續(xù)和最安全的系統(tǒng)，盡管我們的職責(zé)不同，她的職責(zé)是提供服務(wù)，而我的職責(zé)是確保服務(wù)安全進(jìn)行。我們的關(guān)系是密切而永久的合作，盡管我們在獨立領(lǐng)域工作——受同一個老板領(lǐng)導(dǎo)——遵循職責(zé)分離的原則，這是推薦的做法。

你離開軍隊進(jìn)入私營部門。你如何評估自己職業(yè)生涯的這一階段?

的確，我是一名休假中的步兵中尉。我非常珍視在私營部門的這些年，這是一段讓我成長的經(jīng)歷，現(xiàn)在我比以前更專業(yè)、更豐富了。另一方面，我認(rèn)為我已經(jīng)成功地將自己在軍隊中培養(yǎng)的在危機(jī)情況下不斷作戰(zhàn)的準(zhǔn)備融入到了工作中，這非常有用，因為如今的公司在永久性的危機(jī)環(huán)境中運營，在這種情況下，安全不僅是技術(shù)問題，更是治理問題，而安全負(fù)責(zé)人給公司帶來的主要價值是使它們具有韌性。