西雅圖公共圖書館戰勝勒索軟件，築牢安全堤

本週，西雅圖公共圖書館所有由技術支持的系統和服務均已恢復運行，大約三個月前，一次勒索軟件攻擊使該機構及其全市 27 個分館部分癱瘓。網絡安全專家對爲防範未來的攻擊所採取的一些措施表示讚賞。

在陣亡將士紀念日週末出現的網絡安全漏洞，影響了員工和公衆電腦的訪問、在線目錄與借閱系統、電子書和有聲讀物、館內 Wi-Fi、圖書館網站等。

在恢復的過程中，SPL 逐步更新了已恢復的服務以及仍有待完成的工作。網絡安全專家此前也參與討論了爲什麼圖書館會成爲攻擊目標以及此類組織可以採取哪些措施來加強防禦。

圖書館週二在一份聲明中稱，它正在努力對其針對此次攻擊的響應進行評估，並將於今年晚些時候發佈一份公開報告。但 SPL 確實向 GeekWire 透露了它爲防止未來攻擊而採取的一些措施。

“在攻擊發生之前，加強我們系統的相關工作就已經展開了，但 IT 工作計劃裡的剩餘項目在攻擊之後加快了進度，”圖書館通信主管勞拉·金特里（Laura Gentry）說。“自陣亡將士紀念日那個週末起，圖書館加快了向SharePoint Online遷移的步伐，同時在員工系統上實施了多因素身份驗證——這在三天內就完成了，而並非我們原計劃的數週之久的過程。”

金特里表示，SPL 還加大了對近期爲滿足文件管理和通信需求而實施的基於雲的微軟工具的使用力度。IT 工作人員還藉助了基於雲的基礎設施能力，並且停用了一些本地遺留服務，以在攻擊後“重建得更好”。

據金特里所述，圖書館還重新對大約 1000 臺計算機（爲員工和公衆服務）進行了映像，在全系統強制更新了密碼，並強化了密碼要求。

吉姆·阿爾科夫，西雅圖一家網絡安全初創公司 奧勒利亞 的首席執行官，稱讚該圖書館實施多因素身份驗證並遷移到基於雲的服務，稱這兩項舉措對恢復運營以及強化圖書館系統未來的發展至關重要。

雖然多因素身份驗證顯著增強了安全性，但阿爾科夫表示，只有全面部署並使用諸如 FIDO2 密鑰和密碼這類強大且抗網絡釣魚的方法，它才最爲有效。

“預防勒索軟件的另一個關鍵在於打補丁，”阿爾科夫說。“通過過渡到 SaaS 和雲環境，SPL 有效地把關鍵服務器資產的補丁管理責任轉交給了通常資源更充裕、更能保障補丁合規性的供應商。”他補充說，這減少了傳統本地系統的攻擊面，而傳統本地系統可能是攻擊者的常見目標。

蘇尼爾·戈圖穆卡拉，總部位於西雅圖的網絡安全初創公司 Averlon 的聯合創始人和首席執行官，也稱讚了爲員工採取多因素身份驗證這一舉措。在 5 月的攻擊發生後不久，他在接受 GeekWire 採訪時就希望圖書館能制定這一措施。

“從雲服務遷移方面來說，從微軟遷移到‘重建得更好’……雖然這總體上是好的，但就防範未來的勒索軟件攻擊而言可能並不相關，”戈圖穆卡拉週四通過電子郵件表示。“他們應該制定並實施一個定期測試的‘恢復和重建’計劃，但他們沒有提到。”

他說，準備工作的缺失可能解釋了爲什麼圖書館從攻擊中恢復花了這麼長時間，但他提醒說，關於 SPL 在恢復過程中所花費時間的所有細節目前還不清楚。

阿爾科夫（Alkove）認爲，定期測試、監控和維護圖書館的安全協議至關重要。其中一部分涉及解決圍繞“過度配置”的長期挑戰——這意味着僅提供用戶所需的訪問權限，既不多也不少。阿爾科夫表示，大多數組織都在竭力應對大量過度配置的用戶訪問權限，這爲不良行爲者創造了“一個巨大的攻擊面”。而且，微軟報告稱，95%的訪問權限未被使用。

阿爾科夫稱，不同組織之間的恢復時間可能存在很大差異，但真正的恢復能力並非僅僅是讓系統重新上線。

“SPL 事件，如同近期的Crowdstrike 事件一樣，凸顯了每個組織關注網絡恢復能力的必要性，”阿爾科夫說。“這就是爲什麼業務連續性規劃如此關鍵。組織必須不斷更新和測試其恢復計劃，以確保下次發生攻擊時能夠迅速有效地做出響應。”