西雅图公共图书馆战胜勒索软件，筑牢安全堤

本周，西雅图公共图书馆所有由技术支持的系统和服务均已恢复运行，大约三个月前，一次勒索软件攻击使该机构及其全市 27 个分馆部分瘫痪。网络安全专家对为防范未来的攻击所采取的一些措施表示赞赏。

在阵亡将士纪念日周末出现的网络安全漏洞，影响了员工和公众电脑的访问、在线目录与借阅系统、电子书和有声读物、馆内 Wi-Fi、图书馆网站等。

在恢复的过程中，SPL 逐步更新了已恢复的服务以及仍有待完成的工作。网络安全专家此前也参与讨论了为什么图书馆会成为攻击目标以及此类组织可以采取哪些措施来加强防御。

图书馆周二在一份声明中称，它正在努力对其针对此次攻击的响应进行评估，并将于今年晚些时候发布一份公开报告。但 SPL 确实向 GeekWire 透露了它为防止未来攻击而采取的一些措施。

“在攻击发生之前，加强我们系统的相关工作就已经展开了，但 IT 工作计划里的剩余项目在攻击之后加快了进度，”图书馆通信主管劳拉·金特里（Laura Gentry）说。“自阵亡将士纪念日那个周末起，图书馆加快了向SharePoint Online迁移的步伐，同时在员工系统上实施了多因素身份验证——这在三天内就完成了，而并非我们原计划的数周之久的过程。”

金特里表示，SPL 还加大了对近期为满足文件管理和通信需求而实施的基于云的微软工具的使用力度。IT 工作人员还借助了基于云的基础设施能力，并且停用了一些本地遗留服务，以在攻击后“重建得更好”。

据金特里所述，图书馆还重新对大约 1000 台计算机（为员工和公众服务）进行了映像，在全系统强制更新了密码，并强化了密码要求。

吉姆·阿尔科夫，西雅图一家网络安全初创公司 奥勒利亚 的首席执行官，称赞该图书馆实施多因素身份验证并迁移到基于云的服务，称这两项举措对恢复运营以及强化图书馆系统未来的发展至关重要。

虽然多因素身份验证显著增强了安全性，但阿尔科夫表示，只有全面部署并使用诸如 FIDO2 密钥和密码这类强大且抗网络钓鱼的方法，它才最为有效。

“预防勒索软件的另一个关键在于打补丁，”阿尔科夫说。“通过过渡到 SaaS 和云环境，SPL 有效地把关键服务器资产的补丁管理责任转交给了通常资源更充裕、更能保障补丁合规性的供应商。”他补充说，这减少了传统本地系统的攻击面，而传统本地系统可能是攻击者的常见目标。

苏尼尔·戈图穆卡拉，总部位于西雅图的网络安全初创公司 Averlon 的联合创始人和首席执行官，也称赞了为员工采取多因素身份验证这一举措。在 5 月的攻击发生后不久，他在接受 GeekWire 采访时就希望图书馆能制定这一措施。

“从云服务迁移方面来说，从微软迁移到‘重建得更好’……虽然这总体上是好的，但就防范未来的勒索软件攻击而言可能并不相关，”戈图穆卡拉周四通过电子邮件表示。“他们应该制定并实施一个定期测试的‘恢复和重建’计划，但他们没有提到。”

他说，准备工作的缺失可能解释了为什么图书馆从攻击中恢复花了这么长时间，但他提醒说，关于 SPL 在恢复过程中所花费时间的所有细节目前还不清楚。

阿尔科夫（Alkove）认为，定期测试、监控和维护图书馆的安全协议至关重要。其中一部分涉及解决围绕“过度配置”的长期挑战——这意味着仅提供用户所需的访问权限，既不多也不少。阿尔科夫表示，大多数组织都在竭力应对大量过度配置的用户访问权限，这为不良行为者创造了“一个巨大的攻击面”。而且，微软报告称，95%的访问权限未被使用。

阿尔科夫称，不同组织之间的恢复时间可能存在很大差异，但真正的恢复能力并非仅仅是让系统重新上线。

“SPL 事件，如同近期的Crowdstrike 事件一样，凸显了每个组织关注网络恢复能力的必要性，”阿尔科夫说。“这就是为什么业务连续性规划如此关键。组织必须不断更新和测试其恢复计划，以确保下次发生攻击时能够迅速有效地做出响应。”