马士基，我和诺彼得亚

马士基是全球最大的综合航运和集装箱物流公司。我非常荣幸(没有双关语)成为他们的身份和访问管理SME，后来成为IAM服务的所有者，并在2017年广为人知的Not Petya恶意软件攻击事件的恢复和网络安全应对中发挥了作用。我于2019年3月离开马士基，按照惯例，我写了强制性的感谢和告别信。但总是有更多的东西要补充。一个要讲的故事。

确定这篇帖子的确切内容和格式一直很困难。目前还不清楚从哪里开始。对于具体的事件或涉及的人，有很多个人的焦虑，我觉得这对任何人都没有什么特别的好处。所以我试着把重点放在主要的时间线和课程上。所以这并不是全部。但我们在马士基的经历，或者至少是其中的重要因素，可能会发生在任何组织身上。事实上，它确实发生在所有类型的组织中，无时无刻不在发生，这就是我发表这篇文章的原因。

我想帮助保护其他人不犯同样的错误，因为外面似乎有很多失败主义的智慧；是的，你将不可避免地受到攻击。总有一天，一个人会熬过去，这是不可避免的。显然，你应该有一个可靠的应急计划，以防最坏的情况发生。但这并不是说，在第一种情况下，你不试图进行一场非常好的斗争来阻止这些袭击。仅仅因为你知道不好的演员会来，并不意味着当他们进来的时候，你就把前门敞开，给他们泡杯茶。你只要把门锁上就行了。继续使用家庭的类比；是的，有安全摄像头和巫师云连接的物联网设备，以及各种昂贵的措施和小工具，但许多组织仅仅在基本方面就失败了。把该死的门锁上。

如上所述，我最终希望这是一个积极的空间，可以进行建设性的讨论。确实发生了一些负面的事情，但我想把重点放在其他组织可以从中学到什么。因此，您可能是一名工程师，或者在运营中，您可能从事服务管理，您可能在SOC工作，您可能是CISO或供应商。我希望这是不可知论的，任何人都可以消费，并从中吸取教训。

如有任何意见，我将不胜感激。这是一件值得谈论的事情，如果你和我能通过讨论扩大我们的知识，那就太棒了。

这个故事跨越了我在马士基的时间，从2015年到2019年。就在我加入马士基之前，我将开始这个故事，从最初的几年进入Not Petya事件和立即的恢复工作，到接下来的18个月左右，在我最终离开之前，我们增加了控制和保护措施。最后，我将对我认为的主要教训做一个“总结”。

我完全意识到明天我会想出其他的事情，所以我把这贴了出来。另一则轶事，另一点要说明。但在某些阶段，你只需要叫停，让这些事情过去。

在我们开始之前，如果您想直接跳到课程，请跳到“学习内容”部分。否则，让我们开始…

我从2015年初开始为马士基工作。2014年底一个寒冷多雨的寒冬之夜，我从伦敦的一份工作走到帕丁顿车站，接到一个招聘代理打来的电话；离家不远的地方有一家颇受好评的跨国航运公司，正在寻找像我这样的人，我非常适合。我会感兴趣吗？

经过一个非常长的面试过程，尽管进行得很顺利，但这些人看起来是一群不错的人，这份工作听起来很令人兴奋。旅行也牵涉其中，挑战也很有趣。看上去不错！一旦我的通知期结束，我就是马士基航运英国有限公司的新身份SME。

马士基有着悠久而传奇的历史；他们参加过公海上各种重大的历史事件和戏剧性事件。加入公司后不久，我有幸在导游的带领下参观了位于丹麦科本哈文的令人难以置信的埃斯普兰登总部。这个地方就像60年代的詹姆斯·邦德的布景，全是混凝土和玻璃。这是有道理的，因为它就是在那个时候建造的。同样令人惊讶的是，马士基家族仍然拥有大部分股份，而且公司确实遵循着价值观。直到那时，我才真正有过这种感觉。通常情况下，使命宣言是挂在墙上的框子，人们没有太多注意到它。在马士基，这些值经常被回调到：

马士基IT职能的一个有趣特点是整个集团交付IT服务的方式。当时，该组织跨多个业务部门进行多元化，服务于不同行业的 - 物流、能源和航运。在过去的某个时候，每个业务部门都运行自己的IT。但由于马士基航运(航运业务)是所有业务中最大的，它们的IT功能自然成为主导，并开始向其他业务部门提供一些共享的IT服务。经过几年的政治和权力斗争，能源业务被出售，以巩固 - 航运和物流的核心职能，IT集中起来，在组织的最高层建立了数字和云优先战略。对IT来说，过去(现在仍然是)情况看起来很好。

在这一切真正开始之前，我的第一个项目正在进行中。该公司已经开始通过一个知名的IAM产品将共享的人力资源系统插入Active Directory，并使用一些向导自定义Web服务和数据库后端服务来促进集成。这是一个令人兴奋的项目，来自英国和丹麦的同事都参与其中，IT、HR和更广泛的业务领域的职能和技术IAM元素被从微软合作伙伴中剔除。起初我的想法是用我的前雇主(也是微软的合作伙伴)取代这些人，但老实说，他们的表现如此出色，他们的热情如此鼓舞人心，我不禁爱上了这些人，我们仍然是好朋友。

这个项目把我们一路带到了2015年底，这是一次地狱般的旅程。我们可以使用的系统有限。我经常到凌晨4点才能运行各种类型的测试，而系统对这项工作的规定少得令人绝望。我们的服务器资产由知名的MSP管理。系统速度很慢，但由于各方的努力，解决方案开发得很快。这是一个真正的团队努力，参与到一些你可以告诉你每个人都想取得成功的事情中是令人震惊的， - 没有大量的反对者，或者我告诉过你的任何地方都是如此。

马士基拥有令人惊叹的历史，它做了令人敬畏的事情，它有很大的价值。这是个工作的好地方。但正是那个项目让我觉得我找到了我的家人。活动在几个周末进行，我们在凌晨时分进行了一些真正的冒险，包括凌晨3点“闯入”我们的一台服务器，但这台服务器出现了一些问题！最终，解决方案出现了，在大约6万名活跃用户中，我们只删除了一个错误的账户。干得不错！

由于IAM项目的成功，我们都受到了好评，我在第一年的绩效评估中获得了最高分，并设法坐上了飞往亚特兰大Microsoft Ignite的航班，因为我遇到了麻烦。所有这些都加强了我非常积极的经历。

当我进入马士基时，我的职业生涯一直致力于(我们今天所说的)身份和安全项目：身份管理、特权访问管理、智能卡签到系统等等。由于IAM系统正在忙碌地处理典型的加入者、搬运者和离场者进程，我的下一个目标是特权访问。确保王国钥匙的安全。在上一个项目中，我注意到了各种各样的差距。从本质上讲，最低特权原则并没有得到普遍遵循。航运是一项庞大的业务，但利润率相对较低。在此之前，它一直被作为一个成本中心进行管理，以最大限度地减少成本，而不是作为业务推动者。在争夺底层的竞争中，安全控制最终受到了影响，成为交付的次要问题。由于IT内部历史悠久的组织结构，我们有多种安全职能，但没有明确的领导，资金也有限。暗示着两年来一直在推动特权访问控制。

在此期间，我们可以也应该应用一致的安全策略来控制帐户和访问。这是你可以慢慢做的事情。您可以应用新标准并将服务构建到该标准，然后随着时间的推移将服务移动到该标准。您可以通过新服务快速取胜，最终您的旧系统要么迎头赶上，要么就会消亡。你得到的资金越多，这个过程就会变得越快-但你会做到这一点。我所说的控件类型的典型示例：

清单不胜枚举，但这些都是基本的Microsoft安全基准或分层访问模型内容。

在此期间，我们的MSP试图销售PAM产品，以对用于访问我们的MSP托管系统的MSP凭据进行凭据循环控制；同时继续将单个AD组(包含各种Maersk和MSP人员)放入所有Maersk MSP托管服务器上的本地管理员组中。这还不够。除了与凭证无关的访问风险之外，所有非MSP托管套件怎么办？因此，与此同时，我也在推动我们的IAM解决方案的PAM组件，尽管在秘密中，我甚至知道这不会真正解决所有场景…。那么*nix、网络设备等等呢？

在我的脑海里，一些更具行业级别的东西是必要的，但随着对降低成本的关注被敲打得淋漓尽致，这只是一厢情愿的想法。我后口袋里没有几百万！

虽然我在特权访问控制方面撞到了各种砖墙，但我们还有其他活动在进行；我们将运营团队转移到了一家新的供应商，当马士基收购南汉堡时，我们进行了一些有趣的合并和收购活动，邮件自动化正在进行中(所有都是自助服务，没有人工流程参与全球邮件地址的提供和管理)，我们搬进了梅登黑德的新住所(这可能是在2016年)，几乎每层楼都有 - Surface中心，到处都是像样的(免费的)咖啡机，现代突破区。所有你可能希望的设施！所以，就像在任何地方一样，我们没有做你可能想做的所有事情，但有足够的事情在进行，生活是美好的。

在遥远的地方，俄罗斯国家支持的演员一直在瞄准乌克兰。在乌克兰运营的所有企业通常都使用特定的金融应用程序。我不确定现在是不是这样！攻击者已经攻破了该应用程序的供应商，并将notPetya恶意软件注入到该应用程序的软件更新中。尽职尽责的财务人员更新他们的软件，在不知不觉中允许一些有史以来最具破坏性的恶意软件进入他们的系统。

2017年6月27日(到我发表这篇文章的那一天差不多三年了)，狗屎击中了一个非常非常大的粉丝。

上午10点左右，我们在其中一间玻璃墙的会议室里开团队会议。外面的人开始看起来很兴奋，可能正在发生一些轻微的停电。然后有个粗鲁的人过来把我们赶了出去。办公室里的一些工作站似乎要停电了。后来才知道不，不只是我们的办公室。在全球范围内，设备都在变暗。哦，服务器也是吗？域控制器不见了吗？哦…。我们刚刚失去了很多人。在几个小时内，很明显，这已经影响到了地球上加入Windows笔记本电脑、台式机、虚拟机和物理服务器的每一个域，因为该组织刚刚被送回了黑暗时代。

让他们明白。你怎么做？对于许多人来说，这将是一个灭绝级别的事件(我的小深度影响参考)。对我们来说幸运的是，马士基获得了一些非常雄厚的资金。

让我大开眼界的是，我们甚至不是目标。这是一个巨大的惊喜，至少对我来说是这样。我一直认为网络攻击在某种程度上是有针对性的。但现代网络战是恶毒的，不会俘虏任何人。所以，不要抱有幻想，你可能不会相信自己有太大的风险，但这甚至可能不是关于你的。如果你从互联网上收到数据(当然，这是真的)，你最好密切关注这一切。网络攻击以前并不少见，但在新冠肺炎时代，私人和国家支持的网络攻击明显增加。现在是做我们将要讨论的一些基础知识的最佳时机。也许你一直很幸运，从未在重大恶意软件攻击中幸存下来，但他们随时都可能发动攻击。攻击者不关心范围。他们不关心容量规划或预算。他们当然不关心你。你需要做好准备。

notPetya恶意软件的不同寻常之处在于，通常你会在恶意软件中看到的是，设备会被加密，并发出一条信息，要求你去支付一些赎金。这样做的组织数量令人担忧(约50%)，这使得这些类型的攻击变得更加普遍，因为我们正在教育罪犯犯罪是有代价的。但Petya不同，没有人付钱，它的设计纯粹是为了破坏。彻底摧毁了它。

在马士基，没有一致的安全基线。一些模糊的书面政策是存在的，但坦率地说，这些政策基本上被忽视了。人们使用正常的工作效率帐户在工作站甚至服务器上执行管理任务的情况并不少见。服务器管理员将拥有对大量系统的常备管理访问权限，即使在我们已经开始采用云IaaS的管理较好的业务部分也是如此。当时的域管理员不多，但这些管理员用于在所有类型的设备上执行管理任务。服务帐户通常会被授予本地管理员组的成员身份，以“使事情正常运行”，而不是被适当地委派权限。并且服务帐户也将由多个应用程序共享。这些行为并不是马士基独有的，它们很可能在你自己的组织中非常普遍。因此，我并不是针对马士基指出这些事情，而是强调这些都是许多人(如果不是，也是大多数人)仍在承担的风险。

Not Petya通过财务包更新建立了立足点，Not Petya使用常见的散列传递技术在整个组织中横向传播，并垂直向上扩展到服务器和域控制器。由于缺乏标准化的、始终如一地实施的特权访问控制，这使得Not Petya消灭马士基变得微不足道。

是的，像网络分割这样的事情将有助于减缓传播。像SOC这样的东西会帮助我们在决定性的一天到来之前看到活动。打补丁绝对会有帮助(说真的，如果您在等待安装关键的安全补丁，那么您这样做是错误的)。但归根结底，我们未能解决的根本风险是对特权访问的管理。

那是一颗难以下咽的苦果。我一直在宣传的控制措施，本可以拯救马士基免受冲击。但我打赌我不是唯一一个对此负有责任的人。我绝对没有感觉到有任何手指指向我的方向，远非如此。在接下来的几个月里，我将看到一系列的活动，自从我加入公司以来，我一直在寻求部署的各种措施都获得了绿灯。人们终于开始倾听了。太神奇了，一扇好的网络攻击之门打开了。

在事件发生后的几周内，一切都是关于恢复Active Directory。考虑到Active Directory部署在全球数百个域控制器上，灾难恢复过程只考虑了站点或数据中心的丢失。计划中的任何内容都没有说明“我们一下子失去了一切，到处都是”。在马士基、微软和我们的合作伙伴进行了一些艰巨而令人毛骨悚然的努力之后，我们恢复了我们的目录服务。这涉及到一些源代码级别的行动，人们从世界各地带着各种数据和设备被送上航班。这让我想起了“24小时”的一集，只是没有了戏剧性的配乐，显然这一切花了超过24小时的时间！

当第一个域控制器出现时，它是在Surface Pro 4上运行的。一旦事情恢复到某种程度的正常，我们几乎把它安装在基座上；我真的希望在我离开后，有人能抽出时间来处理它。我几乎可以肯定，这不是帕诺斯·帕奈心目中的那种工作量。你能想象在下一次Surface Pro机型发布会上的情景吗？您可以轻松协作！这个设计太棒了！您可以使用它从一场全面灾难中恢复关键基础设施！

我将永远珍视那些早年的一件事，那就是正在进行的紧密的团队动力。身份服务团队齐心协力。来自运营、工程、建筑师和经理、合作伙伴和供应商的每一个人。我们都在里面。我们分成了几个战术小分队。我们在办公室里占了一个角落，用一块巨大的白板把它隔开。为了完成任务，我们有一个轮值，让人们坐在白板旁边，对来自业务或其他应用程序团队的任何问题或需求进行分类，让团队的其他成员继续处理手头的任务。但双方总是相互尊重，只有几次事情变得激烈起来，当世界似乎着火时，这是可以理解的。真正的团队努力。

根据权利，目录应该已经消失了。我敢肯定，大多数组织都会建立一个全新的目录，但我们非常幸运。这些努力从未得到足够的赞扬。但这也造成了损失，在最初的几天里，夜以继日工作的人数令人震惊。人们在办公室里吃饭睡觉。这家公司把附近所有的旅馆房间都订满了。人们乘出租车上下班，因为他们太累了，无法在轮班结束时开车。问题是，对一些人来说，这已经持续了几周甚至几个月。它影响的不仅仅是地面上的人们。这影响了职业、家庭和生活。人们不会超越标题“又一个大牌被黑”来思考，但其后果绝对是令人震惊的。

当我们正在恢复服务时，四大航空公司中的一家已经坠落。身着西装的新面孔在地板上走来走去，做笔记，参与谈话，影响决策。太棒了！在我的书中，更多的声音，更广泛的专业知识总是受欢迎的。

微软也提供了出色的领导能力，我很欣赏我们在几天内如何在两倍快的时间内部署了特权访问工作站(PAWS)和分层访问模型(TAM)。这些技术是微软网络安全参考体系结构的一个很好的特性(这里是关于它的Good Ignite Session)，组织绝对应该密切关注它们。而且成本并不比你今天拥有的高很多，特别是与市场上数百万种技术解决方案所涉及的金额相比更是如此。TAM(扩展为PAW)更多地是关于建立流程，而现在您可能只有很少的流程，甚至根本没有流程。它是关于提供清晰度，建立界限和设定期望。您确实有少量的附加设备来覆盖管理访问，但仅此而已。

好处是显著的。你花的越多，我们就越争辩。

..