事情要從一場看似普普通通的勒索攻擊說起。

Visser Precision，一家為汽車和航空業定制零件的制造商。遭受了勒索軟件的BitPaymer的新變種DoppelPaymer的攻擊 。

[[322033]]

早在2020 年2 月 25 日，DoppelPaymer勒索軟件運營商開發了一個網站，以此公布沒有支付贖金的受害者所被盜的文件(勒索軟件=數據泄露已經成為現實，此前我們也提到類似Maze、Sodinokibi、Nemty等也采取了這類做法)。而在3月的最后期限之前，因為Visser Precision一直拒絕支付贖金，黑客將竊取的文件選取了一部分上傳到可在線公開訪問的網站。

事情到此為止可能不會引起如此多的人關注，畢竟很多人對于Visser Precision并 不了解。但是，勒索引發的數據泄露卻牽連到了其客戶，這些巨頭們。比如SpaceX、特斯拉、波音、Blue Origin、Sikorsky、Lockheed Martin等。

泄露的文件包含了Lockheed Martin公司設計的軍事裝備細節——如規格在反迫擊炮防御系統的天線-根據注冊誰提醒我們的藍圖源，SpaceX的制造合作伙伴計劃，一些賬單、付款表格、供應商信息、數據分析報告以及法律文書等。

這個過程中，有2個問題可以深入思考：

該不該交贖金

對于這一個問題，一直以來都有2種聲音：

不能給。

給。

這個問題，并沒有確切的答案，解答的核心在于企業高層對勒索攻擊影響的定義，涉及到勒索金額的多少、竊取文件的重要程度、公司對名譽的看重程度等多種因素。

提升企業自身安全的同時，如何防范供應鏈安全掉鏈子

供應鏈安全，不僅要防范來自供應鏈上下游企業帶來的安全漏洞，同樣要防范他們遭受網絡攻擊后對自身帶來的影響。很多看似名不見經傳的網絡攻擊，可能帶來連鎖效應，給很多看似防御體系良好的企業造成外部威脅。

• 梳理、了解企業供應商。事前的評估一定優于事后的救火。在供應商合作之前，安全性評估也應該納入考慮范圍。盡管我們知道評估供應鏈是一項很具挑戰性的風險管理工作，但規模較大的企業應該去挑戰，而且不是為了“方便”而偷懶。
• 在管理鏈中必須有人負責安全問題，涉及到供應鏈安全的決策一定是由高層做出的。以此次勒索為例，SpaceX等企業應該有專人負責協調供應鏈安全問題，在Visser Precision遭到勒索攻擊后，企業應該迅速交換信息，判斷竊取信息的重要程度，做出判斷是交錢還是任其撕票。
• 供應鏈安全不僅僅是IT的責任。在供應鏈建立、合作、發展的過程中，企業的多個利益相關部門都會參與，因此，供應鏈安全的敏感和基本考慮應該通過內部標準傳遞給每個相關部門。