雙重勒索勒索軟件興起
多年來,企業(yè)不得不應對勒索軟件攻擊的威脅。成功的黑客攻擊會對企業(yè)的日常運營造成嚴重破壞,關閉系統(tǒng)并竊取重要數(shù)據(jù)。作為回應,安全技術和預防系統(tǒng)在不斷進步,但網(wǎng)絡犯罪分子使用的策略和技術也在不斷進步。在過去一年,這些網(wǎng)絡攻擊的數(shù)量急劇增加,因為網(wǎng)絡攻擊者利用了混合工作安全環(huán)境弱化的機遇。在英國, 37%公司在2021年向英國信息專員辦公室(ICO)報告了數(shù)據(jù)泄露事件。
網(wǎng)絡安全戰(zhàn)略和安全意識的提高迫使網(wǎng)絡攻擊者改進其戰(zhàn)略,并擴展到新的行業(yè)領域,使其行為更難控制。網(wǎng)絡犯罪分子的動機也在發(fā)生變化,從控制企業(yè)的數(shù)據(jù)到勒索錢財,再到出于政治原因(包括大規(guī)模關閉關鍵基礎設施)造成更嚴重的破壞。
2021年早些時候,由于遭到勒索軟件攻擊。迫使一家受到攻擊的企業(yè)支付約500萬美元的比特幣以重新獲得數(shù)據(jù)控制權并繼續(xù)提供服務。人們也看到美國Colonial Pipeline公司的燃油管道由于遭遇網(wǎng)絡攻擊導致供應中斷。與此同時,愛爾蘭衛(wèi)生服務執(zhí)行機構也面臨勒索,要求支付2000萬美元的贖金,否則將其保存患者的個人數(shù)據(jù)對外公開。即使該機構在支付贖金之后,仍有520條記錄在暗網(wǎng)上出售,這進一步凸顯了網(wǎng)絡犯罪分子的不可預測性。
勒索軟件攻擊技術和策略在這些年來取得了長足的進步。雙重勒索的勒索軟件如今不再只是加密數(shù)據(jù)之后勒索所有者,而且首先竊取數(shù)據(jù),然后等待使受害方的數(shù)據(jù)備份和數(shù)據(jù)恢復計劃過時,以迫使他們支付贖金。因此,網(wǎng)絡犯罪分子找到了另一種敲詐勒索的途徑,企業(yè)需要準備好克服這一新威脅。
什么是雙重勒索的勒索軟件,威脅有多嚴重?
雙重勒索的勒索軟件使網(wǎng)絡犯罪分子不僅可以要求受害方為被盜數(shù)據(jù)支付贖金,還可以將其作為虛假承諾,以防止其公開發(fā)布。如果受害方?jīng)]有在規(guī)定的時間內支付贖金,犯罪分子會將這些數(shù)據(jù)公布給所有人,包括受害方可能的競爭對手。
如果不支付贖金,就會威脅對外公布,并使受害方“名譽掃地”,而且根據(jù)Emisoft公司的研究,采用這種策略的網(wǎng)絡犯罪案例正在增加。研究發(fā)現(xiàn),在收到的100101份針對企業(yè)和公共部門機構的勒索軟件攻擊報告中,其中11.6%的報告是由竊取和發(fā)布數(shù)據(jù)的團體以“名譽掃地”的方式進行的。
民族國家行為者的犯罪軟件即服務也有所增長,越來越加劇地緣政治緊張局勢。民族國家正在從暗網(wǎng)上購買工具和服務,而他們開發(fā)的工具也正在進入黑市出售。
那么企業(yè)如何才能克服這種日益嚴重的威脅呢?
威脅加倍,恢復計劃也需加倍
網(wǎng)絡攻擊者要想成功勒索贖金,首先必須確保受害方無法恢復有用的數(shù)據(jù),否則他們將面臨受害方不支付贖金的風險。因此,他們禁用或破壞受害方備份數(shù)據(jù),使其幾乎無法恢復。網(wǎng)絡攻擊者然后再通過竊取的數(shù)據(jù)進行勒索。
通過制定專門的受損數(shù)據(jù)風險管理計劃,與使用標準化的數(shù)據(jù)恢復流程相比,企業(yè)能夠提高成功機率,并顯著增加受損數(shù)據(jù)恢復的可能性。由于勒索軟件的威脅日趨嚴重,企業(yè)需要做好準備,并重新考慮現(xiàn)有的數(shù)據(jù)恢復計劃。
為了應對這些反復出現(xiàn)的問題,企業(yè)需要規(guī)劃五個最關鍵的步驟來恢復損壞的數(shù)據(jù):
- 識別——識別并證明企業(yè)的重要數(shù)據(jù)資產(VDA)。這是需要額外保護級別的數(shù)據(jù)。這是企業(yè)必備的數(shù)據(jù)。
- 保護——提高可以恢復當前數(shù)據(jù)可能性的能力,例如可以防止網(wǎng)絡攻擊的故障保護副本。
- 檢測——識別可能增加企業(yè)訪問其重要數(shù)據(jù)資產(VDA)風險的弱點漏洞。
- 響應——在數(shù)據(jù)泄露事件之后要遵循的計劃、流程和程序。
- 恢復——讓團隊為這種可能發(fā)生的情況做好準備的訓練、測試和練習。
制定有效的計劃
所有企業(yè)都面臨勒索軟件攻擊的風險,快速變化的威脅形勢使現(xiàn)有的檢測工具受到質疑。它們不再是對抗網(wǎng)絡攻擊和防止大量數(shù)據(jù)丟失的有效手段。撇開外部威脅者不談,所有企業(yè)都在與內部威脅的風險競爭,而心懷不滿的員工有權訪問內部網(wǎng)絡和信息。近年來,網(wǎng)絡安全培訓取得了突飛猛進的進展,但人為錯誤仍然是企業(yè)面臨的巨大風險,尤其是采用混合工作模式的企業(yè)。
最終,每個企業(yè)都應該著眼大局,并制定數(shù)據(jù)恢復計劃。傳統(tǒng)勒索軟件攻擊的破壞性不容小覷,但與新策略相關的風險無疑對業(yè)務更為關鍵。企業(yè)聲譽受損和客戶信任受損通常是無法彌補的。在讓網(wǎng)絡犯罪分子攻擊之前,業(yè)務管理者必須簡要介紹協(xié)議,并與企業(yè)管理層密切合作,確定哪些數(shù)據(jù)應該是恢復任務中的優(yōu)先事項。這樣,企業(yè)即使面對網(wǎng)絡攻擊,他們的數(shù)據(jù)、資產和基礎設施也將保持完好。
