去年，勒索軟件事件驚人增長，25%的數據泄露都涉及勒索軟件因素。

威瑞森新近發布的2022版《數據泄露調查報告》(DBIR)指出，去年一年里，伴隨數據泄露的勒索軟件事件大幅增長了13%，而去年的報告中僅有12%的事件是勒索軟件相關的。換句話說，這一增長率超過了之前五年的增長總和。

這第15版DBIR分析了23,896起安全事件，其中5,212起是經證實的數據泄露。威瑞森表示，其中大約五分之四的事件是外部網絡犯罪團伙和威脅組織的杰作。威瑞森安全研究團隊經歷Alex Pinto認為，這些惡意團伙越來越容易通過勒索軟件謀取不義之財，使得其他類型的數據泄露方式逐漸式微。

“網絡犯罪中的一切都變得如此商品化，真成一門生意了，變現犯罪活動的方法超級高效。”他向信息安全媒體透露，”隨著勒索軟件即服務(RaaS ) 和初始訪問經紀人的興起，發起勒索軟件攻擊幾乎不需要什么技術，也不費力。”

“曾經，你得先入侵，四處嗅探，然后找出有銷路的那些值得偷的東西。”他解釋道，“我們從2008年開始編撰DBIR，當時基本上都是支付卡數據被盜。而現在，這種情況大幅減少，因為只需要購買別人弄到的訪問權，并安裝租用的勒索軟件，就可以更容易地實現同樣的賺錢目標。”

如此一來，任何組織都可能成為目標：就算沒有高度敏感數據之類值得盜取的東西，公司也會落入網絡罪犯的攻擊范圍。這意味著，中小市場企業和夫妻店都應該提高警惕。

“網絡罪犯不用再去攻克大企業。”Pinto說道，“事實上，瞄準大企業可能適得其反，因為他們的防御通常固若金湯。而如果一家公司只有幾臺電腦，還很緊張自己的數據，那你倒是很有可能從中撈點油水。”

換言之，DBIR發現大約40%的數據泄露是由于安裝了惡意軟件(威瑞森稱為系統入侵)，而RaaS的興起導致了這些數據泄露事件中55%涉及勒索軟件。

Pinto稱：“我們的擔憂在于，這種情況毫無止境。我們不再相信這種情況會停歇——除非有人想出更有效率的方法。我無法想象這會是種什么樣子的方法，但或許，這就是我沒參與有組織犯罪生意的原因了。”

SolarWinds效應

過去一年里，臭名昭著的SolarWinds供應鏈黑客事件余波震蕩，“軟件更新”途徑將“合作伙伴數據泄露”推上系統入侵事件(包括勒索軟件事件)的主因(62%)——這比2020年微不足道的1%高出許多。

Pinto指出，盡管SolarWinds等事件(以及Kaseya相關勒索軟件攻擊等其他事件)引發媒體報道和關注，但對于大多數企業來說，處理供應鏈數據泄露并不需要大肆整頓運營。

“如果你是受影響的客戶之一，那防止供應鏈數據泄露造成惡果，與防止其他幾種惡意軟件產生危害并沒有太大區別，反正你的服務器都在向莫名其妙的地方發出信號。如果你是首席信息安全官(CISO)，那你要用的技術應該跟你已經在用的非常相似，因為坦率地說，試圖跟上你必須努力確保安全的每個軟件供應商是不現實的。差距太大了。”

如何著手勒索軟件防御

數據泄露切入途徑的調查中，我們可以將攻擊歸結為四種常見途徑：利用被盜憑證;社會工程和網絡釣魚;漏洞利用;以及使用惡意軟件。

Pinto稱：“看完這份報告，你需要查看自己的環境中有沒有存在這四種途徑，而自己又為此部署了哪些控制措施。”

至于勒索軟件相關的數據泄露，報告分析的事件中有40%涉及使用遠程桌面協議(RDP)之類桌面共享軟件，35%涉及使用電子郵件(大部分是網絡釣魚)。

“鎖定面向外部的基礎設施，尤其是RDP和電子郵件，大大有助于保護企業免遭勒索軟件侵害。”

需要注意的是，82%的數據泄露都依賴人為失誤(例如，13%的數據泄露由錯誤配置引發)或交互(網絡釣魚、社會工程或被盜憑證)。GoodAccess產品副總裁Artur Kane表示，這給我們指出了一些值得研究的最佳實踐。

首先，技術解決方案，例如要求多因素身份驗證(MFA)和按訪問權限分隔網絡，以及實現實時威脅檢測功能、保留連續訪問日志和執行定期備份。

“然而，安全管理員還需要針對這些事件制定可靠的響應和恢復計劃，并且應該定期培訓和演練。”Kane表示，“用戶培訓可以極大改善公司的整體安全狀況。因為大部分勒索軟件攻擊依靠網絡釣魚誘餌打開局面，培訓員工識別網絡釣魚誘餌，就可以省下發生數據泄露后的數百萬美元恢復費用。”

威瑞森2022年《數據泄露調查報告》：https://www.verizon.com/business/resources/reports/2022/dbir/2022-dbir-data-breach-investigations-report.pdf