在過去的十年里，黑客索要的贖金的平均價值從數(shù)百美元上升到數(shù)十萬美元——在某些情況下甚至達(dá)到數(shù)百萬美元。隨著監(jiān)管要求日益嚴(yán)格，CISO因未報告違規(guī)行為而被起訴，勒索軟件攻擊的風(fēng)險越來越高。專家表示，企業(yè)可以通過制定事件應(yīng)對計劃、改善網(wǎng)絡(luò)安全態(tài)勢，以及投資于數(shù)據(jù)和基礎(chǔ)設(shè)施的強(qiáng)大備份，從一開始就避免陷入這種情況。

2018年，Coalition的事件響應(yīng)主管Shelley Ma正在與一家剛剛受到勒索軟件攻擊的公司的高管和技術(shù)團(tuán)隊交談。勒索軟件攻擊使該公司陷入停頓，贖金為20萬美元。Shelley Ma回憶道：“首席執(zhí)行官說，‘我每天損失100萬美元。20萬美元對我來說是小菜一碟。那就支付贖金吧——支付贖金就行了。’”

2015年，當(dāng)她第一次開始處理勒索軟件時，大多數(shù)公司都支付了贖金，贖金通常只有幾百美元。隨著時間的推移，數(shù)額變得更大了，現(xiàn)在變得過高了，她說。“我們很少看到贖金超過30萬美元。大多數(shù)都是六位數(shù)，或者是七位數(shù)或八位數(shù)。

根據(jù)Coverware 7月份發(fā)布的一份報告，支付的贖金平均金額已上升至740000美元以上，與2023年第一季度相比增長了126%，因為攻擊者已開始將目標(biāo)對準(zhǔn)較大的企業(yè)，試圖勒索更多的贖金。根據(jù)NCC的最新數(shù)據(jù)，勒索軟件攻擊在2023年6月達(dá)到了創(chuàng)紀(jì)錄的水平，比前一年同期增加了221%。

也有一些好消息，根據(jù)Coverware的數(shù)據(jù)，受害者付出代價的勒索軟件攻擊的比例降至34%的創(chuàng)紀(jì)錄低點，這是因為公司一直在制定事件響應(yīng)計劃，改善其網(wǎng)絡(luò)安全態(tài)勢，并投資于數(shù)據(jù)和基礎(chǔ)設(shè)施的強(qiáng)大備份。

企業(yè)選擇支付贖金的原因

公司支付贖金給網(wǎng)絡(luò)犯罪分子有兩個主要原因，第一個原因是他們沒有任何方法自己從勒索軟件攻擊中恢復(fù)，恢復(fù)將需要太多時間。網(wǎng)絡(luò)災(zāi)難恢復(fù)公司Fenix24的聯(lián)合創(chuàng)始人希思·倫弗羅表示：“在我們的一個案例中，一家醫(yī)療設(shè)備制造商告訴我們，如果情況沒有顯著變化，他們再過幾天就必須發(fā)出2000多份裁員通知。”

他說，在支付了贖金后，他們能夠恢復(fù)足夠的數(shù)據(jù)和系統(tǒng)，以至于首席執(zhí)行官取消了裁員。他說：“我們合作過的大多數(shù)公司——過去15個月里有200多家公司——如果不支付贖金，就不得不關(guān)門。”“雖然我們不一定主張支付贖金，但我們明白，這確實是一個商業(yè)決定，撇開支付贖金的道德不談，這是一個艱難的境地，因為許多人的生計，有時還有生命和關(guān)鍵基礎(chǔ)設(shè)施，都岌岌可危。”

公司支付贖金的第二個主要原因是犯罪分子威脅要泄露敏感數(shù)據(jù)。Rubrik的Zero實驗室負(fù)責(zé)人Steve Stone曾與許多遭受勒索軟件攻擊的客戶合作過，有時數(shù)據(jù)非常敏感，因此無論降低多少數(shù)據(jù)泄露的風(fēng)險，都是值得的。他說：“一些企業(yè)已經(jīng)支付了贖金，試圖保護(hù)數(shù)據(jù)，即使這意味著數(shù)據(jù)仍有被泄露的可能性。”

當(dāng)然，你不能相信壞人會信守諾言，這些數(shù)據(jù)仍然可以通過秘密渠道出售，即使它不被丟棄在黑暗的網(wǎng)絡(luò)上，而且，無論攻擊者是否公布被盜數(shù)據(jù)，這仍然被算作入侵，受害者仍然需要得到通知。如果數(shù)據(jù)足夠關(guān)鍵，一家公司可能會覺得它必須盡其所能防止數(shù)據(jù)泄露。考慮到所有的回收成本，一些公司可能還會認(rèn)為支付贖金可能會為他們節(jié)省資金。

實際情況可能并非如此，根據(jù)IBM在2023年7月下旬發(fā)布的一份報告，2023年，沒有支付贖金的公司遭受勒索軟件攻擊的全球平均成本為517萬美元。支付贖金的公司只將總成本略微降低，降至506萬美元，僅節(jié)省11萬美元，這通常會被贖金本身的成本抵消。以下三種策略可以幫助CISO降低遭受勒索軟件攻擊的風(fēng)險和影響：

創(chuàng)建事件響應(yīng)攻略

避免勒索軟件攻擊的第一步是創(chuàng)建一個計劃，無論你是否預(yù)期過自己是潛在目標(biāo)——假設(shè)這更多的是一個問題，即你何時會受到勒索軟件攻擊，而不是如果。根據(jù)Vanson Bourne最近代表梭魚進(jìn)行的一份報告，在2022年，73%的公司受到了至少一次成功的勒索軟件攻擊。

在沒有事件應(yīng)對計劃的情況下，公司通常會感到恐慌，不知道該給誰打電話，也不知道該怎么辦，這可能會讓支付贖金看起來像是最容易的出路。然而，有了計劃，人們知道該做什么，理想情況下，他們已經(jīng)提前實施了計劃，以確保災(zāi)難恢復(fù)措施以他們應(yīng)該采取的方式工作。

事件響應(yīng)計劃應(yīng)包括明確的角色和職責(zé)、通信協(xié)議和恢復(fù)策略。根據(jù)帕洛阿爾托的2023年勒索軟件和勒索報告，勒索軟件受害者應(yīng)該準(zhǔn)備好應(yīng)對數(shù)據(jù)和系統(tǒng)加密、數(shù)據(jù)盜竊。

涉及數(shù)據(jù)盜竊的勒索軟件攻擊的比例從2021年的40%上升到2022年末的70%。事件響應(yīng)計劃不僅應(yīng)該包括從勒索軟件加密中恢復(fù)的措施和處理泄露數(shù)據(jù)威脅的協(xié)議，還應(yīng)該包括在員工或客戶受到影響的情況下怎么辦。

例如，攻擊者可能會給公司高管和員工打電話并留下語音郵件，發(fā)送電子郵件，并在泄密網(wǎng)站或社交媒體上泄露受害者的身份。這些策略旨在增加決策者的壓力。一般來說，能夠從勒索軟件攻擊中恢復(fù)最快的公司是那些制定了事件響應(yīng)計劃并提前實施的公司。幸運(yùn)的是，整個行業(yè)在這方面一直在變得更好，Shelley Ma說。“總體來說，事故響應(yīng)出現(xiàn)了顯著增長。”

測試該計劃至關(guān)重要，因為從紙面上落實到工作的過程在實踐中往往會失敗。例如，Shelley Ma遇到過這樣的情況：公司有備份，但它們無效或無法訪問，或者沒有以公司可以使用它們進(jìn)行快速災(zāi)難恢復(fù)的方式進(jìn)行設(shè)置。發(fā)現(xiàn)自己處于這種情況的公司可能會恐慌，最終決定支付贖金。

在恢復(fù)被勒索軟件破壞的復(fù)雜系統(tǒng)時，解密工具往往會失敗。“即使你能夠解密你的整個數(shù)據(jù)集，也很難讓復(fù)雜的配置恢復(fù)并像事故發(fā)生前那樣運(yùn)行。” Shelley Ma說。

實施多層次網(wǎng)絡(luò)安全

對于大多數(shù)公司來說，專注于基本的網(wǎng)絡(luò)安全衛(wèi)生是降低勒索軟件風(fēng)險的最快方式。“(網(wǎng)絡(luò)安全行業(yè)的)目標(biāo)不是讓我們的網(wǎng)絡(luò)無法穿透，”IDC負(fù)責(zé)安全和信任研究實踐的集團(tuán)副總裁弗蘭克·迪克森(Frank Dickson)表示。“這是為了將防御工作提升到這樣一個程度，即穿透它們不再有利可圖。”

根據(jù)IDC在6月進(jìn)行的一項調(diào)查，沒有出現(xiàn)勒索軟件漏洞的公司通常使用五項關(guān)鍵安全技術(shù)中的一部分或全部：終端檢測和響應(yīng)(EDR)、云安全網(wǎng)關(guān)或云訪問安全代理(CASB)、安全信息和事件管理(SIEM)系統(tǒng)、身份分析或用戶和實體行為分析(UEBA)以及網(wǎng)絡(luò)檢測和響應(yīng)(NDR)。

擁有多層防御，以及設(shè)置多因素身份驗證和數(shù)據(jù)加密，是網(wǎng)絡(luò)安全的基礎(chǔ)，但許多公司仍然犯下了錯誤。Steve Stone最近與一家在網(wǎng)絡(luò)安全方面投入巨資的教育組織合作。當(dāng)他們受到勒索軟件的攻擊時，他們能夠?qū)⒉僮鬓D(zhuǎn)移到離線備份。然后攻擊者提高了他們的要求——如果該企業(yè)不支付贖金，他們的數(shù)據(jù)將被在網(wǎng)上泄露。

“該企業(yè)為加密事件做好了充分的準(zhǔn)備，但沒有為第二筆贖金做好準(zhǔn)備，” Steve Stone說。“有一些實際的敏感數(shù)據(jù)可能會引發(fā)一系列監(jiān)管合規(guī)行動。”

該公司不希望看到數(shù)據(jù)泄露，但他們也不相信攻擊者會信守承諾。“這個企業(yè)選擇做的也不是支付第二筆贖金。” Steve Stone說。取而代之的是，在攻擊者等待答案的同時，該企業(yè)通知了受害者這次入侵事件。到數(shù)據(jù)泄露到網(wǎng)上時，他們已經(jīng)完成了通知行動。

這次攻擊暴露了該公司防御戰(zhàn)略中的兩個主要弱點。首先，他們的事件應(yīng)對策略沒有涵蓋第二起敲詐勒索事件。其次，他們沒有加密他們的敏感數(shù)據(jù)。之后，他們回去修改他們的戰(zhàn)略，從他們的應(yīng)對策略開始。“我們?nèi)绾卧谶@方面做得更好?我們?nèi)绾谓档惋L(fēng)險?我們下一次怎么做才能有所不同呢?這也導(dǎo)致他們對敏感數(shù)據(jù)進(jìn)行加密。

安全控制奏效了，多年來，公司在保護(hù)自己方面變得更好了。Rubrik對企業(yè)進(jìn)行了安全評估，Steve Stone說，去年這一得分上升了16%，每個地區(qū)和每個行業(yè)都有所改善。有了適當(dāng)?shù)拇胧究梢詼p少成功攻擊的數(shù)量和嚴(yán)重程度，并在受到攻擊后迅速恢復(fù)運(yùn)行。“歸根結(jié)底是成本問題，”Omdia分析師亞當(dāng)·斯特蘭奇說。“企業(yè)只是沒有足夠的預(yù)算，無法讓自己處于安全的地位。”

長期以來，數(shù)據(jù)一直被視為企業(yè)中最重要的資產(chǎn)之一。“但我們保護(hù)它的方式真的是令人遺憾的。”他說。如果一個企業(yè)因為無法訪問其數(shù)據(jù)而走向滅亡，那么它需要更多地考慮如何保護(hù)其數(shù)據(jù)。他補(bǔ)充說，只有隨著GDPR和CCPA的出現(xiàn)，數(shù)據(jù)安全才逐漸成為一門獨立的領(lǐng)域。

投資于強(qiáng)大的備份

當(dāng)勒索軟件攻擊者在企業(yè)中站穩(wěn)腳跟時，他們有兩個主要目標(biāo)：獲取有價值的數(shù)據(jù)和備份。“最好的情況是備份在云中，并且與主網(wǎng)絡(luò)完全斷開連接。” Shelley Ma說。以及磁帶備份，通常運(yùn)行頻率較低，但完全隔離且無法通過Internet訪問。

如果攻擊者獲得了域憑據(jù)的訪問權(quán)限，他們應(yīng)該也無法訪問備份。“如果備份需要第二組身份驗證，它們就會受到更多的保護(hù)。” Shelley Ma說。

另一種備份策略是不可覆蓋或擦除的不變備份。“一些較大的公司確實實施了這一點。但對于中小型公司來說，不變備份的話題不會出現(xiàn)在董事會會議室里。他們?nèi)匀灰蕾?016年的備份技術(shù)——這在當(dāng)今時代還不夠好。“她說。

Rubrik最近對數(shù)千家來自客戶和非客戶環(huán)境的企業(yè)進(jìn)行了分析，99%的企業(yè)在受到勒索軟件攻擊時都有數(shù)據(jù)備份，但93%的公司在使用這些備份來恢復(fù)丟失的數(shù)據(jù)時也遇到了重大挑戰(zhàn)。“要么沒有足夠的數(shù)據(jù)存儲，要么沒有足夠的專業(yè)知識，或者他們環(huán)境的一部分沒有得到充分的覆蓋。” Steve Stone說。此外，他補(bǔ)充說，在73%的事件中，攻擊者在訪問備份方面取得了一些成功。

如果備份沒有得到適當(dāng)?shù)谋Ｗo(hù)，攻擊者就能夠刪除備份或使用泄露的憑據(jù)訪問管理面板。如果備份失敗或被攻擊者刪除，支付贖金似乎是唯一的出路。但是，根據(jù)Rubrik的報告，只有16%的企業(yè)在支付贖金后恢復(fù)了所有數(shù)據(jù)。

原因是什么呢?勒索軟件團(tuán)伙不太擅長于解密工具，也沒有特別的動機(jī)。

根據(jù)Steve Stone的說法，今天的勒索軟件攻擊很少是由單一組織實施的。相反，這是一個攻擊生態(tài)系統(tǒng)。一個參與者發(fā)現(xiàn)了將他們帶入環(huán)境的脆弱性，另一個人植入了勒索軟件，第三個會竊取數(shù)據(jù)，然后轉(zhuǎn)賣，其他人使用竊取的憑據(jù)發(fā)動更多攻擊，其他行為者可能會使用相同的訪問路徑來植入加密礦工或更多勒索軟件。

Steve Stone說：“一次入侵涉及多個威脅因素，這并不少見。”

因此，根據(jù)Barracuda的數(shù)據(jù)，38%的組織報告在2022年成功實施了兩次或更多勒索軟件攻擊，而2019年這一比例不到20%，這一點也就不足為奇了。里德·史密斯技術(shù)和數(shù)據(jù)業(yè)務(wù)合伙人凱瑟琳·卡斯塔爾多表示：“你可以成為罪犯的年金，因為他們可以繼續(xù)索要更多的錢。”“我們已經(jīng)看到了這種情況，特別是在醫(yī)院和律師事務(wù)所等敏感領(lǐng)域。”

那些因為認(rèn)為自己不會被勒索軟件攻擊而避免投資于多層安全、強(qiáng)加密、多因素身份驗證和強(qiáng)大備份的公司，或者如果受到勒索軟件攻擊，只需支付贖金并重返工作崗位會更便宜的公司，都活在過去。這一策略可能在2013年奏效，當(dāng)時勒索軟件攻擊很少，勒索金額很小，但這在今天行不通了。