針對關(guān)鍵基礎(chǔ)設(shè)施部門的勒索軟件攻擊浪潮日益高漲,并且達到了前所未有的程度。如今,技術(shù)、法律和監(jiān)管風(fēng)向的轉(zhuǎn)變正使這一對工業(yè)環(huán)境的災(zāi)難越來越難以處理,成為許多首席信息安全官在議程中的首要議題。
企業(yè)必須處理的一些難題:
•是否支付贖金?
•網(wǎng)絡(luò)保險能否提供足夠的庇護?
•政府的作用是什么?
•是否即將出臺新的規(guī)定和處罰措施?
•對手如何演變他們的策略?
為了理解這一切,需要首先關(guān)注網(wǎng)絡(luò)犯罪分子和他們的技術(shù)。他們有著成熟的商業(yè)模式和仔細考慮的勒索軟件財務(wù)計算。他們已經(jīng)決定是否發(fā)起直接攻擊以實現(xiàn)利潤最大化,或提供勒索軟件即服務(wù),并配有幫助臺和其他支持服務(wù),為他們的收入提供補充,同時讓技術(shù)水平較低的惡意行為者受益。
他們根據(jù)支付能力對受害者和目標(biāo)組織進行了調(diào)查。所有這些策略都是協(xié)同制定和執(zhí)行的,以使支付贖金成為阻力最小的途徑——無論是在經(jīng)濟上和邏輯上。
勒索軟件活動的每一個方面都是為了激發(fā)攻擊目標(biāo)的情感反應(yīng),因此支付贖金比自己承擔(dān)試圖恢復(fù)的成本和延遲更容易。
企業(yè)所面臨的困境
•現(xiàn)在不是道德絕對化的時候。關(guān)于企業(yè)是否應(yīng)該支付贖金存在激烈的爭論,有人警告支付贖金將會導(dǎo)致更多的勒索軟件攻擊。雖然這是事實,但考慮到利害關(guān)系,這根本不實用或不可行。紙上談兵很容易,但考慮到受害者感受到的壓力,這也許是一種更好的選擇。面對關(guān)于網(wǎng)絡(luò)攻擊以及他們公司的曝光率和未知的命運,指責(zé)他們不應(yīng)該支付贖金,就像告訴搶劫的受害者不應(yīng)該交出他們的錢包一樣荒謬。
•禁止支付贖金只會增加痛苦。此外,另一個考慮的步驟是執(zhí)法機構(gòu)應(yīng)該通過將贖金支付定為非法行為來禁止支付贖金。但專家的觀點是,這將使政治和商業(yè)領(lǐng)袖陷入困境,他們需要在觸犯法律或影響公共安全和經(jīng)濟之間做出選擇。
•不要將風(fēng)險轉(zhuǎn)移誤認為是控制。雖然網(wǎng)絡(luò)保險是一種有效的風(fēng)險轉(zhuǎn)移機制,但不要將其與制定的計劃混淆。它也不能替代良好的治理和風(fēng)險管理。事實上,網(wǎng)絡(luò)犯罪分子正在積極針對擁有網(wǎng)絡(luò)保險的企業(yè)進行攻擊,因為他們知道這些受害者更有可能支付贖金。由于網(wǎng)絡(luò)保險公司的成本不斷上升,而且可用于創(chuàng)建精算表的數(shù)據(jù)有限,其保費和免賠額開始上漲。保險公司表示,如果企業(yè)沒有實施適當(dāng)?shù)目刂坪椭卫?,他們將不會承保勒索軟件攻擊。與任何類型的風(fēng)險緩解策略一樣,保險只是其中的一個組成部分。
企業(yè)應(yīng)該如何應(yīng)對
•從無知到疏忽將造成緊迫感。企業(yè)的董事會和最高管理層了解并考慮規(guī)避各種業(yè)務(wù)風(fēng)險,包括市場風(fēng)險、供應(yīng)鏈風(fēng)險和流動性風(fēng)險,但許多人并不了解工業(yè)網(wǎng)絡(luò)風(fēng)險。企業(yè)董事會都有責(zé)任向最高管理層提出問題,對他們的風(fēng)險承受能力提出自己的觀點,制定良好的彈性計劃,并了解其運營環(huán)境中網(wǎng)絡(luò)風(fēng)險的當(dāng)前狀態(tài)。如果是首席信息安全官,提高對這種新風(fēng)險類別的認識將創(chuàng)建一個平臺,企業(yè)董事會不能忽視該平臺。鑒于通過數(shù)字化轉(zhuǎn)型獲得的所有優(yōu)勢,工業(yè)企業(yè)內(nèi)部的網(wǎng)絡(luò)風(fēng)險不是“如果”而是“何時”的問題。一旦存在風(fēng)險,就容易陷入困境?,F(xiàn)在是開始加強工業(yè)網(wǎng)絡(luò)安全的時候了。
•命運眷顧有準(zhǔn)備的人。雖然面對網(wǎng)絡(luò)攻擊有時可能無能為力,但可以做很多事情來降低風(fēng)險。美國國家標(biāo)準(zhǔn)與技術(shù)研究院開發(fā)了網(wǎng)絡(luò)安全框架,該框架有助于提供一系列步驟,幫助企業(yè)如何在一段時間內(nèi)積極地思考和采取行動保護其基礎(chǔ)設(shè)施。通過立即實施推薦的控制措施并建立堅實的基礎(chǔ),企業(yè)可以減少事后反應(yīng)的擔(dān)憂。例如,了解運營環(huán)境、進行桌面練習(xí)以及與事件響應(yīng)和律師事務(wù)所建立正式關(guān)系,并為應(yīng)對網(wǎng)絡(luò)攻擊做好準(zhǔn)備。
•改變財務(wù)計算。勒索軟件攻擊的財務(wù)模型歷來傾向于付費。巴爾的摩市就是一個廣為宣傳的例子,這次網(wǎng)絡(luò)攻擊使該市損失收入以及恢復(fù)系統(tǒng)的直接成本超過1800萬美元,但在遭遇網(wǎng)絡(luò)攻擊當(dāng)天,其贖金僅為76000美元的比特幣。因此,美國眾議院和參議院的國會議員都提出立法以推動強制性事件報告,以及制定激勵和抑制機制來改變財務(wù)和風(fēng)險方式,以支持更好的控制和風(fēng)險治理。
只要有收益,針對關(guān)鍵基礎(chǔ)設(shè)施部門的勒索軟件攻擊就有可能繼續(xù)下去。為了降低風(fēng)險,最有效的一條途徑是探索可用的技術(shù)、法律和監(jiān)管手段來支持和鼓勵降低風(fēng)險的行為。這需要全社會的共同努力,并提出合乎道德且可行的方法,其中包括主動技術(shù)和實踐、緩解措施和響應(yīng)的組合。深入了解正在發(fā)揮作用的多種措施,可以朝著正確的方向前進。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。