可以幫助企業(yè)避免遭受勒索軟件攻擊的3個策略

責任編輯:cres

作者:Maria Korolov

2023-09-06 10:52:00

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

對于那些希望避免支付贖金的CISO來說,有三件事可以提供幫助:創(chuàng)建事件響應計劃,改善網(wǎng)絡安全態(tài)勢,以及投資于強大的備份。

在過去的十年里,黑客索要的贖金的平均價值從數(shù)百美元上升到數(shù)十萬美元——在某些情況下甚至達到數(shù)百萬美元。隨著監(jiān)管要求日益嚴格,CISO因未報告違規(guī)行為而被起訴,勒索軟件攻擊的風險越來越高。專家表示,企業(yè)可以通過制定事件應對計劃、改善網(wǎng)絡安全態(tài)勢,以及投資于數(shù)據(jù)和基礎設施的強大備份,從一開始就避免陷入這種情況。
 
2018年,Coalition的事件響應主管Shelley Ma正在與一家剛剛受到勒索軟件攻擊的公司的高管和技術團隊交談。勒索軟件攻擊使該公司陷入停頓,贖金為20萬美元。Shelley Ma回憶道:“首席執(zhí)行官說,‘我每天損失100萬美元。20萬美元對我來說是小菜一碟。那就支付贖金吧——支付贖金就行了。’”
 
2015年,當她第一次開始處理勒索軟件時,大多數(shù)公司都支付了贖金,贖金通常只有幾百美元。隨著時間的推移,數(shù)額變得更大了,現(xiàn)在變得過高了,她說。“我們很少看到贖金超過30萬美元。大多數(shù)都是六位數(shù),或者是七位數(shù)或八位數(shù)。
 
根據(jù)Coverware 7月份發(fā)布的一份報告,支付的贖金平均金額已上升至740000美元以上,與2023年第一季度相比增長了126%,因為攻擊者已開始將目標對準較大的企業(yè),試圖勒索更多的贖金。根據(jù)NCC的最新數(shù)據(jù),勒索軟件攻擊在2023年6月達到了創(chuàng)紀錄的水平,比前一年同期增加了221%。
 
也有一些好消息,根據(jù)Coverware的數(shù)據(jù),受害者付出代價的勒索軟件攻擊的比例降至34%的創(chuàng)紀錄低點,這是因為公司一直在制定事件響應計劃,改善其網(wǎng)絡安全態(tài)勢,并投資于數(shù)據(jù)和基礎設施的強大備份。
 
企業(yè)選擇支付贖金的原因
 
公司支付贖金給網(wǎng)絡犯罪分子有兩個主要原因,第一個原因是他們沒有任何方法自己從勒索軟件攻擊中恢復,恢復將需要太多時間。網(wǎng)絡災難恢復公司Fenix24的聯(lián)合創(chuàng)始人希思·倫弗羅表示:“在我們的一個案例中,一家醫(yī)療設備制造商告訴我們,如果情況沒有顯著變化,他們再過幾天就必須發(fā)出2000多份裁員通知。”
 
他說,在支付了贖金后,他們能夠恢復足夠的數(shù)據(jù)和系統(tǒng),以至于首席執(zhí)行官取消了裁員。他說:“我們合作過的大多數(shù)公司——過去15個月里有200多家公司——如果不支付贖金,就不得不關門。”“雖然我們不一定主張支付贖金,但我們明白,這確實是一個商業(yè)決定,撇開支付贖金的道德不談,這是一個艱難的境地,因為許多人的生計,有時還有生命和關鍵基礎設施,都岌岌可危。”
 
公司支付贖金的第二個主要原因是犯罪分子威脅要泄露敏感數(shù)據(jù)。Rubrik的Zero實驗室負責人Steve Stone曾與許多遭受勒索軟件攻擊的客戶合作過,有時數(shù)據(jù)非常敏感,因此無論降低多少數(shù)據(jù)泄露的風險,都是值得的。他說:“一些企業(yè)已經(jīng)支付了贖金,試圖保護數(shù)據(jù),即使這意味著數(shù)據(jù)仍有被泄露的可能性。”
 
當然,你不能相信壞人會信守諾言,這些數(shù)據(jù)仍然可以通過秘密渠道出售,即使它不被丟棄在黑暗的網(wǎng)絡上,而且,無論攻擊者是否公布被盜數(shù)據(jù),這仍然被算作入侵,受害者仍然需要得到通知。如果數(shù)據(jù)足夠關鍵,一家公司可能會覺得它必須盡其所能防止數(shù)據(jù)泄露??紤]到所有的回收成本,一些公司可能還會認為支付贖金可能會為他們節(jié)省資金。
 
實際情況可能并非如此,根據(jù)IBM在2023年7月下旬發(fā)布的一份報告,2023年,沒有支付贖金的公司遭受勒索軟件攻擊的全球平均成本為517萬美元。支付贖金的公司只將總成本略微降低,降至506萬美元,僅節(jié)省11萬美元,這通常會被贖金本身的成本抵消。以下三種策略可以幫助CISO降低遭受勒索軟件攻擊的風險和影響:
 
1.創(chuàng)建事件響應攻略
 
避免勒索軟件攻擊的第一步是創(chuàng)建一個計劃,無論你是否預期過自己是潛在目標——假設這更多的是一個問題,即你何時會受到勒索軟件攻擊,而不是如果。根據(jù)Vanson Bourne最近代表梭魚進行的一份報告,在2022年,73%的公司受到了至少一次成功的勒索軟件攻擊。
 
在沒有事件應對計劃的情況下,公司通常會感到恐慌,不知道該給誰打電話,也不知道該怎么辦,這可能會讓支付贖金看起來像是最容易的出路。然而,有了計劃,人們知道該做什么,理想情況下,他們已經(jīng)提前實施了計劃,以確保災難恢復措施以他們應該采取的方式工作。
 
事件響應計劃應包括明確的角色和職責、通信協(xié)議和恢復策略。根據(jù)帕洛阿爾托的2023年勒索軟件和勒索報告,勒索軟件受害者應該準備好應對數(shù)據(jù)和系統(tǒng)加密、數(shù)據(jù)盜竊。
 
涉及數(shù)據(jù)盜竊的勒索軟件攻擊的比例從2021年的40%上升到2022年末的70%。事件響應計劃不僅應該包括從勒索軟件加密中恢復的措施和處理泄露數(shù)據(jù)威脅的協(xié)議,還應該包括在員工或客戶受到影響的情況下怎么辦。
 
例如,攻擊者可能會給公司高管和員工打電話并留下語音郵件,發(fā)送電子郵件,并在泄密網(wǎng)站或社交媒體上泄露受害者的身份。這些策略旨在增加決策者的壓力。一般來說,能夠從勒索軟件攻擊中恢復最快的公司是那些制定了事件響應計劃并提前實施的公司。幸運的是,整個行業(yè)在這方面一直在變得更好,Shelley Ma說。“總體來說,事故響應出現(xiàn)了顯著增長。”
 
測試該計劃至關重要,因為從紙面上落實到工作的過程在實踐中往往會失敗。例如,Shelley Ma遇到過這樣的情況:公司有備份,但它們無效或無法訪問,或者沒有以公司可以使用它們進行快速災難恢復的方式進行設置。發(fā)現(xiàn)自己處于這種情況的公司可能會恐慌,最終決定支付贖金。
 
在恢復被勒索軟件破壞的復雜系統(tǒng)時,解密工具往往會失敗。“即使你能夠解密你的整個數(shù)據(jù)集,也很難讓復雜的配置恢復并像事故發(fā)生前那樣運行。” Shelley Ma說。
 
2.實施多層次網(wǎng)絡安全
 
對于大多數(shù)公司來說,專注于基本的網(wǎng)絡安全衛(wèi)生是降低勒索軟件風險的最快方式。“(網(wǎng)絡安全行業(yè)的)目標不是讓我們的網(wǎng)絡無法穿透,”IDC負責安全和信任研究實踐的集團副總裁弗蘭克·迪克森(Frank Dickson)表示。“這是為了將防御工作提升到這樣一個程度,即穿透它們不再有利可圖。”
 
根據(jù)IDC在6月進行的一項調(diào)查,沒有出現(xiàn)勒索軟件漏洞的公司通常使用五項關鍵安全技術中的一部分或全部:終端檢測和響應(EDR)、云安全網(wǎng)關或云訪問安全代理(CASB)、安全信息和事件管理(SIEM)系統(tǒng)、身份分析或用戶和實體行為分析(UEBA)以及網(wǎng)絡檢測和響應(NDR)。
 
擁有多層防御,以及設置多因素身份驗證和數(shù)據(jù)加密,是網(wǎng)絡安全的基礎,但許多公司仍然犯下了錯誤。Steve Stone最近與一家在網(wǎng)絡安全方面投入巨資的教育組織合作。當他們受到勒索軟件的攻擊時,他們能夠?qū)⒉僮鬓D(zhuǎn)移到離線備份。然后攻擊者提高了他們的要求——如果該企業(yè)不支付贖金,他們的數(shù)據(jù)將被在網(wǎng)上泄露。
 
“該企業(yè)為加密事件做好了充分的準備,但沒有為第二筆贖金做好準備,” Steve Stone說。“有一些實際的敏感數(shù)據(jù)可能會引發(fā)一系列監(jiān)管合規(guī)行動。”
 
該公司不希望看到數(shù)據(jù)泄露,但他們也不相信攻擊者會信守承諾。“這個企業(yè)選擇做的也不是支付第二筆贖金。” Steve Stone說。取而代之的是,在攻擊者等待答案的同時,該企業(yè)通知了受害者這次入侵事件。到數(shù)據(jù)泄露到網(wǎng)上時,他們已經(jīng)完成了通知行動。
 
這次攻擊暴露了該公司防御戰(zhàn)略中的兩個主要弱點。首先,他們的事件應對策略沒有涵蓋第二起敲詐勒索事件。其次,他們沒有加密他們的敏感數(shù)據(jù)。之后,他們回去修改他們的戰(zhàn)略,從他們的應對策略開始。“我們?nèi)绾卧谶@方面做得更好?我們?nèi)绾谓档惋L險?我們下一次怎么做才能有所不同呢?這也導致他們對敏感數(shù)據(jù)進行加密。
 
安全控制奏效了,多年來,公司在保護自己方面變得更好了。Rubrik對企業(yè)進行了安全評估,Steve Stone說,去年這一得分上升了16%,每個地區(qū)和每個行業(yè)都有所改善。有了適當?shù)拇胧?,公司可以減少成功攻擊的數(shù)量和嚴重程度,并在受到攻擊后迅速恢復運行。“歸根結底是成本問題,”Omdia分析師亞當·斯特蘭奇說。“企業(yè)只是沒有足夠的預算,無法讓自己處于安全的地位。”
 
長期以來,數(shù)據(jù)一直被視為企業(yè)中最重要的資產(chǎn)之一。“但我們保護它的方式真的是令人遺憾的。”他說。如果一個企業(yè)因為無法訪問其數(shù)據(jù)而走向滅亡,那么它需要更多地考慮如何保護其數(shù)據(jù)。他補充說,只有隨著GDPR和CCPA的出現(xiàn),數(shù)據(jù)安全才逐漸成為一門獨立的領域。
 
3.投資于強大的備份
 
當勒索軟件攻擊者在企業(yè)中站穩(wěn)腳跟時,他們有兩個主要目標:獲取有價值的數(shù)據(jù)和備份。“最好的情況是備份在云中,并且與主網(wǎng)絡完全斷開連接。” Shelley Ma說。以及磁帶備份,通常運行頻率較低,但完全隔離且無法通過Internet訪問。
 
如果攻擊者獲得了域憑據(jù)的訪問權限,他們應該也無法訪問備份。“如果備份需要第二組身份驗證,它們就會受到更多的保護。” Shelley Ma說。
 
另一種備份策略是不可覆蓋或擦除的不變備份。“一些較大的公司確實實施了這一點。但對于中小型公司來說,不變備份的話題不會出現(xiàn)在董事會會議室里。他們?nèi)匀灰蕾?016年的備份技術——這在當今時代還不夠好。“她說。
 
Rubrik最近對數(shù)千家來自客戶和非客戶環(huán)境的企業(yè)進行了分析,99%的企業(yè)在受到勒索軟件攻擊時都有數(shù)據(jù)備份,但93%的公司在使用這些備份來恢復丟失的數(shù)據(jù)時也遇到了重大挑戰(zhàn)。“要么沒有足夠的數(shù)據(jù)存儲,要么沒有足夠的專業(yè)知識,或者他們環(huán)境的一部分沒有得到充分的覆蓋。” Steve Stone說。此外,他補充說,在73%的事件中,攻擊者在訪問備份方面取得了一些成功。
 
如果備份沒有得到適當?shù)谋Wo,攻擊者就能夠刪除備份或使用泄露的憑據(jù)訪問管理面板。如果備份失敗或被攻擊者刪除,支付贖金似乎是唯一的出路。但是,根據(jù)Rubrik的報告,只有16%的企業(yè)在支付贖金后恢復了所有數(shù)據(jù)。
 
原因是什么呢?勒索軟件團伙不太擅長于解密工具,也沒有特別的動機。
 
根據(jù)Steve Stone的說法,今天的勒索軟件攻擊很少是由單一組織實施的。相反,這是一個攻擊生態(tài)系統(tǒng)。一個參與者發(fā)現(xiàn)了將他們帶入環(huán)境的脆弱性,另一個人植入了勒索軟件,第三個會竊取數(shù)據(jù),然后轉(zhuǎn)賣,其他人使用竊取的憑據(jù)發(fā)動更多攻擊,其他行為者可能會使用相同的訪問路徑來植入加密礦工或更多勒索軟件。
 
Steve Stone說:“一次入侵涉及多個威脅因素,這并不少見。”
 
因此,根據(jù)Barracuda的數(shù)據(jù),38%的組織報告在2022年成功實施了兩次或更多勒索軟件攻擊,而2019年這一比例不到20%,這一點也就不足為奇了。里德·史密斯技術和數(shù)據(jù)業(yè)務合伙人凱瑟琳·卡斯塔爾多表示:“你可以成為罪犯的年金,因為他們可以繼續(xù)索要更多的錢。”“我們已經(jīng)看到了這種情況,特別是在醫(yī)院和律師事務所等敏感領域。”
 
那些因為認為自己不會被勒索軟件攻擊而避免投資于多層安全、強加密、多因素身份驗證和強大備份的公司,或者如果受到勒索軟件攻擊,只需支付贖金并重返工作崗位會更便宜的公司,都活在過去。這一策略可能在2013年奏效,當時勒索軟件攻擊很少,勒索金額很小,但這在今天行不通了。
 
關于企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)。
 
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號