在過去的十年里，黑客索要的贖金的平均價(jià)值從數(shù)百美元上升到數(shù)十萬美元——在某些情況下甚至達(dá)到數(shù)百萬美元。隨著監(jiān)管要求日益嚴(yán)格，CISO因未報(bào)告違規(guī)行為而被起訴，勒索軟件攻擊的風(fēng)險(xiǎn)越來越高。專家表示，企業(yè)可以通過制定事件應(yīng)對(duì)計(jì)劃、改善網(wǎng)絡(luò)安全態(tài)勢(shì)，以及投資于數(shù)據(jù)和基礎(chǔ)設(shè)施的強(qiáng)大備份，從一開始就避免陷入這種情況。

　　2018年，Coalition的事件響應(yīng)主管ShelleyMa正在與一家剛剛受到勒索軟件攻擊的公司的高管和技術(shù)團(tuán)隊(duì)交談。勒索軟件攻擊使該公司陷入停頓，贖金為20萬美元。ShelleyMa回憶道：“首席執(zhí)行官說，‘我每天損失100萬美元。20萬美元對(duì)我來說是小菜一碟。那就支付贖金吧——支付贖金就行了。’”

　　2015年，當(dāng)她第一次開始處理勒索軟件時(shí)，大多數(shù)公司都支付了贖金，贖金通常只有幾百美元。隨著時(shí)間的推移，數(shù)額變得更大了，現(xiàn)在變得過高了，她說。“我們很少看到贖金超過30萬美元。大多數(shù)都是六位數(shù)，或者是七位數(shù)或八位數(shù)。

　　根據(jù)Coverware7月份發(fā)布的一份報(bào)告，支付的贖金平均金額已上升至740000美元以上，與2023年第一季度相比增長(zhǎng)了126%，因?yàn)楣粽咭验_始將目標(biāo)對(duì)準(zhǔn)較大的企業(yè)，試圖勒索更多的贖金。根據(jù)NCC的最新數(shù)據(jù)，勒索軟件攻擊在2023年6月達(dá)到了創(chuàng)紀(jì)錄的水平，比前一年同期增加了221%。

　　也有一些好消息，根據(jù)Coverware的數(shù)據(jù)，受害者付出代價(jià)的勒索軟件攻擊的比例降至34%的創(chuàng)紀(jì)錄低點(diǎn)，這是因?yàn)楣疽恢痹谥贫ㄊ录憫?yīng)計(jì)劃，改善其網(wǎng)絡(luò)安全態(tài)勢(shì)，并投資于數(shù)據(jù)和基礎(chǔ)設(shè)施的強(qiáng)大備份。

　　企業(yè)選擇支付贖金的原因

　　公司支付贖金給網(wǎng)絡(luò)犯罪分子有兩個(gè)主要原因，第一個(gè)原因是他們沒有任何方法自己從勒索軟件攻擊中恢復(fù)，恢復(fù)將需要太多時(shí)間。網(wǎng)絡(luò)災(zāi)難恢復(fù)公司Fenix24的聯(lián)合創(chuàng)始人希思·倫弗羅表示：“在我們的一個(gè)案例中，一家醫(yī)療設(shè)備制造商告訴我們，如果情況沒有顯著變化，他們?cè)龠^幾天就必須發(fā)出2000多份裁員通知。”

　　他說，在支付了贖金后，他們能夠恢復(fù)足夠的數(shù)據(jù)和系統(tǒng)，以至于首席執(zhí)行官取消了裁員。他說：“我們合作過的大多數(shù)公司——過去15個(gè)月里有200多家公司——如果不支付贖金，就不得不關(guān)門。”“雖然我們不一定主張支付贖金，但我們明白，這確實(shí)是一個(gè)商業(yè)決定，撇開支付贖金的道德不談，這是一個(gè)艱難的境地，因?yàn)樵S多人的生計(jì)，有時(shí)還有生命和關(guān)鍵基礎(chǔ)設(shè)施，都岌岌可危。”

　　公司支付贖金的第二個(gè)主要原因是犯罪分子威脅要泄露敏感數(shù)據(jù)。Rubrik的Zero實(shí)驗(yàn)室負(fù)責(zé)人SteveStone曾與許多遭受勒索軟件攻擊的客戶合作過，有時(shí)數(shù)據(jù)非常敏感，因此無論降低多少數(shù)據(jù)泄露的風(fēng)險(xiǎn)，都是值得的。他說：“一些企業(yè)已經(jīng)支付了贖金，試圖保護(hù)數(shù)據(jù)，即使這意味著數(shù)據(jù)仍有被泄露的可能性。”

　　當(dāng)然，你不能相信壞人會(huì)信守諾言，這些數(shù)據(jù)仍然可以通過秘密渠道出售，即使它不被丟棄在黑暗的網(wǎng)絡(luò)上，而且，無論攻擊者是否公布被盜數(shù)據(jù)，這仍然被算作入侵，受害者仍然需要得到通知。如果數(shù)據(jù)足夠關(guān)鍵，一家公司可能會(huì)覺得它必須盡其所能防止數(shù)據(jù)泄露。考慮到所有的回收成本，一些公司可能還會(huì)認(rèn)為支付贖金可能會(huì)為他們節(jié)省資金。

　　實(shí)際情況可能并非如此，根據(jù)IBM在2023年7月下旬發(fā)布的一份報(bào)告，2023年，沒有支付贖金的公司遭受勒索軟件攻擊的全球平均成本為517萬美元。支付贖金的公司只將總成本略微降低，降至506萬美元，僅節(jié)省11萬美元，這通常會(huì)被贖金本身的成本抵消。以下三種策略可以幫助CISO降低遭受勒索軟件攻擊的風(fēng)險(xiǎn)和影響：

　　1.創(chuàng)建事件響應(yīng)攻略

　　避免勒索軟件攻擊的第一步是創(chuàng)建一個(gè)計(jì)劃，無論你是否預(yù)期過自己是潛在目標(biāo)——假設(shè)這更多的是一個(gè)問題，即你何時(shí)會(huì)受到勒索軟件攻擊，而不是如果。根據(jù)VansonBourne最近代表梭魚進(jìn)行的一份報(bào)告，在2022年，73%的公司受到了至少一次成功的勒索軟件攻擊。

　　在沒有事件應(yīng)對(duì)計(jì)劃的情況下，公司通常會(huì)感到恐慌，不知道該給誰打電話，也不知道該怎么辦，這可能會(huì)讓支付贖金看起來像是最容易的出路。然而，有了計(jì)劃，人們知道該做什么，理想情況下，他們已經(jīng)提前實(shí)施了計(jì)劃，以確保災(zāi)難恢復(fù)措施以他們應(yīng)該采取的方式工作。

　　事件響應(yīng)計(jì)劃應(yīng)包括明確的角色和職責(zé)、通信協(xié)議和恢復(fù)策略。根據(jù)帕洛阿爾托的2023年勒索軟件和勒索報(bào)告，勒索軟件受害者應(yīng)該準(zhǔn)備好應(yīng)對(duì)數(shù)據(jù)和系統(tǒng)加密、數(shù)據(jù)盜竊。

　　涉及數(shù)據(jù)盜竊的勒索軟件攻擊的比例從2021年的40%上升到2022年末的70%。事件響應(yīng)計(jì)劃不僅應(yīng)該包括從勒索軟件加密中恢復(fù)的措施和處理泄露數(shù)據(jù)威脅的協(xié)議，還應(yīng)該包括在員工或客戶受到影響的情況下怎么辦。

　　例如，攻擊者可能會(huì)給公司高管和員工打電話并留下語音郵件，發(fā)送電子郵件，并在泄密網(wǎng)站或社交媒體上泄露受害者的身份。這些策略旨在增加決策者的壓力。一般來說，能夠從勒索軟件攻擊中恢復(fù)最快的公司是那些制定了事件響應(yīng)計(jì)劃并提前實(shí)施的公司。幸運(yùn)的是，整個(gè)行業(yè)在這方面一直在變得更好，ShelleyMa說。“總體來說，事故響應(yīng)出現(xiàn)了顯著增長(zhǎng)。”

　　測(cè)試該計(jì)劃至關(guān)重要，因?yàn)閺募埫嫔下鋵?shí)到工作的過程在實(shí)踐中往往會(huì)失敗。例如，ShelleyMa遇到過這樣的情況：公司有備份，但它們無效或無法訪問，或者沒有以公司可以使用它們進(jìn)行快速災(zāi)難恢復(fù)的方式進(jìn)行設(shè)置。發(fā)現(xiàn)自己處于這種情況的公司可能會(huì)恐慌，最終決定支付贖金。

　　在恢復(fù)被勒索軟件破壞的復(fù)雜系統(tǒng)時(shí)，解密工具往往會(huì)失敗。“即使你能夠解密你的整個(gè)數(shù)據(jù)集，也很難讓復(fù)雜的配置恢復(fù)并像事故發(fā)生前那樣運(yùn)行。”ShelleyMa說。

　　2.實(shí)施多層次網(wǎng)絡(luò)安全

　　對(duì)于大多數(shù)公司來說，專注于基本的網(wǎng)絡(luò)安全衛(wèi)生是降低勒索軟件風(fēng)險(xiǎn)的最快方式。“(網(wǎng)絡(luò)安全行業(yè)的)目標(biāo)不是讓我們的網(wǎng)絡(luò)無法穿透，”IDC負(fù)責(zé)安全和信任研究實(shí)踐的集團(tuán)副總裁弗蘭克·迪克森(FrankDickson)表示。“這是為了將防御工作提升到這樣一個(gè)程度，即穿透它們不再有利可圖。”

　　根據(jù)IDC在6月進(jìn)行的一項(xiàng)調(diào)查，沒有出現(xiàn)勒索軟件漏洞的公司通常使用五項(xiàng)關(guān)鍵安全技術(shù)中的一部分或全部：終端檢測(cè)和響應(yīng)(EDR)、云安全網(wǎng)關(guān)或云訪問安全代理(CASB)、安全信息和事件管理(SIEM)系統(tǒng)、身份分析或用戶和實(shí)體行為分析(UEBA)以及網(wǎng)絡(luò)檢測(cè)和響應(yīng)(NDR)。

　　擁有多層防御，以及設(shè)置多因素身份驗(yàn)證和數(shù)據(jù)加密，是網(wǎng)絡(luò)安全的基礎(chǔ)，但許多公司仍然犯下了錯(cuò)誤。SteveStone最近與一家在網(wǎng)絡(luò)安全方面投入巨資的教育組織合作。當(dāng)他們受到勒索軟件的攻擊時(shí)，他們能夠?qū)⒉僮鬓D(zhuǎn)移到離線備份。然后攻擊者提高了他們的要求——如果該企業(yè)不支付贖金，他們的數(shù)據(jù)將被在網(wǎng)上泄露。

　　“該企業(yè)為加密事件做好了充分的準(zhǔn)備，但沒有為第二筆贖金做好準(zhǔn)備，”SteveStone說。“有一些實(shí)際的敏感數(shù)據(jù)可能會(huì)引發(fā)一系列監(jiān)管合規(guī)行動(dòng)。”

　　該公司不希望看到數(shù)據(jù)泄露，但他們也不相信攻擊者會(huì)信守承諾。“這個(gè)企業(yè)選擇做的也不是支付第二筆贖金。”SteveStone說。取而代之的是，在攻擊者等待答案的同時(shí)，該企業(yè)通知了受害者這次入侵事件。到數(shù)據(jù)泄露到網(wǎng)上時(shí)，他們已經(jīng)完成了通知行動(dòng)。

　　這次攻擊暴露了該公司防御戰(zhàn)略中的兩個(gè)主要弱點(diǎn)。首先，他們的事件應(yīng)對(duì)策略沒有涵蓋第二起敲詐勒索事件。其次，他們沒有加密他們的敏感數(shù)據(jù)。之后，他們回去修改他們的戰(zhàn)略，從他們的應(yīng)對(duì)策略開始。“我們?nèi)绾卧谶@方面做得更好?我們?nèi)绾谓档惋L(fēng)險(xiǎn)?我們下一次怎么做才能有所不同呢?這也導(dǎo)致他們對(duì)敏感數(shù)據(jù)進(jìn)行加密。

　　安全控制奏效了，多年來，公司在保護(hù)自己方面變得更好了。Rubrik對(duì)企業(yè)進(jìn)行了安全評(píng)估，SteveStone說，去年這一得分上升了16%，每個(gè)地區(qū)和每個(gè)行業(yè)都有所改善。有了適當(dāng)?shù)拇胧究梢詼p少成功攻擊的數(shù)量和嚴(yán)重程度，并在受到攻擊后迅速恢復(fù)運(yùn)行。“歸根結(jié)底是成本問題，”Omdia分析師亞當(dāng)·斯特蘭奇說。“企業(yè)只是沒有足夠的預(yù)算，無法讓自己處于安全的地位。”

　　長(zhǎng)期以來，數(shù)據(jù)一直被視為企業(yè)中最重要的資產(chǎn)之一。“但我們保護(hù)它的方式真的是令人遺憾的。”他說。如果一個(gè)企業(yè)因?yàn)闊o法訪問其數(shù)據(jù)而走向滅亡，那么它需要更多地考慮如何保護(hù)其數(shù)據(jù)。他補(bǔ)充說，只有隨著GDPR和CCPA的出現(xiàn)，數(shù)據(jù)安全才逐漸成為一門獨(dú)立的領(lǐng)域。

　　3.投資于強(qiáng)大的備份

　　當(dāng)勒索軟件攻擊者在企業(yè)中站穩(wěn)腳跟時(shí)，他們有兩個(gè)主要目標(biāo)：獲取有價(jià)值的數(shù)據(jù)和備份。“最好的情況是備份在云中，并且與主網(wǎng)絡(luò)完全斷開連接。”ShelleyMa說。以及磁帶備份，通常運(yùn)行頻率較低，但完全隔離且無法通過Internet訪問。

　　如果攻擊者獲得了域憑據(jù)的訪問權(quán)限，他們應(yīng)該也無法訪問備份。“如果備份需要第二組身份驗(yàn)證，它們就會(huì)受到更多的保護(hù)。”ShelleyMa說。

　　另一種備份策略是不可覆蓋或擦除的不變備份。“一些較大的公司確實(shí)實(shí)施了這一點(diǎn)。但對(duì)于中小型公司來說，不變備份的話題不會(huì)出現(xiàn)在董事會(huì)會(huì)議室里。他們?nèi)匀灰蕾?016年的備份技術(shù)——這在當(dāng)今時(shí)代還不夠好。“她說。

　　Rubrik最近對(duì)數(shù)千家來自客戶和非客戶環(huán)境的企業(yè)進(jìn)行了分析，99%的企業(yè)在受到勒索軟件攻擊時(shí)都有數(shù)據(jù)備份，但93%的公司在使用這些備份來恢復(fù)丟失的數(shù)據(jù)時(shí)也遇到了重大挑戰(zhàn)。“要么沒有足夠的數(shù)據(jù)存儲(chǔ)，要么沒有足夠的專業(yè)知識(shí)，或者他們環(huán)境的一部分沒有得到充分的覆蓋。”SteveStone說。此外，他補(bǔ)充說，在73%的事件中，攻擊者在訪問備份方面取得了一些成功。

　　如果備份沒有得到適當(dāng)?shù)谋Ｗo(hù)，攻擊者就能夠刪除備份或使用泄露的憑據(jù)訪問管理面板。如果備份失敗或被攻擊者刪除，支付贖金似乎是唯一的出路。但是，根據(jù)Rubrik的報(bào)告，只有16%的企業(yè)在支付贖金后恢復(fù)了所有數(shù)據(jù)。

　　原因是什么呢?勒索軟件團(tuán)伙不太擅長(zhǎng)于解密工具，也沒有特別的動(dòng)機(jī)。

　　根據(jù)SteveStone的說法，今天的勒索軟件攻擊很少是由單一組織實(shí)施的。相反，這是一個(gè)攻擊生態(tài)系統(tǒng)。一個(gè)參與者發(fā)現(xiàn)了將他們帶入環(huán)境的脆弱性，另一個(gè)人植入了勒索軟件，第三個(gè)會(huì)竊取數(shù)據(jù)，然后轉(zhuǎn)賣，其他人使用竊取的憑據(jù)發(fā)動(dòng)更多攻擊，其他行為者可能會(huì)使用相同的訪問路徑來植入加密礦工或更多勒索軟件。

　　SteveStone說：“一次入侵涉及多個(gè)威脅因素，這并不少見。”

　　因此，根據(jù)Barracuda的數(shù)據(jù)，38%的組織報(bào)告在2022年成功實(shí)施了兩次或更多勒索軟件攻擊，而2019年這一比例不到20%，這一點(diǎn)也就不足為奇了。里德·史密斯技術(shù)和數(shù)據(jù)業(yè)務(wù)合伙人凱瑟琳·卡斯塔爾多表示：“你可以成為罪犯的年金，因?yàn)樗麄兛梢岳^續(xù)索要更多的錢。”“我們已經(jīng)看到了這種情況，特別是在醫(yī)院和律師事務(wù)所等敏感領(lǐng)域。”

　　那些因?yàn)檎J(rèn)為自己不會(huì)被勒索軟件攻擊而避免投資于多層安全、強(qiáng)加密、多因素身份驗(yàn)證和強(qiáng)大備份的公司，或者如果受到勒索軟件攻擊，只需支付贖金并重返工作崗位會(huì)更便宜的公司，都活在過去。這一策略可能在2013年奏效，當(dāng)時(shí)勒索軟件攻擊很少，勒索金額很小，但這在今天行不通了。