在过去的十年里,黑客索要的赎金的平均价值从数百美元上升到数十万美元——在某些情况下甚至达到数百万美元。随着监管要求日益严格,CISO因未报告违规行为而被起诉,勒索软件攻击的风险越来越高。专家表示,企业可以通过制定事件应对计划、改善网络安全态势,以及投资于数据和基础设施的强大备份,从一开始就避免陷入这种情况。
2018年,Coalition的事件响应主管Shelley Ma正在与一家刚刚受到勒索软件攻击的公司的高管和技术团队交谈。勒索软件攻击使该公司陷入停顿,赎金为20万美元。Shelley Ma回忆道:“首席执行官说,‘我每天损失100万美元。20万美元对我来说是小菜一碟。那就支付赎金吧——支付赎金就行了。’”
2015年,当她第一次开始处理勒索软件时,大多数公司都支付了赎金,赎金通常只有几百美元。随着时间的推移,数额变得更大了,现在变得过高了,她说。“我们很少看到赎金超过30万美元。大多数都是六位数,或者是七位数或八位数。
根据Coverware 7月份发布的一份报告,支付的赎金平均金额已上升至740000美元以上,与2023年第一季度相比增长了126%,因为攻击者已开始将目标对准较大的企业,试图勒索更多的赎金。根据NCC的最新数据,勒索软件攻击在2023年6月达到了创纪录的水平,比前一年同期增加了221%。
也有一些好消息,根据Coverware的数据,受害者付出代价的勒索软件攻击的比例降至34%的创纪录低点,这是因为公司一直在制定事件响应计划,改善其网络安全态势,并投资于数据和基础设施的强大备份。
企业选择支付赎金的原因
公司支付赎金给网络犯罪分子有两个主要原因,第一个原因是他们没有任何方法自己从勒索软件攻击中恢复,恢复将需要太多时间。网络灾难恢复公司Fenix24的联合创始人希思·伦弗罗表示:“在我们的一个案例中,一家医疗设备制造商告诉我们,如果情况没有显著变化,他们再过几天就必须发出2000多份裁员通知。”
他说,在支付了赎金后,他们能够恢复足够的数据和系统,以至于首席执行官取消了裁员。他说:“我们合作过的大多数公司——过去15个月里有200多家公司——如果不支付赎金,就不得不关门。”“虽然我们不一定主张支付赎金,但我们明白,这确实是一个商业决定,撇开支付赎金的道德不谈,这是一个艰难的境地,因为许多人的生计,有时还有生命和关键基础设施,都岌岌可危。”
公司支付赎金的第二个主要原因是犯罪分子威胁要泄露敏感数据。Rubrik的Zero实验室负责人Steve Stone曾与许多遭受勒索软件攻击的客户合作过,有时数据非常敏感,因此无论降低多少数据泄露的风险,都是值得的。他说:“一些企业已经支付了赎金,试图保护数据,即使这意味着数据仍有被泄露的可能性。”
当然,你不能相信坏人会信守诺言,这些数据仍然可以通过秘密渠道出售,即使它不被丢弃在黑暗的网络上,而且,无论攻击者是否公布被盗数据,这仍然被算作入侵,受害者仍然需要得到通知。如果数据足够关键,一家公司可能会觉得它必须尽其所能防止数据泄露。考虑到所有的回收成本,一些公司可能还会认为支付赎金可能会为他们节省资金。
实际情况可能并非如此,根据IBM在2023年7月下旬发布的一份报告,2023年,没有支付赎金的公司遭受勒索软件攻击的全球平均成本为517万美元。支付赎金的公司只将总成本略微降低,降至506万美元,仅节省11万美元,这通常会被赎金本身的成本抵消。以下三种策略可以帮助CISO降低遭受勒索软件攻击的风险和影响:
创建事件响应攻略
避免勒索软件攻击的第一步是创建一个计划,无论你是否预期过自己是潜在目标——假设这更多的是一个问题,即你何时会受到勒索软件攻击,而不是如果。根据Vanson Bourne最近代表梭鱼进行的一份报告,在2022年,73%的公司受到了至少一次成功的勒索软件攻击。
在没有事件应对计划的情况下,公司通常会感到恐慌,不知道该给谁打电话,也不知道该怎么办,这可能会让支付赎金看起来像是最容易的出路。然而,有了计划,人们知道该做什么,理想情况下,他们已经提前实施了计划,以确保灾难恢复措施以他们应该采取的方式工作。
事件响应计划应包括明确的角色和职责、通信协议和恢复策略。根据帕洛阿尔托的2023年勒索软件和勒索报告,勒索软件受害者应该准备好应对数据和系统加密、数据盗窃。
涉及数据盗窃的勒索软件攻击的比例从2021年的40%上升到2022年末的70%。事件响应计划不仅应该包括从勒索软件加密中恢复的措施和处理泄露数据威胁的协议,还应该包括在员工或客户受到影响的情况下怎么办。
例如,攻击者可能会给公司高管和员工打电话并留下语音邮件,发送电子邮件,并在泄密网站或社交媒体上泄露受害者的身份。这些策略旨在增加决策者的压力。一般来说,能够从勒索软件攻击中恢复最快的公司是那些制定了事件响应计划并提前实施的公司。幸运的是,整个行业在这方面一直在变得更好,Shelley Ma说。“总体来说,事故响应出现了显著增长。”
测试该计划至关重要,因为从纸面上落实到工作的过程在实践中往往会失败。例如,Shelley Ma遇到过这样的情况:公司有备份,但它们无效或无法访问,或者没有以公司可以使用它们进行快速灾难恢复的方式进行设置。发现自己处于这种情况的公司可能会恐慌,最终决定支付赎金。
在恢复被勒索软件破坏的复杂系统时,解密工具往往会失败。“即使你能够解密你的整个数据集,也很难让复杂的配置恢复并像事故发生前那样运行。” Shelley Ma说。
实施多层次网络安全
对于大多数公司来说,专注于基本的网络安全卫生是降低勒索软件风险的最快方式。“(网络安全行业的)目标不是让我们的网络无法穿透,”IDC负责安全和信任研究实践的集团副总裁弗兰克·迪克森(Frank Dickson)表示。“这是为了将防御工作提升到这样一个程度,即穿透它们不再有利可图。”
根据IDC在6月进行的一项调查,没有出现勒索软件漏洞的公司通常使用五项关键安全技术中的一部分或全部:终端检测和响应(EDR)、云安全网关或云访问安全代理(CASB)、安全信息和事件管理(SIEM)系统、身份分析或用户和实体行为分析(UEBA)以及网络检测和响应(NDR)。
拥有多层防御,以及设置多因素身份验证和数据加密,是网络安全的基础,但许多公司仍然犯下了错误。Steve Stone最近与一家在网络安全方面投入巨资的教育组织合作。当他们受到勒索软件的攻击时,他们能够将操作转移到离线备份。然后攻击者提高了他们的要求——如果该企业不支付赎金,他们的数据将被在网上泄露。
“该企业为加密事件做好了充分的准备,但没有为第二笔赎金做好准备,” Steve Stone说。“有一些实际的敏感数据可能会引发一系列监管合规行动。”
该公司不希望看到数据泄露,但他们也不相信攻击者会信守承诺。“这个企业选择做的也不是支付第二笔赎金。” Steve Stone说。取而代之的是,在攻击者等待答案的同时,该企业通知了受害者这次入侵事件。到数据泄露到网上时,他们已经完成了通知行动。
这次攻击暴露了该公司防御战略中的两个主要弱点。首先,他们的事件应对策略没有涵盖第二起敲诈勒索事件。其次,他们没有加密他们的敏感数据。之后,他们回去修改他们的战略,从他们的应对策略开始。“我们如何在这方面做得更好?我们如何降低风险?我们下一次怎么做才能有所不同呢?这也导致他们对敏感数据进行加密。
安全控制奏效了,多年来,公司在保护自己方面变得更好了。Rubrik对企业进行了安全评估,Steve Stone说,去年这一得分上升了16%,每个地区和每个行业都有所改善。有了适当的措施,公司可以减少成功攻击的数量和严重程度,并在受到攻击后迅速恢复运行。“归根结底是成本问题,”Omdia分析师亚当·斯特兰奇说。“企业只是没有足够的预算,无法让自己处于安全的地位。”
长期以来,数据一直被视为企业中最重要的资产之一。“但我们保护它的方式真的是令人遗憾的。”他说。如果一个企业因为无法访问其数据而走向灭亡,那么它需要更多地考虑如何保护其数据。他补充说,只有随着GDPR和CCPA的出现,数据安全才逐渐成为一门独立的领域。
投资于强大的备份
当勒索软件攻击者在企业中站稳脚跟时,他们有两个主要目标:获取有价值的数据和备份。“最好的情况是备份在云中,并且与主网络完全断开连接。” Shelley Ma说。以及磁带备份,通常运行频率较低,但完全隔离且无法通过Internet访问。
如果攻击者获得了域凭据的访问权限,他们应该也无法访问备份。“如果备份需要第二组身份验证,它们就会受到更多的保护。” Shelley Ma说。
另一种备份策略是不可覆盖或擦除的不变备份。“一些较大的公司确实实施了这一点。但对于中小型公司来说,不变备份的话题不会出现在董事会会议室里。他们仍然依赖2016年的备份技术——这在当今时代还不够好。“她说。
Rubrik最近对数千家来自客户和非客户环境的企业进行了分析,99%的企业在受到勒索软件攻击时都有数据备份,但93%的公司在使用这些备份来恢复丢失的数据时也遇到了重大挑战。“要么没有足够的数据存储,要么没有足够的专业知识,或者他们环境的一部分没有得到充分的覆盖。” Steve Stone说。此外,他补充说,在73%的事件中,攻击者在访问备份方面取得了一些成功。
如果备份没有得到适当的保护,攻击者就能够删除备份或使用泄露的凭据访问管理面板。如果备份失败或被攻击者删除,支付赎金似乎是唯一的出路。但是,根据Rubrik的报告,只有16%的企业在支付赎金后恢复了所有数据。
原因是什么呢?勒索软件团伙不太擅长于解密工具,也没有特别的动机。
根据Steve Stone的说法,今天的勒索软件攻击很少是由单一组织实施的。相反,这是一个攻击生态系统。一个参与者发现了将他们带入环境的脆弱性,另一个人植入了勒索软件,第三个会窃取数据,然后转卖,其他人使用窃取的凭据发动更多攻击,其他行为者可能会使用相同的访问路径来植入加密矿工或更多勒索软件。
Steve Stone说:“一次入侵涉及多个威胁因素,这并不少见。”
因此,根据Barracuda的数据,38%的组织报告在2022年成功实施了两次或更多勒索软件攻击,而2019年这一比例不到20%,这一点也就不足为奇了。里德·史密斯技术和数据业务合伙人凯瑟琳·卡斯塔尔多表示:“你可以成为罪犯的年金,因为他们可以继续索要更多的钱。”“我们已经看到了这种情况,特别是在医院和律师事务所等敏感领域。”
那些因为认为自己不会被勒索软件攻击而避免投资于多层安全、强加密、多因素身份验证和强大备份的公司,或者如果受到勒索软件攻击,只需支付赎金并重返工作岗位会更便宜的公司,都活在过去。这一策略可能在2013年奏效,当时勒索软件攻击很少,勒索金额很小,但这在今天行不通了。