网络安全战略和安全意识的提高迫使网络攻击者改进其战略,并扩展到新的行业领域,使其行为更难控制。网络犯罪分子的动机也在发生变化,从控制企业的数据到勒索钱财,再到出于政治原因(包括大规模关闭关键基础设施)造成更严重的破坏。
2021年早些时候,由于遭到勒索软件攻击。迫使一家受到攻击的企业支付约500万美元的比特币以重新获得数据控制权并继续提供服务。人们也看到美国Colonial Pipeline公司的燃油管道由于遭遇网络攻击导致供应中断。与此同时,爱尔兰卫生服务执行机构也面临勒索,要求支付2000万美元的赎金,否则将其保存患者的个人数据对外公开。即使该机构在支付赎金之后,仍有520条记录在暗网上出售,这进一步凸显了网络犯罪分子的不可预测性。
勒索软件攻击技术和策略在这些年来取得了长足的进步。双重勒索的勒索软件如今不再只是加密数据之后勒索所有者,而且首先窃取数据,然后等待使受害方的数据备份和数据恢复计划过时,以迫使他们支付赎金。因此,网络犯罪分子找到了另一种敲诈勒索的途径,企业需要准备好克服这一新威胁。
什么是双重勒索的勒索软件,威胁有多严重?
双重勒索的勒索软件使网络犯罪分子不仅可以要求受害方为被盗数据支付赎金,还可以将其作为虚假承诺,以防止其公开发布。如果受害方没有在规定的时间内支付赎金,犯罪分子会将这些数据公布给所有人,包括受害方可能的竞争对手。
如果不支付赎金,就会威胁对外公布,并使受害方“名誉扫地”,而且根据Emisoft公司的研究,采用这种策略的网络犯罪案例正在增加。研究发现,在收到的100101份针对企业和公共部门机构的勒索软件攻击报告中,其中11.6%的报告是由窃取和发布数据的团体以“名誉扫地”的方式进行的。
民族国家行为者的犯罪软件即服务也有所增长,越来越加剧地缘政治紧张局势。民族国家正在从暗网上购买工具和服务,而他们开发的工具也正在进入黑市出售。
那么企业如何才能克服这种日益严重的威胁呢?
威胁加倍,恢复计划也需加倍
网络攻击者要想成功勒索赎金,首先必须确保受害方无法恢复有用的数据,否则他们将面临受害方不支付赎金的风险。因此,他们禁用或破坏受害方备份数据,使其几乎无法恢复。网络攻击者然后再通过窃取的数据进行勒索。
通过制定专门的受损数据风险管理计划,与使用标准化的数据恢复流程相比,企业能够提高成功机率,并显著增加受损数据恢复的可能性。由于勒索软件的威胁日趋严重,企业需要做好准备,并重新考虑现有的数据恢复计划。
为了应对这些反复出现的问题,企业需要规划五个最关键的步骤来恢复损坏的数据:
- 识别——识别并证明企业的重要数据资产(VDA)。这是需要额外保护级别的数据。这是企业必备的数据。
- 保护——提高可以恢复当前数据可能性的能力,例如可以防止网络攻击的故障保护副本。
- 检测——识别可能增加企业访问其重要数据资产(VDA)风险的弱点漏洞。
- 响应——在数据泄露事件之后要遵循的计划、流程和程序。
- 恢复——让团队为这种可能发生的情况做好准备的训练、测试和练习。
制定有效的计划
所有企业都面临勒索软件攻击的风险,快速变化的威胁形势使现有的检测工具受到质疑。它们不再是对抗网络攻击和防止大量数据丢失的有效手段。撇开外部威胁者不谈,所有企业都在与内部威胁的风险竞争,而心怀不满的员工有权访问内部网络和信息。近年来,网络安全培训取得了突飞猛进的进展,但人为错误仍然是企业面临的巨大风险,尤其是采用混合工作模式的企业。
最终,每个企业都应该着眼大局,并制定数据恢复计划。传统勒索软件攻击的破坏性不容小觑,但与新策略相关的风险无疑对业务更为关键。企业声誉受损和客户信任受损通常是无法弥补的。在让网络犯罪分子攻击之前,业务管理者必须简要介绍协议,并与企业管理层密切合作,确定哪些数据应该是恢复任务中的优先事项。这样,企业即使面对网络攻击,他们的数据、资产和基础设施也将保持完好。