笔者最近阅读了2024年CISO之声(2024 Voice of CISO)的报告,报告指出勒索攻击仍旧是目前CISO最为头疼的事项之一。对报告里有意义的一些数字和洞察摘抄如下:
1
62%的CISO会选择支付赎金来恢复系统——画外音:目测实际比例会更高,这总有人偷偷付了不吭声
2
支付赎金的CISO中,来自沙特的最多(83%)
3
在付还是不付的决策中,CISO会有很强的影响力,但并不是最终的决策者(拍板的大多还是管钱的CFO)
4
勒索攻击手段不断在创新,通过使用新兴技术,使攻击变得更快、更聪明和更处心积虑——潜台词:防不胜防
5
勒索的筹码已经不仅仅是加密数据需要恢复,而更多转变为不付钱就泄露数据——不给糖,就捣乱
6
道德考量(是否会助长网络犯罪的气焰)也成为了很多企业考虑是否支付赎金的主要因素
7
AI技术尤其深度伪造(Deepfake)已经越来越多出现在今年的勒索攻击方式中,并频频得手
除了报告中的这些观察外,其实从最近两年发生的诸多勒索攻击事件看,付钱的企业通常可以更快速地恢复中断的业务,最大程度地降低勒索攻击影响。撇开道德因素的考虑或者监管机构的影响,纯粹从商业角度看,支付赎金对企业无论是在财务方面还是声誉方面都更有积极的影响,早一分钟恢复业务就可以快一点接着赚钱,而花钱不让客户数据泄露,说出去也对得起客户,毕竟愿意为你花钱的人,总爱你多一点。
其实付还是不付的问题,随着攻击者变得更加经验老道,主动权有时候并不掌握在企业手里。近几年我们看到有些勒索攻击可以对企业造成三连击:1)一开始不付钱,系统和数据被加密影响可用性 2)再不付钱,攻击者将数据泄露在暗网或者公开渠道 3)依旧顽强抵抗,攻击者直接发给监管机构进行举报。纵使你有纵深防御,也难以抵御这三板斧。甚至我们还看到过,攻击者在完成勒索攻击收不到赎金恼羞成怒,列示了在攻击过程中发现的一系列受害企业在网络安全的不足之处,俨然一份安全能力差距分析报告,公布于互联网,咨询费用倒是省了,但心理阴影面积无穷大。
当然应对勒索攻击,也不用那么悲观,无论是未雨绸缪,还是退而结网,总还是有一些应对措施,比如:
-
加强安全意识教育,不停留在纸上谈兵,增加模拟钓鱼演练,全民皆兵,方能筑牢防线
-
尽可能通过合适的安全防护工具识别并过滤隐私钓鱼邮件,全民谈AI的时代,即使用不能真正上AI技术,也要做到提升自动化能力
-
不但要有应对勒索攻击的预案,更要有模拟应对演练,看上去很美的表面功夫(预案制度)无法在勒索真正发生的时候救你,只有在演练中尽可能推演现实场景,并把所有可以做决策的高层(CFO必须要在)都拉进来,才能起到演练的作用,并在真实发生勒索攻击的时候,减少决策时间,当那你做过一遍真题的时候,考试时心里才不慌
-
对新兴技术始终保持关注,深度伪造可能可以攻破人,但如果你的内部控制够强大,依旧可以阻止最后一击
-
关注外部的威胁情报,尤其是勒索攻击组织的最新动向,知己未必能抵御攻击,但知彼可能可以给自己争取更多时间
-
事先找好应急响应的外部专业机构,毕竟真发生时,大部分企业还是乱成一锅粥,找有处理经验的外部团队支持,无论是和攻击者谈判讨价还价赎金,还是购买加密货币,做过的和没做过的差别还是挺大的,而很多时候企业都是那个没做过的,因为不至于总被勒索,这种经验多了说出去也丢人
-
精进你的备份技术,已经有企业将Airgap用到了备份解决方案中
-
事先买好网络安全保险可能是兜底的最重要措施,没有之一
-
……
写在最后
最后分享一张来自Chainalysis发布的另一份最新关于勒索攻击报告里的图表。经济大环境艰难,但阻挡不了勒索行业的“欣欣向荣”,数据可以说明一切。
想清楚,做好准备,当勒索发生的时候,付还是不付,不应该是一个问题,至少对于CISO来说。祝大家好运。
source: https://www.chainalysis.com/blog/ransomware-2024/
原文始发于微信公众号(i隐私圆桌派):安全我略知一二 – 勒索攻击应对窘境 -“付还是不付”,这不应该是个问题
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论