前情提要

　　美國(guó)端點(diǎn)安全供應(yīng)商Cybereason 的新研究為支付贖金的組織提供了令人不安的發(fā)現(xiàn)，研究?jī)?nèi)容包括從重復(fù)攻擊到損壞的數(shù)據(jù)以及錯(cuò)誤的解密工具。

　　研究結(jié)果顯示：在勒索軟件攻擊后付款的組織很可能會(huì)遭受第二次攻擊。

　　具體內(nèi)容

　　端點(diǎn)安全供應(yīng)商 Cybereason 的新研究通過對(duì)來自美國(guó)、英國(guó)、西班牙、德國(guó)、法國(guó)、阿拉伯聯(lián)合酋長(zhǎng)國(guó)和新加坡的 1,263 名信息安全專業(yè)人員的調(diào)查，研究了勒索軟件對(duì)企業(yè)的短期和長(zhǎng)期影響。該調(diào)查最重要的發(fā)現(xiàn)之一是，在要求支付贖金的組織中，80% 經(jīng)歷了第二次攻擊。

　　更糟糕的是，在再次受到攻擊的人中，近一半的人表示他們認(rèn)為是同一名攻擊者所為，而只有 34% 的人表示他們認(rèn)為第二次攻擊是由不同的威脅參與者實(shí)施的。

　　此外，根據(jù)Cybereason 的報(bào)告，付費(fèi)并不能保證運(yùn)營(yíng)會(huì)恢復(fù)正常。在接受調(diào)查的人中，46% 的人在付款后重新訪問了他們的數(shù)據(jù)，但部分或全部數(shù)據(jù)已損壞。25% 的受訪者表示，勒索軟件攻擊導(dǎo)致他們的組織關(guān)閉。

　　Cybereason 的報(bào)告圍繞不斷增長(zhǎng)的重復(fù)攻擊威脅提供了令人不安的數(shù)據(jù)。盡管 80% 高于 Cybereason 聯(lián)合創(chuàng)始人兼首席技術(shù)官Yonatan Striem-Amit 的預(yù)期，但他表示這并不令人意外。Striem-Amit 說，這一比例非常高的原因是，當(dāng)企業(yè)選擇支付贖金時(shí)，他們可能正在解決一個(gè)迫在眉睫的問題，所以他們也宣布愿意支付潛在的大筆資金來解決危機(jī)。

　　Striem-Amit 表示，網(wǎng)絡(luò)犯罪分子在識(shí)別潛在目標(biāo)方面已經(jīng)變得更好，而較大的勒索軟件組織則專門從事組織挖掘——利用有針對(duì)性的入侵技術(shù)追蹤大型跨國(guó)公司。問題變得越來越嚴(yán)重，以至于白宮最近發(fā)布了一項(xiàng)僅針對(duì)企業(yè)的勒索軟件指令。

　　“當(dāng)受害者付款時(shí)，他們向攻擊者發(fā)出了一個(gè)信號(hào)：我們開門營(yíng)業(yè)，”他說?！叭缓蠓缸锓肿釉谑芎φ哂袡C(jī)會(huì)加強(qiáng)安全措施之前再次攻擊他們?！?/p>

　　重復(fù)攻擊的原因

　　Cybereason 并不是唯一一家觀察到組織被多次攻擊的趨勢(shì)的供應(yīng)商。Mandiant 事件響應(yīng)主管 Nick Pelletier 告訴記者，他的公司已經(jīng)對(duì)多次受同一勒索軟件威脅攻擊者傷害的公司進(jìn)行了調(diào)查。然而，它們經(jīng)常發(fā)生在威脅行為者試圖索取贖金未成功的情況下。根據(jù) Pelletier 的說法，在這些情況下，Mandiant 觀察到威脅行為者的策略升級(jí)；首先是通過增加加密范圍，然后是通過數(shù)據(jù)竊取和暴露來敲詐勒索。

　　“通過這種方式，重復(fù)瞄準(zhǔn)同一組織有助于通過增加影響力來完成威脅行為者的任務(wù)。此外，將重復(fù)瞄準(zhǔn)視為錯(cuò)誤或受害者缺乏準(zhǔn)備是不準(zhǔn)確的，因?yàn)樗皇穷愃朴谧鳛楣粽叩某掷m(xù)攻擊。Pelletier 在給記者的一封電子郵件中說，這是需要調(diào)查、修復(fù)和提高彈性的奢侈安全提升時(shí)間。

　　此外，攻擊后的事件響應(yīng)可能很棘手。Omdia 的首席分析師 Eric Parizo 告訴記者，因?yàn)槊總€(gè)事件都是獨(dú)一無二的，即使員工經(jīng)過培訓(xùn)、擁有良好的技術(shù)和健全的流程來支持 IR 工作，事情仍然可能出錯(cuò)。

　　”如果你沒有足夠快地發(fā)現(xiàn)事件，識(shí)別所有受影響的地方并采取正確的行動(dòng)來緩解它，可能會(huì)發(fā)生重復(fù)攻擊“ Eric Parizo在給媒體的一封電子郵件中說。

　　TechTarget 的一個(gè)部門 Enterprise Strategy Group 的首席分析師 Jon Oltsik 表示，其他問題是非正式和未經(jīng)測(cè)試的程序以及缺乏訓(xùn)練有素的 IR 人員?！蓖ǔＧ闆r下，客戶確實(shí)會(huì)聽取 IR 提供商的意見，但他們可能沒有及時(shí)這樣做的技能、資源或工作流程，“Oltsik 在給 SearchSecurity 的電子郵件中說。

　　在攻擊后投資

　　Cybereason 要求部分受訪者在過去 24 個(gè)月內(nèi)分享他們?cè)诠艉蟛扇×四男┙鉀Q方案，以保護(hù)他們的網(wǎng)絡(luò)免受任何未來事件的影響。前五名是電子郵件掃描、數(shù)據(jù)備份和恢復(fù)、端點(diǎn)保護(hù)、安全運(yùn)營(yíng)中心（SOC），而排名第一的是 48% 的安全培訓(xùn)意識(shí)。

　　”不幸的是，這不是一個(gè)選擇，只能這樣做，“ Striem- Amit 說?！比绻銍@意識(shí)構(gòu)建整個(gè)安全計(jì)劃，這將不會(huì)成功。但是將所有這些事情一起做是非常有效的——部署正確的解決方案、培訓(xùn)團(tuán)隊(duì)和最佳實(shí)踐將有所幫助。企業(yè)必須愿意采取行動(dòng)。“

　　雖然Striem- Amit 表示網(wǎng)絡(luò)保險(xiǎn)是企業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)的重要組成部分，但 Cybereason 看到了許多保險(xiǎn)未涵蓋全部損害的案例。根據(jù)調(diào)查，42% 的受訪者表示，他們的保險(xiǎn)公司只承保了部分經(jīng)濟(jì)損失。但在品牌聲譽(yù)受損、裁員、業(yè)務(wù)中斷等等之間，成本不斷增加。

　　”保險(xiǎn)真的能涵蓋勒索軟件攻擊的全部成本嗎？答案是否定的。它可能不足以作為減輕組織風(fēng)險(xiǎn)的唯一或主要方式，“ Striem- Amit 說。

　　好的一面是，Cybereason 的報(bào)告稱，今年的總體攻擊量似乎正在下降。然而，該報(bào)告稱，正在發(fā)生的上述攻擊更為復(fù)雜。Striem- Amit 表示，當(dāng)今的勒索軟件操作與民族國(guó)家黑客的復(fù)雜程度和知識(shí)幾乎沒有區(qū)別。因此，企業(yè)需要做好準(zhǔn)備。

　　他說：”專注于正確前沿的網(wǎng)絡(luò)防護(hù)技術(shù)，從過時(shí)的做法轉(zhuǎn)向現(xiàn)代做法，比遭受勒索軟件攻擊時(shí)對(duì)您造成的巨大損失要便宜得多。“ ”如今的勒索軟件攻擊是現(xiàn)代的、復(fù)雜的，并且真正針對(duì)每個(gè)人?，F(xiàn)在就認(rèn)真對(duì)待吧。“