前情提要

　　美國端點安全供應商Cybereason 的新研究為支付贖金的組織提供了令人不安的發(fā)現(xiàn)，研究內(nèi)容包括從重復攻擊到損壞的數(shù)據(jù)以及錯誤的解密工具。

　　研究結(jié)果顯示：在勒索軟件攻擊后付款的組織很可能會遭受第二次攻擊。

　　具體內(nèi)容

　　端點安全供應商 Cybereason 的新研究通過對來自美國、英國、西班牙、德國、法國、阿拉伯聯(lián)合酋長國和新加坡的 1,263 名信息安全專業(yè)人員的調(diào)查，研究了勒索軟件對企業(yè)的短期和長期影響。該調(diào)查最重要的發(fā)現(xiàn)之一是，在要求支付贖金的組織中，80% 經(jīng)歷了第二次攻擊。

　　更糟糕的是，在再次受到攻擊的人中，近一半的人表示他們認為是同一名攻擊者所為，而只有 34% 的人表示他們認為第二次攻擊是由不同的威脅參與者實施的。

　　此外，根據(jù)Cybereason 的報告，付費并不能保證運營會恢復正常。在接受調(diào)查的人中，46% 的人在付款后重新訪問了他們的數(shù)據(jù)，但部分或全部數(shù)據(jù)已損壞。25% 的受訪者表示，勒索軟件攻擊導致他們的組織關(guān)閉。

　　Cybereason 的報告圍繞不斷增長的重復攻擊威脅提供了令人不安的數(shù)據(jù)。盡管 80% 高于 Cybereason 聯(lián)合創(chuàng)始人兼首席技術(shù)官Yonatan Striem-Amit 的預期，但他表示這并不令人意外。Striem-Amit 說，這一比例非常高的原因是，當企業(yè)選擇支付贖金時，他們可能正在解決一個迫在眉睫的問題，所以他們也宣布愿意支付潛在的大筆資金來解決危機。

　　Striem-Amit 表示，網(wǎng)絡(luò)犯罪分子在識別潛在目標方面已經(jīng)變得更好，而較大的勒索軟件組織則專門從事組織挖掘——利用有針對性的入侵技術(shù)追蹤大型跨國公司。問題變得越來越嚴重，以至于白宮最近發(fā)布了一項僅針對企業(yè)的勒索軟件指令。

　　“當受害者付款時，他們向攻擊者發(fā)出了一個信號：我們開門營業(yè)，”他說?！叭缓蠓缸锓肿釉谑芎φ哂袡C會加強安全措施之前再次攻擊他們?！?/p>

　　重復攻擊的原因

　　Cybereason 并不是唯一一家觀察到組織被多次攻擊的趨勢的供應商。Mandiant 事件響應主管 Nick Pelletier 告訴記者，他的公司已經(jīng)對多次受同一勒索軟件威脅攻擊者傷害的公司進行了調(diào)查。然而，它們經(jīng)常發(fā)生在威脅行為者試圖索取贖金未成功的情況下。根據(jù) Pelletier 的說法，在這些情況下，Mandiant 觀察到威脅行為者的策略升級；首先是通過增加加密范圍，然后是通過數(shù)據(jù)竊取和暴露來敲詐勒索。

　　“通過這種方式，重復瞄準同一組織有助于通過增加影響力來完成威脅行為者的任務。此外，將重復瞄準視為錯誤或受害者缺乏準備是不準確的，因為它更只是類似于作為攻擊者的持續(xù)攻擊。Pelletier 在給記者的一封電子郵件中說，這是需要調(diào)查、修復和提高彈性的奢侈安全提升時間。

　　此外，攻擊后的事件響應可能很棘手。Omdia 的首席分析師 Eric Parizo 告訴記者，因為每個事件都是獨一無二的，即使員工經(jīng)過培訓、擁有良好的技術(shù)和健全的流程來支持 IR 工作，事情仍然可能出錯。

　　”如果你沒有足夠快地發(fā)現(xiàn)事件，識別所有受影響的地方并采取正確的行動來緩解它，可能會發(fā)生重復攻擊“ Eric Parizo在給媒體的一封電子郵件中說。

　　TechTarget 的一個部門 Enterprise Strategy Group 的首席分析師 Jon Oltsik 表示，其他問題是非正式和未經(jīng)測試的程序以及缺乏訓練有素的 IR 人員?！蓖ǔＧ闆r下，客戶確實會聽取 IR 提供商的意見，但他們可能沒有及時這樣做的技能、資源或工作流程，“Oltsik 在給 SearchSecurity 的電子郵件中說。

　　在攻擊后投資

　　Cybereason 要求部分受訪者在過去 24 個月內(nèi)分享他們在攻擊后采取了哪些解決方案，以保護他們的網(wǎng)絡(luò)免受任何未來事件的影響。前五名是電子郵件掃描、數(shù)據(jù)備份和恢復、端點保護、安全運營中心（SOC），而排名第一的是 48% 的安全培訓意識。

　　”不幸的是，這不是一個選擇，只能這樣做，“ Striem- Amit 說。”如果你圍繞意識構(gòu)建整個安全計劃，這將不會成功。但是將所有這些事情一起做是非常有效的——部署正確的解決方案、培訓團隊和最佳實踐將有所幫助。企業(yè)必須愿意采取行動?！?/p>

　　雖然Striem- Amit 表示網(wǎng)絡(luò)保險是企業(yè)網(wǎng)絡(luò)安全態(tài)勢的重要組成部分，但 Cybereason 看到了許多保險未涵蓋全部損害的案例。根據(jù)調(diào)查，42% 的受訪者表示，他們的保險公司只承保了部分經(jīng)濟損失。但在品牌聲譽受損、裁員、業(yè)務中斷等等之間，成本不斷增加。

　　”保險真的能涵蓋勒索軟件攻擊的全部成本嗎？答案是否定的。它可能不足以作為減輕組織風險的唯一或主要方式，“ Striem- Amit 說。

　　好的一面是，Cybereason 的報告稱，今年的總體攻擊量似乎正在下降。然而，該報告稱，正在發(fā)生的上述攻擊更為復雜。Striem- Amit 表示，當今的勒索軟件操作與民族國家黑客的復雜程度和知識幾乎沒有區(qū)別。因此，企業(yè)需要做好準備。

　　他說：”專注于正確前沿的網(wǎng)絡(luò)防護技術(shù)，從過時的做法轉(zhuǎn)向現(xiàn)代做法，比遭受勒索軟件攻擊時對您造成的巨大損失要便宜得多?！?”如今的勒索軟件攻擊是現(xiàn)代的、復雜的，并且真正針對每個人?，F(xiàn)在就認真對待吧?！?/p>