去年，勒索軟件事件驚人增長(zhǎng)，25%的數(shù)據(jù)泄露都涉及勒索軟件因素。

威瑞森新近發(fā)布的2022版《數(shù)據(jù)泄露調(diào)查報(bào)告》(DBIR)指出，去年一年里，伴隨數(shù)據(jù)泄露的勒索軟件事件大幅增長(zhǎng)了13%，而去年的報(bào)告中僅有12%的事件是勒索軟件相關(guān)的。換句話說(shuō)，這一增長(zhǎng)率超過(guò)了之前五年的增長(zhǎng)總和。

這第15版DBIR分析了23,896起安全事件，其中5,212起是經(jīng)證實(shí)的數(shù)據(jù)泄露。威瑞森表示，其中大約五分之四的事件是外部網(wǎng)絡(luò)犯罪團(tuán)伙和威脅組織的杰作。威瑞森安全研究團(tuán)隊(duì)經(jīng)歷Alex Pinto認(rèn)為，這些惡意團(tuán)伙越來(lái)越容易通過(guò)勒索軟件謀取不義之財(cái)，使得其他類型的數(shù)據(jù)泄露方式逐漸式微。

“網(wǎng)絡(luò)犯罪中的一切都變得如此商品化，真成一門生意了，變現(xiàn)犯罪活動(dòng)的方法超級(jí)高效?！彼蛐畔踩襟w透露，”隨著勒索軟件即服務(wù)(RaaS ) 和初始訪問(wèn)經(jīng)紀(jì)人的興起，發(fā)起勒索軟件攻擊幾乎不需要什么技術(shù)，也不費(fèi)力?！?/p>

“曾經(jīng)，你得先入侵，四處嗅探，然后找出有銷路的那些值得偷的東西?！彼忉尩溃拔覀儚?008年開始編撰DBIR，當(dāng)時(shí)基本上都是支付卡數(shù)據(jù)被盜。而現(xiàn)在，這種情況大幅減少，因?yàn)橹恍枰?gòu)買別人弄到的訪問(wèn)權(quán)，并安裝租用的勒索軟件，就可以更容易地實(shí)現(xiàn)同樣的賺錢目標(biāo)?！?/p>

如此一來(lái)，任何組織都可能成為目標(biāo)：就算沒(méi)有高度敏感數(shù)據(jù)之類值得盜取的東西，公司也會(huì)落入網(wǎng)絡(luò)罪犯的攻擊范圍。這意味著，中小市場(chǎng)企業(yè)和夫妻店都應(yīng)該提高警惕。

“網(wǎng)絡(luò)罪犯不用再去攻克大企業(yè)?！盤into說(shuō)道，“事實(shí)上，瞄準(zhǔn)大企業(yè)可能適得其反，因?yàn)樗麄兊姆烙ǔ９倘艚饻６绻患夜局挥袔着_(tái)電腦，還很緊張自己的數(shù)據(jù)，那你倒是很有可能從中撈點(diǎn)油水?！?/p>

換言之，DBIR發(fā)現(xiàn)大約40%的數(shù)據(jù)泄露是由于安裝了惡意軟件(威瑞森稱為系統(tǒng)入侵)，而RaaS的興起導(dǎo)致了這些數(shù)據(jù)泄露事件中55%涉及勒索軟件。

Pinto稱：“我們的擔(dān)憂在于，這種情況毫無(wú)止境。我們不再相信這種情況會(huì)停歇——除非有人想出更有效率的方法。我無(wú)法想象這會(huì)是種什么樣子的方法，但或許，這就是我沒(méi)參與有組織犯罪生意的原因了?！?/p>

SolarWinds效應(yīng)

過(guò)去一年里，臭名昭著的SolarWinds供應(yīng)鏈黑客事件余波震蕩，“軟件更新”途徑將“合作伙伴數(shù)據(jù)泄露”推上系統(tǒng)入侵事件(包括勒索軟件事件)的主因(62%)——這比2020年微不足道的1%高出許多。

Pinto指出，盡管SolarWinds等事件(以及Kaseya相關(guān)勒索軟件攻擊等其他事件)引發(fā)媒體報(bào)道和關(guān)注，但對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，處理供應(yīng)鏈數(shù)據(jù)泄露并不需要大肆整頓運(yùn)營(yíng)。

“如果你是受影響的客戶之一，那防止供應(yīng)鏈數(shù)據(jù)泄露造成惡果，與防止其他幾種惡意軟件產(chǎn)生危害并沒(méi)有太大區(qū)別，反正你的服務(wù)器都在向莫名其妙的地方發(fā)出信號(hào)。如果你是首席信息安全官(CISO)，那你要用的技術(shù)應(yīng)該跟你已經(jīng)在用的非常相似，因?yàn)樘孤实卣f(shuō)，試圖跟上你必須努力確保安全的每個(gè)軟件供應(yīng)商是不現(xiàn)實(shí)的。差距太大了?！?/p>

如何著手勒索軟件防御

數(shù)據(jù)泄露切入途徑的調(diào)查中，我們可以將攻擊歸結(jié)為四種常見(jiàn)途徑：利用被盜憑證;社會(huì)工程和網(wǎng)絡(luò)釣魚;漏洞利用;以及使用惡意軟件。

Pinto稱：“看完這份報(bào)告，你需要查看自己的環(huán)境中有沒(méi)有存在這四種途徑，而自己又為此部署了哪些控制措施?！?/p>

至于勒索軟件相關(guān)的數(shù)據(jù)泄露，報(bào)告分析的事件中有40%涉及使用遠(yuǎn)程桌面協(xié)議(RDP)之類桌面共享軟件，35%涉及使用電子郵件(大部分是網(wǎng)絡(luò)釣魚)。

“鎖定面向外部的基礎(chǔ)設(shè)施，尤其是RDP和電子郵件，大大有助于保護(hù)企業(yè)免遭勒索軟件侵害。”

需要注意的是，82%的數(shù)據(jù)泄露都依賴人為失誤(例如，13%的數(shù)據(jù)泄露由錯(cuò)誤配置引發(fā))或交互(網(wǎng)絡(luò)釣魚、社會(huì)工程或被盜憑證)。GoodAccess產(chǎn)品副總裁Artur Kane表示，這給我們指出了一些值得研究的最佳實(shí)踐。

首先，技術(shù)解決方案，例如要求多因素身份驗(yàn)證(MFA)和按訪問(wèn)權(quán)限分隔網(wǎng)絡(luò)，以及實(shí)現(xiàn)實(shí)時(shí)威脅檢測(cè)功能、保留連續(xù)訪問(wèn)日志和執(zhí)行定期備份。

“然而，安全管理員還需要針對(duì)這些事件制定可靠的響應(yīng)和恢復(fù)計(jì)劃，并且應(yīng)該定期培訓(xùn)和演練?！盞ane表示，“用戶培訓(xùn)可以極大改善公司的整體安全狀況。因?yàn)榇蟛糠掷账鬈浖粢揽烤W(wǎng)絡(luò)釣魚誘餌打開局面，培訓(xùn)員工識(shí)別網(wǎng)絡(luò)釣魚誘餌，就可以省下發(fā)生數(shù)據(jù)泄露后的數(shù)百萬(wàn)美元恢復(fù)費(fèi)用?！?/p>

威瑞森2022年《數(shù)據(jù)泄露調(diào)查報(bào)告》：https://www.verizon.com/business/resources/reports/2022/dbir/2022-dbir-data-breach-investigations-report.pdf