現實:生還勒索軟體攻擊是不可避免的事實
最佳對抗勒索軟體攻擊的防禦方式是在它發生之前就預設它會發生。受到重創的行業(包括醫療保健和製造業)的中小型企業是主要目標,因為生還勒索軟體攻擊有 80%的再次攻擊機會。勒索軟體攻擊在上個月創下了新的紀錄,相比去年 9 月增加了 153%。經財務充足的有組織犯罪和高級持續性威脅(APT)組織積極招募人工智慧和機器學習(ML)專家,以在犯罪活動中心 Telegram 和暗網上尋找將新技術應用於舊有的常見漏洞和弱點(CVEs)的新方法。有組織犯罪和國家級攻擊者使用人工智慧和機器學習技術超越了最高效的企業。在 2022 年 9 月至 2023 年間,雙重勒索軟體攻擊組織增加了 76%。在八月至九月期間,醫療保健行業的勒索軟體攻擊增加了 86%。
武器化的 CVEs 使勒索軟體難以阻止
一些中型製造企業的執行長和創始人在接受 VentureBeat 採訪時分享了他們在經歷了多次勒索軟體攻擊後的經驗,他們表示即使僱用了網路安全諮詢公司,勒索軟體攻擊者仍然在發動攻擊。對於勒索軟體攻擊是不可避免的心態讓改進補丁管理、資料安全、備份、身份和祕密管理以及更安全的基礎設施規劃變得更加迫切和重要。Ivanti 的 2023 年重點報告發現,勒索軟體攻擊者通常能夠躲過常用的掃描工具,包括來自知名團體 Nessus、Nexpose 和 Qualys 的工具。報告還發現,攻擊者的技巧越來越精確,他們武器化 CVE 並根據目標的特點確保脆弱目標已在中小型企業中猖獗。根據 Ivanti 的報告,勒索軟體組織繞過檢測的重點在於規避檢測,利用資料空白和遺留 CVE 的長期漏洞。
Ivanti 的首席產品官 Srinivas Mukkamala 告訴 VentureBeat:“威脅行為者越來越多地針對網路安全衛生問題,其中包括遺留的弱點管理流程。如今許多安全和 IT 團隊難以確保漏洞對現實風險的影響,因此無法正確評估需要優先修復的漏洞。例如,許多人僅修補新的漏洞或那些在國家漏洞資料庫(NVD)中已被披露的漏洞。其他人僅使用通用漏洞評分系統(CVSS)對漏洞進行評分和排序。”
假設貴公司成為勒索軟體攻擊目標,做好準備
由於企業的連續性和財務狀況受到威脅,勒索軟體攻擊不僅僅是一個網路安全問題,也是一個商業決策問題。VentureBeat 得知,一些製造業中的中小型企業支付贖金以恢復運營,卻再次遭到攻擊。擁有不到 1 億美元收入的中小型企業往往沒有足夠預算或人員來應對安全威脅,攻擊者也知道這一點。根據 Gartner 的影片訪談中,Furtado 建議:“90%的勒索軟體攻擊是打擊收入不足 10 億美元的企業。” Furtado 表示勒索軟體攻擊是一種高效的網路攻擊策略,因為它給企業施加了巨大的時間壓力,要求他們儘快解決入侵、恢復資料並持續運營。他繼續表示:“你必須明白,與其他網路安全事件不同,勒索軟體攻擊將你的企業置於一個倒計時的狀態。”雖然執法部門建議不支付贖金,但將近三分之一的受害組織最終還是支付了贖金,只發現其 35%的資料已損毀並無法恢復。CrowdStrike 的一項調查發現,支付贖金的受害者中有 96%還支付了平均為 792,493 美元的額外勒索費用,而攻擊者還透過 Telegram 頻道在暗網上分享或出售他們的訊息。外國資產控制辦公室還對支付某些勒索軟體攻擊者的公司開出了罰款。
為勒索軟體攻擊做好準備需要首先做出商業決策
將勒索軟體攻擊視為不可避免的高級管理團隊更傾向於優先考慮降低攻擊風險並在攻擊發生時採取應對措施。這種心態將董事會對網路安全的討論從經營費用轉變為長期的風險管理投資。首席訊息安全官(CISO)需要參與這一討論並在董事會中擔任重要角色。鑒於勒索軟體攻擊的不可避免性以及對任何企業核心部分的風險,CISO 必須引導董事會並提供洞察力,以最大程度地減少風險。CISO 們應該展示他們的團隊如何透過提供持續運營並減少風險來推動收入增長,這是他們獲得董事會席位的一個絕佳方法。
Baer 告訴 VentureBeat:“當你的董事會想談論勒索軟體時,提醒他們這可能表現為日常改進,例如補丁節奏、身份管理、環境防禦、基礎設施即程式碼、不可變的備份等等。如果企業沒有進行所需的安全和創新實踐,勒索軟體攻擊就是成本之一。”
CISO 必須在董事會中擁有席位
這是董事會關注和資助網路安全的觀念發生了重大改變,也是為什麼 CISO 必須在董事會中擁有席位,以解釋增強企業安全的許多商業益處。CrowdStrike 的聯合創始人兼 CEO George Kurtz 在該公司年度活動的主旨演講中表示:“我看到越來越多的 CISO 們加入董事會,我認為這對每個人都是一個巨大的機會。從職業生涯的角度來看,成為董事會的一員並幫助他們在這個旅程中是很棒的。這應該是一個商業推動因素,它應該是能夠增加您的業務強大度的因素,它應該有助於保護數位轉型帶來的生產力提升。”
具備勒索軟體應急計劃是基本措施
CISO 告訴 VentureBeat,擁有應急計劃使他們能夠在勒索軟體攻擊發生時更快地恢復,幫助節省時間並將其控制在一定範圍內。應急計劃還可以清楚地向高級管理層和董事會說明一次攻擊可能帶來的極大破壞。CISO 告訴 VentureBeat,在一家上市公司發生勒索軟體攻擊時,溝通計劃是一個起到推動作用的重要因素。現在由於美國證券交易委員會(SEC)要求相關公司進行披露,更加固調了應急計劃的重要性。一家大型上市的消費品製造商的 CISO 匿名告訴 VentureBeat,他甚至撰寫了一份關於勒索軟體攻擊的新聞稿。董事會對此回應是批準為資料保護和備份採取更多層次的方法,定期取證備份,改進補丁管理和資料保護和分析工作流程,制定明確的修復計劃。應急計劃通常包括遏制、分析、修復和恢復等多個部分。重要的是,安全運營、IT、法律、公關和高級管理層需要定期審查和更新應急計劃。CISO 常常帶頭組織事件模擬和桌面演練,以測試應急計劃並確保其定期更新和修訂。目標是始終尋找應對方面的漏洞並在勒索軟體攻擊發生之前加以解決。
