信息化觀察網(wǎng)

今天，許多企業(yè)已經(jīng)開始應(yīng)對(duì)其IT基礎(chǔ)設(shè)施可能遭受的勒索攻擊。對(duì)此，攻擊者又開始“鉆研”新策略以繼續(xù)謀取暴利，“雙重勒索”攻擊由此產(chǎn)生。網(wǎng)絡(luò)犯罪分子會(huì)利用受害組織迫切需要恢復(fù)運(yùn)營的恐慌心理，勒索其支付高額贖金；同時(shí)，網(wǎng)絡(luò)犯罪分子的攻擊目的還擴(kuò)展到造成盡可能多的破壞，包括大規(guī)模中斷影響人們?nèi)粘Ｉ畹年P(guān)鍵性服務(wù)，以獲取更多“贖金”收益。

今年早些時(shí)候，美國Colonial Pipeline因遭遇勒索軟件攻擊導(dǎo)致服務(wù)暫停，為了重新獲得系統(tǒng)控制權(quán)并繼續(xù)為用戶提供服務(wù)，該公司向犯罪分子支付了約500萬美元的比特幣贖金；同月，愛爾蘭一家健康服務(wù)企業(yè)也因頂不住壓力，最終向犯罪分子支付了2000萬美元贖金，以保護(hù)患者的個(gè)人數(shù)據(jù)不被泄露，但遺憾的是，盡管達(dá)成了協(xié)議，仍有數(shù)百記錄流入了暗網(wǎng)交易。

什么是“雙重勒索”？

“雙重勒索”攻擊是網(wǎng)絡(luò)犯罪分子用得越來越多的一種策略，攻擊者加密目標(biāo)系統(tǒng)數(shù)據(jù)之前會(huì)先竊取數(shù)據(jù)，這樣一來，即便受害者有備份數(shù)據(jù)，勒索軟件仍然可以用泄露數(shù)據(jù)作威脅要求其支付贖金。

如果受害者不付款，甚至達(dá)成贖金協(xié)議后，攻擊者仍然會(huì)實(shí)施“點(diǎn)名羞辱”（name-and-shame）策略，而且根據(jù)Emsisoft的研究發(fā)現(xiàn)，采用該策略的網(wǎng)絡(luò)犯罪分子數(shù)量正在不斷增加，在收到的勒索軟件攻擊企業(yè)和公共部門機(jī)構(gòu)的100,101份報(bào)告中，其中11.6%是由竊取和公布數(shù)據(jù)的犯罪團(tuán)伙發(fā)起的“點(diǎn)名羞辱”式攻擊。

而且，構(gòu)成威脅的不只有與暗網(wǎng)組織合作的網(wǎng)絡(luò)攻擊團(tuán)伙。該機(jī)構(gòu)的最新一項(xiàng)研究顯示，近三分之二（65%）的專家認(rèn)為勒索團(tuán)伙正在從網(wǎng)絡(luò)犯罪中獲利，而58%的專家則表示勒索團(tuán)伙招募網(wǎng)絡(luò)犯罪分子進(jìn)行網(wǎng)絡(luò)攻擊正變得越來越普遍。

更完善的防護(hù)計(jì)劃

攻擊者想要成功獲取贖金，就必須確保受害者無法恢復(fù)有用的數(shù)據(jù)。為此，攻擊者會(huì)禁用或破壞備份，并將魔爪伸向可用的生產(chǎn)數(shù)據(jù)。因此，企業(yè)組織想要充分應(yīng)戰(zhàn)必須要重新考慮現(xiàn)有的數(shù)據(jù)恢復(fù)計(jì)劃，與使用標(biāo)準(zhǔn)化數(shù)據(jù)恢復(fù)流程相比，通過制定專門的受損數(shù)據(jù)風(fēng)險(xiǎn)管理計(jì)劃，更能幫助企業(yè)提高他們的賠率并更有可能恢復(fù)網(wǎng)絡(luò)受損數(shù)據(jù)。為成功實(shí)現(xiàn)該計(jì)劃，企業(yè)需要規(guī)劃五個(gè)關(guān)鍵步驟：

識(shí)別——識(shí)別并驗(yàn)證組織的重要數(shù)據(jù)資產(chǎn)（VDA）。這是需要額外保護(hù)級(jí)別的數(shù)據(jù)，也是企業(yè)必須擁有的數(shù)據(jù)；

保護(hù)——提高恢復(fù)干凈數(shù)據(jù)幾率的能力。例如，可以避免網(wǎng)絡(luò)攻擊的故障安全副本；

檢測——識(shí)別控件中可能允許攻擊者訪問企業(yè)重要數(shù)據(jù)資產(chǎn)、增加企業(yè)風(fēng)險(xiǎn)的漏洞；

響應(yīng)——在已發(fā)生的數(shù)據(jù)泄露事件之后需要遵循的計(jì)劃、流程和程序；

恢復(fù)——讓安全團(tuán)隊(duì)為這種可能性做好排練、測試和實(shí)戰(zhàn)演習(xí)。

當(dāng)然，除了外部勒索攻擊者之外，企業(yè)今天同樣容易受到更多內(nèi)部威脅的影響，例如擁有網(wǎng)絡(luò)特權(quán)訪問權(quán)限卻心懷不滿的員工。而且，即便經(jīng)歷過安全意識(shí)培訓(xùn)，但人為失誤仍然是一種高發(fā)的風(fēng)險(xiǎn)，未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問有時(shí)候只需一次意外的嵌入式鏈接點(diǎn)擊即可實(shí)現(xiàn)。

隨著“雙重勒索”軟件的興起，企業(yè)組織正面臨著確保其業(yè)務(wù)平穩(wěn)運(yùn)行的持續(xù)壓力，同時(shí)公眾對(duì)數(shù)據(jù)收集警惕度的不斷提高，也使得企業(yè)為此類攻擊做好準(zhǔn)備變得更加重要。

勒索軟件攻擊本身的威脅可能是有限的，但其對(duì)組織品牌聲譽(yù)和客戶信任的威脅卻很嚴(yán)重。在“雙重勒索”軟件攻擊的危害真正產(chǎn)生之前，企業(yè)組織應(yīng)該對(duì)整體業(yè)務(wù)及關(guān)鍵性數(shù)據(jù)資產(chǎn)進(jìn)行全面梳理，并與企業(yè)管理層實(shí)時(shí)同步相關(guān)信息，確定在關(guān)鍵業(yè)務(wù)連續(xù)性保障時(shí)，哪些數(shù)據(jù)應(yīng)該是優(yōu)先事項(xiàng)。只有這樣，企業(yè)才能做好充足的準(zhǔn)備，以確保他們有時(shí)間在勒索軟件攻擊危害爆發(fā)之前能盡早采取行動(dòng)。