了解勒索软件攻击是防止它们成功针对组织攻击的第一步。 为了防止勒索软件攻击,组织必须制定强力的安全协议,例如执行定期系统备份和员工培训来避免社会工程诈骗以及其他措施等。
继续阅读,了解有关勒索软件攻击的更多信息以及组织可以采取哪些措施来保护自己免受这种攻击。
什么是勒索软件攻击?
勒索软件是一种恶意软件,它会在设备文件上加密并把用户锁定在系统之外,直到网络犯罪分子收到赎金为止。 当支付赎金后,网络犯罪分子承诺会给受害者解除加密文件所需的东西,从而使他们能够再次访问系统;然而需要注意的一点是,这些攻击者并不总会遵守他们的承诺。 一些攻击者甚至在支付了赎金后还会在暗网上发布或出售窃取的敏感数据。 支付赎金并不能保证组织的数据的安全。
为什么勒索软件攻击在不断增加?
勒索软件攻击越来越频繁,原因有很多,包括:
- They require little technical expertise to launch. Less technically sophisticated attackers can even purchase Ransomware-as-a-Service (RaaS) packages on dark web forums.
- 与数据泄露不同,网络犯罪分子必须首先窃取数据然后找到愿意买的买家,而勒索软件可以当天就收到付款。
- 许多受害者仍选择支付赎金。 在 2022 年,勒索软件攻击者从目标受害者中敲诈至少 4.568 亿美元。
勒索软件攻击造成的损失
勒索软件攻击带来的经济损失正在上升。 平均而言,一次勒索软件攻击造成的损失为 454 万美元。 除了直接损失(例如支付赎金和修复受损的系统)外,组织还面临巨大的间接损失,包括在维修期间缩减运营或暂时关闭等。 勒索软件攻击造成的平均停业时间为 9 天,一些组织根本无法生存而被迫永久关闭。
虽然网络保险可以抵消其中一部分损失,但在组织不能总是依靠网络政策来弥补勒索软件攻击造成的损失。 普通的网络保险政策不包含因违反合规义务而造成的监管罚款,这些合规义务包括 PCI 数据安全标准 (PCI DSS) 和 医疗保险流通和问责法案 (HIPAA)等;涉及恶意内部人员(包括心怀不满的员工、退役员工和第三方商家)的攻击;声誉损害的财务负面影响;或组织因停业而造成的所有损失等。
如果组织必须停业相当长一段时间,或者如果数字知识产权 (IP) 在攻击期间被盗,组织可能会遭受不可逆转的损害。
新出现的双重敲诈威胁
双重勒索,也称为“名誉和耻辱”,是指网络犯罪分子不仅会对受害者的数据进行加密,还会对其窃取,然后向受害者威胁如果不支付赎金,他们就会将其公开发布或在暗网上出售。 双重敲诈实质上将勒索软件攻击转化为数据泄露。
中小企业和市政府面临很高的勒索软件风险
首次出现勒索软件时,受害者大多是大型企业。 主要原因是此类受害者有足够的资金来支付赎金。 然而,大公司也有足够资金来加强安全防御,从而防止未来的攻击。 大型企业建起全面的网络安全防御后,网络犯罪分子就将注意力转移到中小型企业(SMB))以及无力承担同等级网络安全防御措施的州和市政府。
这也并不是说大型企业就不会受勒索软件攻击。 2023 年第一季度,一些大型企业遭受了一系列攻击,包括 Dole Food Company 和 Dish Network。
组织是否应该支付赎金?
组织是否应该支付赎金是一个很大的争议性问题,甚至连网络安全专业人员也难以解答。 网络保险公司通常会支持受害者支付赎金,因为大多数政策都有抵消赎金支付。 一些安全专业人员认为,赎金通常低于数据恢复的成本,尤其是对于无力负担长期停业的中小企业。 在医疗机构和政府机构中,停业还会使人类健康和生命面临风险。
其他的安全专业人员以及大多数执法机构认为支付赎金只会鼓励更多的未来攻击,并且支付完也不能保证您的数据恢复。 此外,在双重敲诈案中,网络犯罪分子会一直拥有被盗的数据。 即使他们承诺在收到赎金后销毁数据,他们仍然会拿来出售、宣传,或将其用作未来攻击(例如商业电子邮件泄露(BEC))的据点。
面临如此大的风险,最佳解决方案是首先防止勒索软件攻击的发生。
如何预防勒索软件攻击
防病毒软件和大多数身份和访问管理(IAM)系统在保护组织免受勒索软件攻击方面做得很少。 勒索软件防御需要使用一套多管齐下、主动式的方针。
以下是组织应该采取的几种措施来防止勒索软件攻击。
执行定期的系统备份
定期的系统备份至关重要,不仅是在勒索软件事件或其他网络攻击之后恢复数据,而且在系统中断和硬件损坏后恢复数据也很重要。
培训员工避免社会工程诈骗
由于许多勒索软件的攻击都是以网络钓鱼电子邮件的形式传递的,因此培训员工避免网络钓鱼和其他社会工程诈骗是预防勒索软件攻击的关键步骤。 然而这也不是万能的,因为暴力攻击已经超越网络钓鱼,成为最常见的勒索软件传递方式。
暴力攻击使用反复试验的方法来猜测登录凭证和其他敏感信息。 如果员工在多个账户中重复使用密码、使用弱密码或不安全地与同事共享密码,这种类型的攻击会更加成功。
保护员工的密码
弱密码和密码被盗是组织网络安全的最大威胁,此外还有暴力攻击 – 即最常见的勒索软件传递方式。 事实上,绝大多数数据泄露都是不良的员工密码习惯造成的。
在暴力攻击中,网络犯罪分子会获得在数据泄露期间被盗的一个密码列表,然后试图利用它们来入侵服务器和端点,通常是在机器人协助下。 由于非常多的人使用弱密码、常用密码和容易猜出的密码,且在多个账户中重复使用,因此这种攻击的成功率非常大。
通过强制员工为所有账户使用强且独特的密码、在所有支持它的账户上使用多因素身份验证(MFA)以及使用一款密码管理器可以有效预防暴力攻击。 密码管理器是一款可以帮助员工生成密码的工具,同时以经加密的密码保险库来保障他们的安全。 有了密码管理解决方案,再也无需担心员工会重复使用密码或使用弱密码。
投资一款暗网监控解决方案
即使用户再努力使用强且独特的密码,他们的密码仍然有机会被盗。 数据泄露的受害者通常是最后才知道他们的密码被盗的人。 “潜伏时间”(即从泄露到公司发现它之间的时间间隔)的中位数为 11 天。 远远超过这一平均数字的潜伏时间并不少见。
因此,像 BreachWatch® 等暗网监控服务对于预防勒索软件至关重要。 这些服务会扫描暗网论坛,并实时通知组织是否有任何员工的密码被出售,并允许 IT 管理员立即强制重置密码。
Keeper 如何帮助组织预防勒索软件攻击
Keeper Security 的零知识密码管理和安全平台使组织能够完全了解员工的密码实践,使 IT 管理员能够监控整个组织的密码使用情况,并强制他们遵守使用强且独特的密码、双因素身份验证(2FA)、基于角色的访问控制(RBAC)等安全策略。 Keeper 还支持多种合规标准,包括 HIPAA、DPA、FINRA、NCUA 和 GDPR。
每个员工都会收到一个私有的加密数字保险库,他们可以使用主密码从任何设备访问该保险库,该密码也是员工唯一需要记住的密码。 Keeper 的密码管理器能为每个账户自动生成强大且独特的密码,并在网站和应用程序的登录字段中自动填充。 员工不再有任何理由重复使用密码或使用弱密码,而 IT 管理员也拥有保证合规所需的可见度。
IT 管理员可以根据员工的角色和职责,通过细粒度的访问控制来完全定制员工的权限,以及为单个部门、项目团队或其他团体设置共享文件夹。
为了加强保护,组织还可以部署有用的插件,例如 Keeper 安全文件存储它允许员工安全地存储和共享文档、图像、视频、数字证书和 SSH 密钥,而 BreachWatch 则会扫描暗网论坛,并在任何员工的密码在公共数据泄露中遭到泄露时立即通知 IT 管理员。
Keeper 只需几分钟即可部署,而且只需要最小程度的持续管理和规模来满足任何规模组织的需求。 Keeper 的商业和企业密码管理解决方案帮助全球数千家企业预防与密码有关的网络攻击,提高工作效率以及强制员工遵从合规。