對于英國金融服務(wù)行業(yè)領(lǐng)域的首席信息安全官來說，2022年將是艱難的一年。新冠疫情導(dǎo)致工作模式的改變以及用戶和設(shè)備的蔓延，對于安全團(tuán)隊來說仍然是一個非常大的問題，而員工重返辦公室工作變得更具挑戰(zhàn)性。許多企業(yè)尚未確定其混合工作的文化在未來將是什么樣子，首席信息安全官正面臨著在日益復(fù)雜的IT環(huán)境中減輕網(wǎng)絡(luò)安全風(fēng)險的艱巨任務(wù)。同時，俄烏沖突的“網(wǎng)絡(luò)戰(zhàn)”也引起了企業(yè)對網(wǎng)絡(luò)安全的關(guān)注。

事實上，美國、英國和澳大利亞的網(wǎng)絡(luò)安全機(jī)構(gòu)最近聯(lián)合發(fā)布的一份公告警告說，錯綜復(fù)雜并且影響巨大的勒索軟件事件正在快速增加，企業(yè)領(lǐng)導(dǎo)團(tuán)隊需要采取措施提高對勒索軟件攻擊的抵御能力。這份公告指出，英國國家網(wǎng)絡(luò)安全中心將勒索軟件攻擊視為英國面臨的最大網(wǎng)絡(luò)威脅。

英國金融監(jiān)管機(jī)構(gòu)還正式警告在英國開展業(yè)務(wù)的大型銀行和其他金融服務(wù)機(jī)構(gòu)，俄羅斯支持的網(wǎng)絡(luò)攻擊風(fēng)險增加。英國金融行為監(jiān)管局警告說，如果俄烏沖突導(dǎo)致俄羅斯組織和企業(yè)受到制裁，金融服務(wù)行業(yè)將成為報復(fù)性攻擊的潛在目標(biāo)。面對全球緊張局勢可能惡化的情況，歐洲央行也發(fā)出了類似的警告。

評估勒索軟件對英國金融服務(wù)的威脅

美國、英國和澳大利亞在其聯(lián)合聲明中的“技術(shù)細(xì)節(jié)”部分中(“2021年趨勢顯示勒索軟件的全球化威脅增加”)，描述了這三個國家的網(wǎng)絡(luò)安全機(jī)構(gòu)于2021年在網(wǎng)絡(luò)犯罪活動中觀察到的具體行為和趨勢。金融服務(wù)行業(yè)部門應(yīng)仔細(xì)考慮這些觀察結(jié)果，以確定其組織在減輕這些威脅方面的成熟程度，以及其安全態(tài)勢可能存在的差距。

最常見的勒索軟件事件攻擊媒介(對于首席信息安全官來說可能都不足為奇)：網(wǎng)絡(luò)釣魚電子郵件、被盜遠(yuǎn)程桌面協(xié)議憑據(jù)、暴力攻擊和漏洞利用。該公告還指出，一直持續(xù)的混合工作和擴(kuò)大的網(wǎng)絡(luò)攻擊面，意味著這些攻擊媒介可能仍然受到威脅參與者的利用。由于遠(yuǎn)程工作在許多企業(yè)中仍然是一個不確定的概念，因此首席信息安全官應(yīng)專注于對其IT資產(chǎn)的深入和持續(xù)的看法。為了在企業(yè)中有效地應(yīng)用安全控制，必須首先識別和定位IT資產(chǎn)。與此同時，員工的意識和教育也很關(guān)鍵。網(wǎng)絡(luò)攻擊的威脅應(yīng)該是企業(yè)內(nèi)每位員工的首要考慮事項。

該聲明還強(qiáng)調(diào)了網(wǎng)絡(luò)犯罪已經(jīng)成熟的服務(wù)性質(zhì)。勒索軟件即服務(wù)是一種收入分成業(yè)務(wù)模式，它招募附屬公司來發(fā)布勒索軟件變體。隨著勒索軟件即服務(wù)提供商為其客戶提供端到端支持服務(wù)，網(wǎng)絡(luò)犯罪分子可以發(fā)起他們自己的復(fù)雜網(wǎng)絡(luò)攻擊。英國國家網(wǎng)絡(luò)安全中心指出，已經(jīng)觀察到一些勒索軟件威脅參與者提供“全天候幫助中心以加快贖金支付”。雖然勒索軟件即服務(wù)降低了希望進(jìn)行勒索軟件攻擊的網(wǎng)絡(luò)犯罪分子的準(zhǔn)入門檻，但威脅的復(fù)雜性和嚴(yán)重性保持不變。例如，當(dāng)外匯服務(wù)提供商Travelex公司在2019年底成為REvil的勒索軟件即服務(wù)組織的受害者時，該公司盡管支付了230萬美元的贖金，但最終導(dǎo)致該公司業(yè)務(wù)經(jīng)營陷入困境。該聲明將這次勒索軟件攻擊列為其中的一個關(guān)鍵因素。

“Big Game Hunting”的準(zhǔn)備工作

美國、英國和澳大利亞的網(wǎng)絡(luò)安全機(jī)構(gòu)都將“Big Game Hunting”勒索軟件攻擊列為勒索軟件威脅格局的一個關(guān)鍵因素。這是指勒索軟件攻擊者針對企業(yè)進(jìn)行復(fù)雜的定制攻擊，旨在實現(xiàn)最大影響。勒索軟件攻擊者謹(jǐn)慎選擇受害者，通常針對經(jīng)濟(jì)回報潛力更大的大型企業(yè)。勒索軟件攻擊者在進(jìn)行任何形式的攻擊之前，都會花時間選擇和研究他們的目標(biāo)。

雖然美國近年來經(jīng)歷了一些引人注目的嚴(yán)重的勒索軟件攻擊事件，例如對Colonial Pipeline公司的輸油基礎(chǔ)設(shè)施的攻擊，但數(shù)據(jù)表明威脅行為者越來越多地將努力轉(zhuǎn)向中小型公司。

金融服務(wù)領(lǐng)域的首席信息安全官需要讓他們的組織為這些復(fù)雜的網(wǎng)絡(luò)攻擊做好準(zhǔn)備，如果地緣政治緊張局勢升級，這些網(wǎng)絡(luò)攻擊事件可能會顯著增加。企業(yè)領(lǐng)導(dǎo)者必須審查其現(xiàn)有的工具和流程，確保他們從頭開始制定全面的安全策略。企業(yè)的網(wǎng)絡(luò)防御戰(zhàn)略應(yīng)包括需要保護(hù)的資產(chǎn)和數(shù)據(jù)、對這些資產(chǎn)的具體威脅以及應(yīng)對這些威脅所需的安全工具和流程。

“Big Game Hunting”勒索軟件攻擊中采用的策略、技術(shù)和程序(TTP)通常與針對復(fù)雜環(huán)境的勒索軟件攻擊相關(guān)聯(lián)——從偵察和初始訪問到特權(quán)升級和橫向移動。在部署有效載荷之前，勒索軟件攻擊者可能會在企業(yè)的網(wǎng)絡(luò)中存在數(shù)月的時間。勒索軟件攻擊者可能會看到受害者的備份和災(zāi)難恢復(fù)能力，這使得這種形式的攻擊極難防御。

從基礎(chǔ)開始

首先做好基礎(chǔ)工作似乎很明顯，但這通常是企業(yè)防御戰(zhàn)略中最有效和最容易被忽視的方面。在Colonial Pipeline勒索軟件攻擊事件之后的幾天里，該公司并沒有實施其組織范圍內(nèi)的多因素身份驗證。一個泄露的密碼被用來訪問該公司，其密碼出現(xiàn)在暗網(wǎng)上發(fā)布的泄露憑證列表中。如果該公司采取了確保多因素身份驗證到位的基本步驟，那么勒索軟件攻擊者很可能不會成功。

盡管多因素身份驗證提供了最后一道防線，但定期更新密碼仍然至關(guān)重要。最近的一項研究發(fā)現(xiàn)，只有不到一半的用戶在密碼泄露后更改了密碼，對于那些尚未發(fā)現(xiàn)自己成為網(wǎng)絡(luò)犯罪分子目標(biāo)的企業(yè)來說，這些數(shù)字無疑會描繪出一幅更加令人擔(dān)憂的畫面。

網(wǎng)絡(luò)犯罪分子將勒索軟件攻擊實現(xiàn)貨幣化的能力意味著，如果未來幾個月報復(fù)性網(wǎng)絡(luò)攻擊增加，那么勒索軟件攻擊將成為首選的方法。在過去兩年，全球各地的受害者向勒索軟件攻擊者支付了近13億美元的加密貨幣，其平均支付規(guī)模由于勒索軟件攻擊而顯著增加。然而，在成功的勒索軟件攻擊可能導(dǎo)致的更廣泛的財務(wù)、聲譽(yù)和技術(shù)損害，贖金支付只占一小部分。很多國家的網(wǎng)絡(luò)部門正在大聲疾呼，并希望更多的企業(yè)為此做好準(zhǔn)備并加以防護(hù)。