去年，勒索軟件事件驚人增長，25%的數(shù)據(jù)泄露都涉及勒索軟件因素。

威瑞森新近發(fā)布的2022版《數(shù)據(jù)泄露調(diào)查報告》(DBIR)指出，去年一年里，伴隨數(shù)據(jù)泄露的勒索軟件事件大幅增長了13%，而去年的報告中僅有12%的事件是勒索軟件相關(guān)的。換句話說，這一增長率超過了之前五年的增長總和。

這第15版DBIR分析了23,896起安全事件，其中5,212起是經(jīng)證實的數(shù)據(jù)泄露。威瑞森表示，其中大約五分之四的事件是外部網(wǎng)絡犯罪團伙和威脅組織的杰作。威瑞森安全研究團隊經(jīng)歷Alex Pinto認為，這些惡意團伙越來越容易通過勒索軟件謀取不義之財，使得其他類型的數(shù)據(jù)泄露方式逐漸式微。

“網(wǎng)絡犯罪中的一切都變得如此商品化，真成一門生意了，變現(xiàn)犯罪活動的方法超級高效?！彼蛐畔踩襟w透露，”隨著勒索軟件即服務(RaaS ) 和初始訪問經(jīng)紀人的興起，發(fā)起勒索軟件攻擊幾乎不需要什么技術(shù)，也不費力?！?/p>

“曾經(jīng)，你得先入侵，四處嗅探，然后找出有銷路的那些值得偷的東西?！彼忉尩?，“我們從2008年開始編撰DBIR，當時基本上都是支付卡數(shù)據(jù)被盜。而現(xiàn)在，這種情況大幅減少，因為只需要購買別人弄到的訪問權(quán)，并安裝租用的勒索軟件，就可以更容易地實現(xiàn)同樣的賺錢目標?！?/p>

如此一來，任何組織都可能成為目標：就算沒有高度敏感數(shù)據(jù)之類值得盜取的東西，公司也會落入網(wǎng)絡罪犯的攻擊范圍。這意味著，中小市場企業(yè)和夫妻店都應該提高警惕。

“網(wǎng)絡罪犯不用再去攻克大企業(yè)?！盤into說道，“事實上，瞄準大企業(yè)可能適得其反，因為他們的防御通常固若金湯。而如果一家公司只有幾臺電腦，還很緊張自己的數(shù)據(jù)，那你倒是很有可能從中撈點油水?！?/p>

換言之，DBIR發(fā)現(xiàn)大約40%的數(shù)據(jù)泄露是由于安裝了惡意軟件(威瑞森稱為系統(tǒng)入侵)，而RaaS的興起導致了這些數(shù)據(jù)泄露事件中55%涉及勒索軟件。

Pinto稱：“我們的擔憂在于，這種情況毫無止境。我們不再相信這種情況會停歇——除非有人想出更有效率的方法。我無法想象這會是種什么樣子的方法，但或許，這就是我沒參與有組織犯罪生意的原因了。”

SolarWinds效應

過去一年里，臭名昭著的SolarWinds供應鏈黑客事件余波震蕩，“軟件更新”途徑將“合作伙伴數(shù)據(jù)泄露”推上系統(tǒng)入侵事件(包括勒索軟件事件)的主因(62%)——這比2020年微不足道的1%高出許多。

Pinto指出，盡管SolarWinds等事件(以及Kaseya相關(guān)勒索軟件攻擊等其他事件)引發(fā)媒體報道和關(guān)注，但對于大多數(shù)企業(yè)來說，處理供應鏈數(shù)據(jù)泄露并不需要大肆整頓運營。

“如果你是受影響的客戶之一，那防止供應鏈數(shù)據(jù)泄露造成惡果，與防止其他幾種惡意軟件產(chǎn)生危害并沒有太大區(qū)別，反正你的服務器都在向莫名其妙的地方發(fā)出信號。如果你是首席信息安全官(CISO)，那你要用的技術(shù)應該跟你已經(jīng)在用的非常相似，因為坦率地說，試圖跟上你必須努力確保安全的每個軟件供應商是不現(xiàn)實的。差距太大了。”

如何著手勒索軟件防御

數(shù)據(jù)泄露切入途徑的調(diào)查中，我們可以將攻擊歸結(jié)為四種常見途徑：利用被盜憑證;社會工程和網(wǎng)絡釣魚;漏洞利用;以及使用惡意軟件。

Pinto稱：“看完這份報告，你需要查看自己的環(huán)境中有沒有存在這四種途徑，而自己又為此部署了哪些控制措施?！?/p>

至于勒索軟件相關(guān)的數(shù)據(jù)泄露，報告分析的事件中有40%涉及使用遠程桌面協(xié)議(RDP)之類桌面共享軟件，35%涉及使用電子郵件(大部分是網(wǎng)絡釣魚)。

“鎖定面向外部的基礎(chǔ)設(shè)施，尤其是RDP和電子郵件，大大有助于保護企業(yè)免遭勒索軟件侵害?！?/p>

需要注意的是，82%的數(shù)據(jù)泄露都依賴人為失誤(例如，13%的數(shù)據(jù)泄露由錯誤配置引發(fā))或交互(網(wǎng)絡釣魚、社會工程或被盜憑證)。GoodAccess產(chǎn)品副總裁Artur Kane表示，這給我們指出了一些值得研究的最佳實踐。

首先，技術(shù)解決方案，例如要求多因素身份驗證(MFA)和按訪問權(quán)限分隔網(wǎng)絡，以及實現(xiàn)實時威脅檢測功能、保留連續(xù)訪問日志和執(zhí)行定期備份。

“然而，安全管理員還需要針對這些事件制定可靠的響應和恢復計劃，并且應該定期培訓和演練?！盞ane表示，“用戶培訓可以極大改善公司的整體安全狀況。因為大部分勒索軟件攻擊依靠網(wǎng)絡釣魚誘餌打開局面，培訓員工識別網(wǎng)絡釣魚誘餌，就可以省下發(fā)生數(shù)據(jù)泄露后的數(shù)百萬美元恢復費用。”

威瑞森2022年《數(shù)據(jù)泄露調(diào)查報告》：https://www.verizon.com/business/resources/reports/2022/dbir/2022-dbir-data-breach-investigations-report.pdf