普京签署总统令：成立IT安全部门|美国国土安全部系统发现了122个安全漏洞

普京签署总统令：立即成立IT安全部门，禁用不友好国家信息安全设备

俄罗斯当地时间5月1日，现任俄罗斯总统普京正式签署了一份确保俄罗斯信息安全额外措施的总统令，下令俄罗斯所有部门、机构和骨干组织都需要设立IT安全部门。

根据总统令的实际规定，自2025年1月1日起，俄罗斯国有企业和机构将禁止使用的不友好国家生产的信息和安全设备；

普京还签署通过了一份法律，限制了俄罗斯信贷机构向外国机构提供信贷信息。新法律中明确规定，禁止俄罗斯银行和信贷机构向外国机关（包括司法机关）提供其要求的关于银行客户及其交易，以及客户代表、受益人和账户及资产持有者的信息。

该法律还规定，如果账户持有人受外国税法对其持有国外账户的管辖，则俄罗斯银行和信贷机构可以在国际税务信息合作范围内向外国机构提交有关信息。

同时，俄罗斯也取消了对欧盟等一些不友好国家官员的 签证简化制度 ，涉及俄罗斯与丹麦、挪威、列支敦士登、冰岛以及瑞士之间签证简化协议。根据普京签署的法律，相关国家官方代表团和记者将实行严格管控，此前的免费签证和外交护照免签入境政策不再生效。相关政府、议会及法院成员的五年多次入境签证也同步取消。

借由Hack DHS计划，美国国土安全部系统发现了122个安全漏洞

据美国国土安全部（DHS）近日透露，加入“Hack DHS”漏洞赏金项目（bug bounty program）的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞，其中27个被评估为严重漏洞。

据悉，国土安全部已向450多名经审查的安全研究人员和道德黑客发放了总计125,600美元的奖金。个人获得奖金的多少取决于他发现的漏洞的严重程度，每个漏洞最多可获得5,000美元的奖励。

“在‘Hack DHS’的第一阶段，安全研究人员们的热情参与使我们能够在关键漏洞被利用之前找到并修复它们”，国土安全部首席信息官（CIO）Eric Hysen对媒体表示道，“随着‘Hack DHS’项目的进展，我们期待进一步加强我们与研究人员群体的联系与合作。”

“Hack DHS”项目的建立借鉴了美国联邦政府和私营部门类似成果的经验，比如“黑掉五角大楼”（Hack the Pentagon）项目。

事实上，国土安全部第一次推出漏洞赏金试点项目是在2019年，这比“Hack DHS”还要早两年。当时，《安全技术法案》（SECURE Technology Act）正式签署成为法律，要求政府组织建立安全漏洞披露政策和赏金项目。

研究发现，支付赎金只占勒索攻击事件总损失的 15%

在勒索软件攻击事件中，赎金支出究竟占受害单位总体损失的多少比重？Check Point 的研究人员通过对数千次攻击事件进行分析得出，这一比例仅占15%，受害者由勒索导致的事件响应工作、系统恢复、法律费用、监控成本以及业务中断的整体影响所带来的财务支出比例远超赎金金额。

在进行勒索时，攻击者会调查受害者的财政情况来确定赎金比例，根据Check Point 的分析，通常这一比例在目标年收入的 0.7% 到 5% 之间，平均为 2.82%。为了能够让受害者尽快付款，攻击者还会推出折扣措施，比如若在头几天内支付赎金，可折扣 20% 到 25% 。

勒索软件攻击对受害者财务的总体影响与事件的持续时间直接相关。2021 年，由于不少企业组织表现出较好的处理双重勒索策略的能力（双重勒索指让攻击者加密目标系统数据之前先窃取数据，即便受害者有备份数据，仍然可以用泄露数据作威胁要求其支付赎金），从而显著缩短了攻击持续时间，但也由此带来额外成本，如客户信任的缺失以及声誉的受损。

当受到勒索软件攻击时，受害者必须承担因业务中断、法律程序、事件响应和补救、恶意软件发现和删除、从备份恢复数据、与第三方专家签约等造成的损失成本。即使组织支付了赎金，也无法避免进一步的经济损失，而且使用攻击者的解密密钥恢复系统通常比使用备份要慢。

可以说，目前的勒索软件组织已越发具有经济头脑，通过评估，让支付赎金成为受害者的最佳选择。他们所做的是在与受害者谈判时将赎金支付与附带损失成本联系起来，将支付赎金呈现为更经济实惠的选项。比如以泄露数据为威胁，让受害者因违反 GDPR 而面临巨额罚款来作为附带损失成本。

尽管有关部门针对这些威胁组织采取了大量执法行动，但勒索软件仍在继续扩散并不断推陈出新，看来，攻击者和防御者都在适应不断变化的环境，并且尽量保证在这场“竞赛”中不落后。

参考来源：https://www.bleepingcomputer.com/news/security/ransom-payment-is-roughly-15-percent-of-the-total-cost-of-ransomware-attacks/