去年,勒索软件事件惊人增长,25%的数据泄露都涉及勒索软件因素。

威瑞森新近发布的2022版《数据泄露调查报告》(DBIR)指出,去年一年里,伴随数据泄露的勒索软件事件大幅增长了13%,而去年的报告中仅有12%的事件是勒索软件相关的。换句话说,这一增长率超过了之前五年的增长总和。

这第15版DBIR分析了23,896起安全事件,其中5,212起是经证实的数据泄露。威瑞森表示,其中大约五分之四的事件是外部网络犯罪团伙和威胁组织的杰作。威瑞森安全研究团队经历Alex Pinto认为,这些恶意团伙越来越容易通过勒索软件谋取不义之财,使得其他类型的数据泄露方式逐渐式微。

“网络犯罪中的一切都变得如此商品化,真成一门生意了,变现犯罪活动的方法超级高效。”他向信息安全媒体透露,”随着勒索软件即服务(RaaS ) 和初始访问经纪人的兴起,发起勒索软件攻击几乎不需要什么技术,也不费力。”

“曾经,你得先入侵,四处嗅探,然后找出有销路的那些值得偷的东西。”他解释道,“我们从2008年开始编撰DBIR,当时基本上都是支付卡数据被盗。而现在,这种情况大幅减少,因为只需要购买别人弄到的访问权,并安装租用的勒索软件,就可以更容易地实现同样的赚钱目标。”

如此一来,任何组织都可能成为目标:就算没有高度敏感数据之类值得盗取的东西,公司也会落入网络罪犯的攻击范围。这意味着,中小市场企业和夫妻店都应该提高警惕。

“网络罪犯不用再去攻克大企业。”Pinto说道,“事实上,瞄准大企业可能适得其反,因为他们的防御通常固若金汤。而如果一家公司只有几台电脑,还很紧张自己的数据,那你倒是很有可能从中捞点油水。”

换言之,DBIR发现大约40%的数据泄露是由于安装了恶意软件(威瑞森称为系统入侵),而RaaS的兴起导致了这些数据泄露事件中55%涉及勒索软件。

Pinto称:“我们的担忧在于,这种情况毫无止境。我们不再相信这种情况会停歇——除非有人想出更有效率的方法。我无法想象这会是种什么样子的方法,但或许,这就是我没参与有组织犯罪生意的原因了。”

SolarWinds效应

过去一年里,臭名昭著的SolarWinds供应链黑客事件余波震荡,“软件更新”途径将“合作伙伴数据泄露”推上系统入侵事件(包括勒索软件事件)的主因(62%)——这比2020年微不足道的1%高出许多。

Pinto指出,尽管SolarWinds等事件(以及Kaseya相关勒索软件攻击等其他事件)引发媒体报道和关注,但对于大多数企业来说,处理供应链数据泄露并不需要大肆整顿运营。

“如果你是受影响的客户之一,那防止供应链数据泄露造成恶果,与防止其他几种恶意软件产生危害并没有太大区别,反正你的服务器都在向莫名其妙的地方发出信号。如果你是首席信息安全官(CISO),那你要用的技术应该跟你已经在用的非常相似,因为坦率地说,试图跟上你必须努力确保安全的每个软件供应商是不现实的。差距太大了。”

如何着手勒索软件防御

数据泄露切入途径的调查中,我们可以将攻击归结为四种常见途径:利用被盗凭证;社会工程和网络钓鱼;漏洞利用;以及使用恶意软件。

Pinto称:“看完这份报告,你需要查看自己的环境中有没有存在这四种途径,而自己又为此部署了哪些控制措施。”

至于勒索软件相关的数据泄露,报告分析的事件中有40%涉及使用远程桌面协议(RDP)之类桌面共享软件,35%涉及使用电子邮件(大部分是网络钓鱼)。

“锁定面向外部的基础设施,尤其是RDP和电子邮件,大大有助于保护企业免遭勒索软件侵害。”

需要注意的是,82%的数据泄露都依赖人为失误(例如,13%的数据泄露由错误配置引发)或交互(网络钓鱼、社会工程或被盗凭证)。GoodAccess产品副总裁Artur Kane表示,这给我们指出了一些值得研究的最佳实践。

首先,技术解决方案,例如要求多因素身份验证(MFA)和按访问权限分隔网络,以及实现实时威胁检测功能、保留连续访问日志和执行定期备份。

“然而,安全管理员还需要针对这些事件制定可靠的响应和恢复计划,并且应该定期培训和演练。”Kane表示,“用户培训可以极大改善公司的整体安全状况。因为大部分勒索软件攻击依靠网络钓鱼诱饵打开局面,培训员工识别网络钓鱼诱饵,就可以省下发生数据泄露后的数百万美元恢复费用。”

威瑞森2022年《数据泄露调查报告》:

https://www.verizon.com/business/resources/reports/2022/dbir/2022-dbir-data-breach-investigations-report.pdf