呂蘊藉

多年來，企業(yè)不得不應對勒索軟件攻擊的威脅。成功的黑客攻擊會對企業(yè)的日常運營造成嚴重破壞，關閉系統(tǒng)并竊取重要數(shù)據(jù)。作為回應，安全技術和預防系統(tǒng)在不斷進步，但網(wǎng)絡犯罪分子使用的策略和技術也在不斷進步。在過去一年，這些網(wǎng)絡攻擊的數(shù)量急劇增加，因為網(wǎng)絡攻擊者利用了混合工作安全環(huán)境弱化的機遇。在英國，37 %公司在2021年向英國信息專員辦公室（ICO）報告了數(shù)據(jù)泄露事件。

網(wǎng)絡安全戰(zhàn)略和安全意識的提高迫使網(wǎng)絡攻擊者改進其戰(zhàn)略，并擴展到新的行業(yè)領域，使其行為更難控制。網(wǎng)絡犯罪分子的動機也在發(fā)生變化，從控制企業(yè)的數(shù)據(jù)到勒索錢財，再到出于政治原因（包括大規(guī)模關閉關鍵基礎設施）造成更嚴重的破壞。

2021年早些時候，一家受到勒索軟件攻擊的企業(yè)支付了約500萬美元的比特幣，以重新獲得數(shù)據(jù)控制權并繼續(xù)提供服務。美國Colonial Pipeline公司的燃油管道由于遭遇網(wǎng)絡攻擊導致供應中斷。愛爾蘭衛(wèi)生服務執(zhí)行機構也面臨勒索，要求支付2 000萬美元的贖金，否則將其保存患者的個人數(shù)據(jù)對外公開。即使該機構在支付贖金之后，仍有520條記錄在暗網(wǎng)上出售，這進一步凸顯了網(wǎng)絡犯罪分子的不可預測性。

勒索軟件攻擊技術和策略在這些年來取得了長足的進步。雙重勒索的勒索軟件如今不再只是加密數(shù)據(jù)之后勒索所有者，而是首先竊取數(shù)據(jù)；然后等待，使受害方的數(shù)據(jù)備份和數(shù)據(jù)恢復計劃過時，以迫使他們支付贖金。因此，網(wǎng)絡犯罪分子找到了另一種敲詐勒索的途徑，企業(yè)需要準備好克服這一新威脅。

雙重勒索的威脅

雙重勒索的勒索軟件使網(wǎng)絡犯罪分子不僅可以要求受害方為被盜數(shù)據(jù)支付贖金，還可以將其作為虛假承諾，以防止其公開發(fā)布。如果受害方?jīng)]有在規(guī)定的時間內(nèi)支付贖金，犯罪分子會將這些數(shù)據(jù)公布給所有人，包括競爭對手。

如果不支付贖金，就會威脅對外公布，并使受害方“名譽掃地”，根據(jù)Emisoft公司的研究，采用這種策略的網(wǎng)絡犯罪案例正在增加。研究發(fā)現(xiàn)，在收到的100 101份針對企業(yè)和公共部門機構的勒索軟件攻擊報告中，11.6 %的報告是由竊取和發(fā)布數(shù)據(jù)的團體以“名譽掃地”的方式進行的。

犯罪軟件即服務也有所增長，越來越加劇地緣政治緊張局勢，民族國家者正在從暗網(wǎng)上購買工具和服務，而他們開發(fā)的工具也正在進入黑市出售。

威脅加倍，恢復計劃也需加倍

網(wǎng)絡攻擊者要想成功勒索贖金，首先必須確保受害方無法恢復有用的數(shù)據(jù)，否則他們將面臨受害方不支付贖金的風險。因此，他們禁用或破壞受害方備份數(shù)據(jù)，使其幾乎無法恢復，然后再通過竊取的數(shù)據(jù)進行勒索。

通過制定專門的受損數(shù)據(jù)風險管理計劃，與使用標準化的數(shù)據(jù)恢復流程相比，企業(yè)能夠提高成功機率，并顯著增加受損數(shù)據(jù)恢復的可能性。由于勒索軟件的威脅日趨嚴重，企業(yè)需要做好準備，并重新考慮現(xiàn)有的數(shù)據(jù)恢復計劃。

為了應對這些反復出現(xiàn)的問題，企業(yè)需要規(guī)劃5個最關鍵的步驟來恢復損壞的數(shù)據(jù)：

識別———識別并證明企業(yè)的重要數(shù)據(jù)資產(chǎn)（VDA）。這是需要額外保護級別的數(shù)據(jù)，是企業(yè)必備的數(shù)據(jù)。

保護———提高可以恢復當前數(shù)據(jù)可能性的能力，例如可以防止網(wǎng)絡攻擊的故障保護副本。

檢測———識別可能增加企業(yè)訪問其重要數(shù)據(jù)資產(chǎn)（VDA）風險的弱點漏洞。

響應———在數(shù)據(jù)泄露事件之后要遵循的計劃、流程和程序。

恢復———讓團隊為這種可能發(fā)生的情況做好準備的訓練、測試和練習。

制定有效的計劃

所有企業(yè)都面臨勒索軟件攻擊的風險，快速變化的威脅形勢使現(xiàn)有的檢測工具受到質(zhì)疑，它們不再是對抗網(wǎng)絡攻擊和防止大量數(shù)據(jù)丟失的有效手段。撇開外部威脅不談，所有企業(yè)都在與內(nèi)部威脅的風險競爭，而心懷不滿的員工有權訪問內(nèi)部網(wǎng)絡和信息。近年來，網(wǎng)絡安全培訓取得了突飛猛進的進展，但人為錯誤仍然是企業(yè)面臨的巨大風險，尤其是采用混合工作模式的企業(yè)。

最終，每個企業(yè)都應該著眼大局，并制定數(shù)據(jù)恢復計劃。傳統(tǒng)勒索軟件攻擊的破壞性不容小覷，但與新策略相關的風險無疑對業(yè)務更為關鍵。企業(yè)聲譽受損和客戶信任受損通常是無法彌補的，在讓網(wǎng)絡犯罪分子攻擊之前，管理者必須簡要介紹協(xié)議，并與企業(yè)管理層密切合作，確定哪些數(shù)據(jù)應該是恢復任務中的優(yōu)先事項。這樣，企業(yè)即使面對網(wǎng)絡攻擊，他們的數(shù)據(jù)、資產(chǎn)和基礎設施也將保持完好。

3285501908205