调研 | 勒索软件增长进入新时代

调研 | 勒索软件增长进入新时代-51CTO.COM

去年，勒索软件事件惊人增长，25%的数据泄露都涉及勒索软件因素。

威瑞森新近发布的2022版《数据泄露调查报告》(DBIR)指出，去年一年里，伴随数据泄露的勒索软件事件大幅增长了13%，而去年的报告中仅有12%的事件是勒索软件相关的。换句话说，这一增长率超过了之前五年的增长总和。

这第15版DBIR分析了23,896起安全事件，其中5,212起是经证实的数据泄露。威瑞森表示，其中大约五分之四的事件是外部网络犯罪团伙和威胁组织的杰作。威瑞森安全研究团队经历Alex Pinto认为，这些恶意团伙越来越容易通过勒索软件谋取不义之财，使得其他类型的数据泄露方式逐渐式微。

“网络犯罪中的一切都变得如此商品化，真成一门生意了，变现犯罪活动的方法超级高效。”他向信息安全媒体透露，”随着勒索软件即服务(RaaS ) 和初始访问经纪人的兴起，发起勒索软件攻击几乎不需要什么技术，也不费力。”

“曾经，你得先入侵，四处嗅探，然后找出有销路的那些值得偷的东西。”他解释道，“我们从2008年开始编撰DBIR，当时基本上都是支付卡数据被盗。而现在，这种情况大幅减少，因为只需要购买别人弄到的访问权，并安装租用的勒索软件，就可以更容易地实现同样的赚钱目标。”

如此一来，任何组织都可能成为目标：就算没有高度敏感数据之类值得盗取的东西，公司也会落入网络罪犯的攻击范围。这意味着，中小市场企业和夫妻店都应该提高警惕。

“网络罪犯不用再去攻克大企业。”Pinto说道，“事实上，瞄准大企业可能适得其反，因为他们的防御通常固若金汤。而如果一家公司只有几台电脑，还很紧张自己的数据，那你倒是很有可能从中捞点油水。”

换言之，DBIR发现大约40%的数据泄露是由于安装了恶意软件(威瑞森称为系统入侵)，而RaaS的兴起导致了这些数据泄露事件中55%涉及勒索软件。

Pinto称：“我们的担忧在于，这种情况毫无止境。我们不再相信这种情况会停歇——除非有人想出更有效率的方法。我无法想象这会是种什么样子的方法，但或许，这就是我没参与有组织犯罪生意的原因了。”

SolarWinds效应

过去一年里，臭名昭著的SolarWinds供应链黑客事件余波震荡，“软件更新”途径将“合作伙伴数据泄露”推上系统入侵事件(包括勒索软件事件)的主因(62%)——这比2020年微不足道的1%高出许多。

Pinto指出，尽管SolarWinds等事件(以及Kaseya相关勒索软件攻击等其他事件)引发媒体报道和关注，但对于大多数企业来说，处理供应链数据泄露并不需要大肆整顿运营。

“如果你是受影响的客户之一，那防止供应链数据泄露造成恶果，与防止其他几种恶意软件产生危害并没有太大区别，反正你的服务器都在向莫名其妙的地方发出信号。如果你是首席信息安全官(CISO)，那你要用的技术应该跟你已经在用的非常相似，因为坦率地说，试图跟上你必须努力确保安全的每个软件供应商是不现实的。差距太大了。”

如何着手勒索软件防御

数据泄露切入途径的调查中，我们可以将攻击归结为四种常见途径：利用被盗凭证;社会工程和网络钓鱼;漏洞利用;以及使用恶意软件。

Pinto称：“看完这份报告，你需要查看自己的环境中有没有存在这四种途径，而自己又为此部署了哪些控制措施。”

至于勒索软件相关的数据泄露，报告分析的事件中有40%涉及使用远程桌面协议(RDP)之类桌面共享软件，35%涉及使用电子邮件(大部分是网络钓鱼)。

“锁定面向外部的基础设施，尤其是RDP和电子邮件，大大有助于保护企业免遭勒索软件侵害。”

需要注意的是，82%的数据泄露都依赖人为失误(例如，13%的数据泄露由错误配置引发)或交互(网络钓鱼、社会工程或被盗凭证)。GoodAccess产品副总裁Artur Kane表示，这给我们指出了一些值得研究的最佳实践。

首先，技术解决方案，例如要求多因素身份验证(MFA)和按访问权限分隔网络，以及实现实时威胁检测功能、保留连续访问日志和执行定期备份。

“然而，安全管理员还需要针对这些事件制定可靠的响应和恢复计划，并且应该定期培训和演练。”Kane表示，“用户培训可以极大改善公司的整体安全状况。因为大部分勒索软件攻击依靠网络钓鱼诱饵打开局面，培训员工识别网络钓鱼诱饵，就可以省下发生数据泄露后的数百万美元恢复费用。”

威瑞森2022年《数据泄露调查报告》：https://www.verizon.com/business/resources/reports/2022/dbir/2022-dbir-data-breach-investigations-report.pdf