趋势与观点|驾驭勒索软件威胁:IT 治理和网络安全领导者指南
2023年8月5日,在康涅狄格州东部健康网络(美国康涅狄格州)某些地点进行预约的患者经历了一个突发的意外:他们的预约被无故取消了。然而,大规模取消并不是由网络预约过多或人手不足造成的。相反,这是由于Prospect Medical Holdings遭受到勒索软件攻击而造成的结果。Prospect Medical Holdings是一家总部位于美国加利福尼亚州的医疗保健系统,在4个州运营,康涅狄格州东部健康网络(Eastern Connecticut Health Network)是该系统的附属机构。由于多地的计算机系统无法访问,一些地方被迫取消预约,其他地方则不得不用纸质记录的办法来方便患者护理。康涅狄格州东部健康网络的经历绝非特例,因为勒索软件攻击在当今以数字主导的环境中已经变得非常常见了。勒索软件攻击是加密或窃取受害者数据并要求受害者付费才能恢复的恶意软件,经常攻击医疗保健提供商、教育机构、政府机构、中小型企业甚至大公司。勒索软件攻击并不是什么新鲜事。第一次记录在案的攻击事件发生在 1989年12月(也是针对一家医疗机构)。多年来,这些攻击变得越来越普遍,成本越来越高昂,后果越来越严重,因此组织必须了解最新威胁并实施解决方案,以保证他们(及其客户)的数据安全,并使他们的运营蓬勃发展。
了解勒索软件环境
勒索软件自三十年前问世以来已经发生了很大变化。也许最重要的是,这种恶意软件不再是孤立的黑客所为。相反,它是复杂的、往往是分散的、具有组织结构和不同角色的团伙的产物。近年来,勒索软件即服务 (RaaS, Ransomware-as-a-Service) 模式迅猛发展,使得不太复杂的恶意网络攻击者也能够实现大规模获取和部署攻击。根据2015年至2022年间恶意软件产品抽样研究,RaaS产品占暗网上销售的所有恶意软件产品的近60%。组织严密的犯罪企业使组织更有可能遭受勒索软件攻击。令人惊讶的是,只有少数群体控制着RaaS领域。排名前十的RaaS组织占据所有攻击的87%,其中前三的组织占50%以上。当然,随着执法力度加大,这些团伙会频繁改头换面、重组,这无疑增加了识别难度。2023年,威胁攻击者似乎是以服务业、制造业和批发贸易组织为目标,重点关注收入在100万美元至5000万美元之间的企业。勒索金额中位数估计约为20万美元。攻击者试图在组织的网络保护级别和潜在的赎金支付之间取得平衡。简而言之,上述收入范围内的组织通常缺乏防止勒索软件攻击的IT和安全解决方案,但有足够的收入来支付赎金以恢复其数据或IT基础设施。失败的代价可能极其高昂。尽管成本可能因具体情况而异,从数十万美元到高达7000万美元不等,但由此产生的长期影响,如机会成本、声誉损害和投资者前景,使得实际影响难以量化。
保护、合规和风险管理策略
每年,85%的企业都会经历至少1次勒索软件攻击尝试,这使得实施保护、合规和风险策略变得越来越重要。要提升组织的防御态势,首先要针对最常见问题采取行动:被窃取的凭据和暴露的互联网服务器(主要是远程桌面协议[RDP]连接)。企业应监控服务器并对凭据遭窃保持警惕,因为这些都是标准攻击手段。同时,确保所有员工为其账户使用强大且独特的密码也十分重要。
主动并持续地扫描互联网和暗网以发现潜在的妥协风险(并作出相应响应),也有助于组织预测攻击漏洞。值得注意的是,由于冬季假期前后网络活动增加,全年下半年遭受勒索软件攻击的次数多于上半年。这并不意味着企业在年初就可以放松警惕,而是让他们可以据此制定计划,确保在攻击发生之前做好万全准备。
企业也可以根据其行业和规模分析数据,以衡量攻击的可能性,尽管这些趋势可能会随着时间的推移而变化。具体来说,组织可以利用数据进行网络风险定量分析,以确定勒索软件攻击的可能性以及事件对其运营和底线结果的影响。有了这些信息,IT团队和决策者就能够了解网络事件的财务影响,评估网络安全预算的投资回报率 (ROI),并相应地优先考虑风险管理决策。
最后,团队可以接受培训,学习预判勒索软件攻击,使他们更有可能仔细检查潜在的钓鱼邮件,更好地管理账户凭据,定期安装软件更新。这些数字卫生最佳实践可以显著降低勒索软件攻击的风险,为各种规模的组织提供掌控其数字环境所需的能力。
勒索软件攻击不可避免吗?
在当今数字互联的世界中,勒索软件攻击已成为不断变化且日益复杂的环境中的一个普遍因素。各行各业的企业、医疗机构和组织都是潜在的目标,面临着重大财务损失、运营中断和声誉受损的风险。RaaS的出现使这种情况进一步复杂化,使勒索软件行业变得更加有组织、更加强大。然而,攻击的必然性并不意味着无助。组织可以采用战略保护、合规和风险管理措施,包括持续警惕、定期员工培训以及基于行业和规模趋势的有针对性的防御计划。
通过了解当前威胁形势并采取主动措施,组织可以保护其数字环境,降低遭受恶意攻击的风险。
编者按:本文于2024年2月13日首次发表于ISACA官网News and Trends/Industry News。尾注略。文章内容仅代表作者本人观点。
作者:GUY PROPPER 是 Kovrr 的数据主管,Kovrr 是一家领先的网络风险量化 (CRQ) 技术和解决方案提供商,使全球企业和(再)保险公司能够按需对网络风险进行财务量化。
翻译:王彪,COBIT2019、CISA、CDPSE、CDMP、CDSP、CISP-DSGI、ISO27001LA、信息安全工程师(软考)、ISACA微信公众号特邀通信员、天融信数据安全治理专家。
校对:唐四宝(Jerry Tang),CISA, CDPSE,CZTP,ISACA微信公众号特邀通讯员。