三分之一的企业被迫倒闭！勒索攻击是如何影响业务、预算和决策的？

2022 年，勒索攻击继续占据着网络空间威胁的主导地位。企业面临着各种威胁的围攻，但勒索软件为攻击者提供了一种独特的组合，即非常低的风险和非常高的回报，这就是为什么勒索攻击的数量几乎比前一年翻了一番，应对勒索的总成本估计已超过 200 亿美元。

 

勒索软件最初只是一种新型的恶意软件利用，通过敲诈来获得收益。但如今它逐渐演变成一种复杂的商业模式，恶意软件只是更大规模的勒索活动中的组成部分之一。网络犯罪团伙，如 Darkside，是美国燃油管道商 Colonial Pipeline 遭勒索的幕后黑手，REvil，是全球最大肉类供应商 JBS 遇袭背后的集团，以及 Conti，他们对多个政府机构发起攻击，甚至导致了哥斯达黎加总统宣布国家进入紧急状态。勒索攻击已经进化到勒索软件即服务（RaaS）模式，成为一种商业化的业务，可以快速地提供进攻所需的一切资源，这让企业的处境愈发艰难。

 

尴尬的是，遭到攻击的企业面临的是一种无法取胜的局面，可能的选择无非是拒绝支付赎金，从备份中重建和恢复受损的系统，并祈祷攻击者不会泄露或贩卖敏感数据；或者乖乖付款，从攻击者那里获得解密密钥，并祈祷不会遭到下一次勒索。

 

网络安全厂商Cybereason最近发布的一份报告对美国、英国、德国、法国和其他国家的 1,400 多名网络安全专业人士进行了调研，着眼于勒索攻击对企业业务的真实影响和成本研究，并就如何保护自身免受此类攻击提供建议。

 

 

 

尽管世界各地的政府和执法机构都越来越重视勒索攻击，企业也将其列为最关心的安全威胁，但2021年的攻击量几乎翻了一番，近四分之三（73%）的受访者表示，他们的企业在过去 24 个月至少遭到过一次攻击，而在上一年的报告中，这个数字是 55%，同比增长 33%。

 

勒索攻击会在许多方面对企业产生负面影响，综合损失可能达到数千万甚至数亿美元。调研显示，绝大多数遭受攻击的企业的经营也遭受重创。短期影响包括，业务流程中断，与事件响应相关的成本，生产力损失，以及如果企业选择支付赎金产生的财务成本，等等。长期影响包括收入减少、品牌声誉受损、关键高管流失、裁员、客户和战略合作伙伴流失，以及甚至会威胁到企业的生存。

 

勒索攻击在不同的垂直行业存在一定的差异，法律（92%）、制造业（78%）、金融服务（78%）和人力资源（77%）最有可能成为目标。

 

 

尽管网络安全人才持续短缺，但调研显示，88% 的受访者认为自己的企业有能力抵御勒索攻击，去年这一比例为 60%，同比增长近 50%。近四分之三的受访者表示，他们相信自己的企业有正确的应急响应计划，这个比例跟去年持平。 

 

按行业划分，金融服务业（95%）和交通运输业（94%）对自身安全能力的信心最高，而教育行业的信心水平最低，为54%。 这尤其令人担忧，因为学校系统经常成为勒索攻击的目标，例如，拥有157年历史的美国黑人学院林肯学院在2021年12月发生勒索事件后，连续几个月都无法访问招生和筹款系统。

 

尽管大部分人认为他们的企业已经做好了应对勒索攻击的准备，但调研显示，受访者表示自认为的准备程度，与他们的企业成功抵御勒索攻击的实际准备程度之间存在明显的差距。

 

在报告勒索攻击造成损失的企业中，67% 表示损失在 100 万美元至 1000 万美元之间，而 4% 估计损失在 2500 万美元至 5000 万美元之间。37% 的受访者称，他们的企业在遭遇勒索攻击后被迫进行裁员，比2021年增长了近30%。35% 的受访者表示，CXO 级别的高管在攻击发生后辞职。 33% 的企业承认他们因勒索攻击被迫停止了业务运营，同比增长 7%。

 

 

在遭遇攻击后支付一笔或多笔赎金的企业中，近一半（49%）表示，付款的主要动机是避免任何收入损失，而 41% 的企业认为需要以最快的速度恢复。从业务连续性和企业生存角度的来看，这两者似乎都有道理。 

 

还有一些企业决定支付赎金是因为他们没有为此做好准备，27% 的人表示他们没有备份数据，所以只能选择支付；34% 的人表示，他们根本没有足够的人手来尝试有效的应对措施。这两种情况对于想要认真对待勒索威胁的企业来说都是可以预防的。

 

决定交钱并不容易，特别是对于那些拥有关键基础设施的企业，比如医疗部门，任何补救措施的延误都可能导致受伤或死亡，这种紧迫性解释了为什么近三分之一（28%）的受访者表示他们会选择支付赎金。

 

遗憾的是，支付赎金并不能保证更快地恢复。在报告已支付赎金的企业中，只有 42% 的人表示恢复了所有系统和数据，比去年的51% 大幅下降。54% 的人表示，系统问题持续存在，或者一些数据在解密后被损坏。

 

 

被攻击后到底要不要付钱是一个艰难的决定，虽然补救措施是首要考虑的，但企业也需要权衡许多其他因素，包括：

 

· 攻击者是否会信守承诺，提供解密密钥并恢复对所有系统和数据的访问？

· 在解密过程中，如果数据损坏怎么办？

· 如果攻击者在一个受到制裁国家，而支付赎金可能被视为刑事犯罪，那该怎么办？

· 如果支付赎金鼓励攻击者对企业发动下一次攻击，该怎么办？

· 如果拒绝支付赎金，除了延迟的系统和数据恢复之外，企业还会面临哪些风险？

 

这个决定其实缺乏明确的最佳实践，因为每个攻击方、受害企业、受影响的数据集和第三方情况都是特殊的，需要根据具体情况进行评估。仅报告调研发现，企业并不值得为勒索攻击支付赎金。近 80% 的受访者表示，他们支付后又再度遭到了至少一次攻击，在第二次被攻击的人中，48% 的企业表示攻击是由同一个团伙实施的，这与 2021 年的研究结果持平。

 

68% 支付赎金并再次被攻击的企业表示， 第二次攻击发生在第一次攻击后不到一个月，攻击者往往会索要更高的赎金。在第一次攻击后支付赎金的企业中，有 44% 也支付了第二次赎金，9% 的企业表示，他们支付了三次或者更多。 

 

这在一些领域尤为突出，法律（100%）、人力资源（100%）、工程（91%）和制造业（85%）最有可能遭到二次攻击，拥有超过 1500 名员工的大型企业也是反复攻击的首选目标（88%）。

 

 

 

勒索攻击涉及各种感染媒介，但攻击者有他们更喜欢、更习惯的方式。超过一半的攻击都使用了不安全的微软远程桌面协议(RDP)连接，其次是钓鱼邮件（25%），软件漏洞利用为 12%。一些犯罪团伙专门在网络上扫描企业暴露的端口，通过暴力破解获取访问权限，然后在暗网市场进行售卖，给勒索企业提供进攻的机会。

 

虽然广泛、随机的攻击仍然很普遍，但勒索供应商正在远离广撒网、低赎金的攻击，转向选择对有能力支付百万美元赎金的企业发起定制化、针对性的攻击，慢速的活动中涉及复杂的攻击序列，会尽可能渗透更多的目标网络，而不是只感染单台机器。在遭受勒索攻击的企业中，63% 报告说攻击者在网络中存在 6 个月后才被发现，21% 的企业表示潜伏了 7-12 个月，16% 则表示停留时间长达一年或以上。

 

向更复杂的勒索行动的转变也导致了供应链攻击的增加，这使攻击者能够只专注于攻破一个企业，从而危害他们的整个客户群，2021年针对托管 IT 服务提供商 Kaseya 的攻击导致其客户大面积受创就是一个典型的例子。调研显示，在过去 24 个月内遭受攻击的大多数企业（64%）表示，感染载体来源于第三方供应商提供的软件，中小型企业更容易受到供应链攻击的连锁危害，而大型企业更容易受到对其网络环境的直接攻击。

 

各企业通过改进数据备份来应对日益增长的勒索威胁，因此犯罪团伙不仅仅通过加密数据来索要赎金，还会威胁受害企业若不支付将会泄露或出售他们的核心机密。据报道，2019 年只有一个勒索团伙使用了这种策略，但到2021年第一季度末，双重勒索已经增加到所有勒索攻击的77%，随着这种手段的流行，企业的选择变得更有限。

 

双重勒索的增长引发了另一个重要的问题：攻击者倾向利用什么类型的数据来进行双重勒索？

 

受保护的健康信息 (PHI)：包括医疗记录、诊断详细信息和患者医保数据。医疗企业需要随时访问这些信息以便及时提供护理，尤其在经历新冠疫情之后，攻击者已经将这类数据定为重要目标之一。

 

个人身份信息（PII）：包括姓名、身份证号、出生日期、地址、邮箱等等。攻击者将这些信息整理打包成完整的身份档案在暗网出售，有大批的买家会利用这些信息实施网络诈骗。

 

账户凭据：主要由用户名和密码组成，账户对攻击者至关重要，他们需要这些详细数据来尽可能多地感染目标网络。

 

知识产权(IP)：包括新产品发布、受害者业务环节中不可或缺的细节或客户相关资料。与窃取敏感的个人信息一样，攻击者可以在暗网上将知识产权信息变现，或者提供给其竞争对手以破坏受害企业的商业利益。

 

调研指出，在过去两年遭受了勒索攻击的企业中，54% 表示攻击者试图或实际上泄露了敏感客户数据，34% 的企业关注PII，30% 的企业关注知识产权IP，27% 的企业关注PHI。

 

 

勒索攻击的数量、复杂性和严重程度的稳步增加， 推动了安全预算的提升。86% 的受访者表示，他们的安全预算有所增加，66% 的受访者表示，他们的安全项目显著增加，增幅在 11% 到 50% 之间。报告中所有参与者的安全预算平均增加了 20%，这表明勒索攻击是各种规模和行业的企业中安全支出的主要驱动因素之一。

 

那么，企业在哪里投资额外的预算来降低勒索攻击带来的风险呢？调研显示 ，网络保险的预算分配是增加支出的首要项目，93% 的受访者表示他们的企业有网络保险政策 ，高于 2021 年的 75%。在已经购买网络保险的企业中，84% 表示他们有专门针对勒索攻击的保单，高于 2021 年的 54%。有 51% 的企业招募了专门的安全人才来抵御勒索攻击，50% 的企业为员工提供安全意识培训。

 

令人意外的是，只有 47% 的企业优先选择投资新的安全技术，如NGAV、端点保护以及威胁检测和响应解决方案。通过与投资网络保险的高比例进行对比，报告分析，这些企业没有足够的信心，认为能够依靠正确的解决方案来抵御攻击，但是网络保险是有效的转移风险的方式。

 

需要注意的是，网络保险本质上并不会直接减轻风险，或提供有意义的防御。即使包含了赎金要求，也可能无法涵盖收入损失、补救成本、监管罚款等其他财务成本。更重要的是，网络保险不能保护企业免受第二次勒索攻击，而且网络保险能否在一个月内连续支付款项也值得怀疑。

 

 

遭遇勒索攻击没有明确的“最佳选择”，大量案例证明，采取主动防御策略，尽早发现正在进行的攻击，并能够对攻击做出响应和准备，就是最好的方案。

 

这意味着确保企业及时修补关键漏洞、更新操作系统和软件、进行异地备份、为员工提供安全培训，以及在网络上部署正确的安全解决方案。

 

下一代防病毒软件（NGAV）应该是所有网络端点的标准配置，目标是通过扫描已知策略和自定义恶意软件来防止勒件攻击。

 

此类解决方案可以检测和分析网络中的恶意活动，如跨域的勒索攻击。这类工具在任何数据被泄露和加密之前、以及在勒索软件有效负载可以交付之前阻止勒索攻击。

 

通过模拟网络攻击测试关键员工的响应速度和能力。这些演习可以帮助评估企业的风险情况并改进安全事件响应措施，并且演习应该是跨职能的，包括法务、HR、IT 和安全执行部门等关键岗位的人员。

 

如果发生勒索攻击，企业需要明确应当禁用或锁定受影响的账户、系统和其他资源，以防止攻击蔓延。安全团队应该精通断开主机连接、锁定受损账户和阻隔恶意环境。建议每个季度至少进行一次演习，以测试这些机制和程序是否会如期执行。

 

如果企业不具备相关的人员或技能，请事先评估选择安全服务提供商（MSP），并商定在紧急情况下的安全响应计划。

 

由于关键账户最容易受到攻击，因此请考虑在周末和节假日不使用时锁定这些账户。相反，设置安全的、仅用于紧急情况的账户，当其他关键账户被禁用和不可用时，企业可以使用这些账户以保证业务的正常运转。