前情提要

　　美國端點安全供應商Cybereason 的新研究為支付贖金的組織提供了令人不安的發現，研究內容包括從重復攻擊到損壞的數據以及錯誤的解密工具。

　　研究結果顯示：在勒索軟件攻擊后付款的組織很可能會遭受第二次攻擊。

　　具體內容

　　端點安全供應商 Cybereason 的新研究通過對來自美國、英國、西班牙、德國、法國、阿拉伯聯合酋長國和新加坡的 1,263 名信息安全專業人員的調查，研究了勒索軟件對企業的短期和長期影響。該調查最重要的發現之一是，在要求支付贖金的組織中，80% 經歷了第二次攻擊。

　　更糟糕的是，在再次受到攻擊的人中，近一半的人表示他們認為是同一名攻擊者所為，而只有 34% 的人表示他們認為第二次攻擊是由不同的威脅參與者實施的。

　　此外，根據Cybereason 的報告，付費并不能保證運營會恢復正常。在接受調查的人中，46% 的人在付款后重新訪問了他們的數據，但部分或全部數據已損壞。25% 的受訪者表示，勒索軟件攻擊導致他們的組織關閉。

　　Cybereason 的報告圍繞不斷增長的重復攻擊威脅提供了令人不安的數據。盡管 80% 高于 Cybereason 聯合創始人兼首席技術官Yonatan Striem-Amit 的預期，但他表示這并不令人意外。Striem-Amit 說，這一比例非常高的原因是，當企業選擇支付贖金時，他們可能正在解決一個迫在眉睫的問題，所以他們也宣布愿意支付潛在的大筆資金來解決危機。

　　Striem-Amit 表示，網絡犯罪分子在識別潛在目標方面已經變得更好，而較大的勒索軟件組織則專門從事組織挖掘——利用有針對性的入侵技術追蹤大型跨國公司。問題變得越來越嚴重，以至于白宮最近發布了一項僅針對企業的勒索軟件指令。

　　“當受害者付款時，他們向攻擊者發出了一個信號：我們開門營業，”他說。“然后犯罪分子在受害者有機會加強安全措施之前再次攻擊他們。”

　　重復攻擊的原因

　　Cybereason 并不是唯一一家觀察到組織被多次攻擊的趨勢的供應商。Mandiant 事件響應主管 Nick Pelletier 告訴記者，他的公司已經對多次受同一勒索軟件威脅攻擊者傷害的公司進行了調查。然而，它們經常發生在威脅行為者試圖索取贖金未成功的情況下。根據 Pelletier 的說法，在這些情況下，Mandiant 觀察到威脅行為者的策略升級；首先是通過增加加密范圍，然后是通過數據竊取和暴露來敲詐勒索。

　　“通過這種方式，重復瞄準同一組織有助于通過增加影響力來完成威脅行為者的任務。此外，將重復瞄準視為錯誤或受害者缺乏準備是不準確的，因為它更只是類似于作為攻擊者的持續攻擊。Pelletier 在給記者的一封電子郵件中說，這是需要調查、修復和提高彈性的奢侈安全提升時間。

　　此外，攻擊后的事件響應可能很棘手。Omdia 的首席分析師 Eric Parizo 告訴記者，因為每個事件都是獨一無二的，即使員工經過培訓、擁有良好的技術和健全的流程來支持 IR 工作，事情仍然可能出錯。

　　”如果你沒有足夠快地發現事件，識別所有受影響的地方并采取正確的行動來緩解它，可能會發生重復攻擊“ Eric Parizo在給媒體的一封電子郵件中說。

　　TechTarget 的一個部門 Enterprise Strategy Group 的首席分析師 Jon Oltsik 表示，其他問題是非正式和未經測試的程序以及缺乏訓練有素的 IR 人員。”通常情況下，客戶確實會聽取 IR 提供商的意見，但他們可能沒有及時這樣做的技能、資源或工作流程，“Oltsik 在給 SearchSecurity 的電子郵件中說。

　　在攻擊后投資

　　Cybereason 要求部分受訪者在過去 24 個月內分享他們在攻擊后采取了哪些解決方案，以保護他們的網絡免受任何未來事件的影響。前五名是電子郵件掃描、數據備份和恢復、端點保護、安全運營中心（SOC），而排名第一的是 48% 的安全培訓意識。

　　”不幸的是，這不是一個選擇，只能這樣做，“ Striem- Amit 說。”如果你圍繞意識構建整個安全計劃，這將不會成功。但是將所有這些事情一起做是非常有效的——部署正確的解決方案、培訓團隊和最佳實踐將有所幫助。企業必須愿意采取行動。“

　　雖然Striem- Amit 表示網絡保險是企業網絡安全態勢的重要組成部分，但 Cybereason 看到了許多保險未涵蓋全部損害的案例。根據調查，42% 的受訪者表示，他們的保險公司只承保了部分經濟損失。但在品牌聲譽受損、裁員、業務中斷等等之間，成本不斷增加。

　　”保險真的能涵蓋勒索軟件攻擊的全部成本嗎？答案是否定的。它可能不足以作為減輕組織風險的唯一或主要方式，“ Striem- Amit 說。

　　好的一面是，Cybereason 的報告稱，今年的總體攻擊量似乎正在下降。然而，該報告稱，正在發生的上述攻擊更為復雜。Striem- Amit 表示，當今的勒索軟件操作與民族國家黑客的復雜程度和知識幾乎沒有區別。因此，企業需要做好準備。

　　他說：”專注于正確前沿的網絡防護技術，從過時的做法轉向現代做法，比遭受勒索軟件攻擊時對您造成的巨大損失要便宜得多。“ ”如今的勒索軟件攻擊是現代的、復雜的，并且真正針對每個人。現在就認真對待吧。“