世界经济论坛85%的网络安全领导团体进一步强调称,网络安全风险当中的勒索软件正在成为一种危险的日益增长的威胁,并对公共安全构成重大关切。某专业服务公司发布2023年全球风险调研报告指出,其中网络攻击带来的数据泄露已经成为亚太地区乃至全球企业的首要风险。当单次数据泄露造成创纪录的445万美元(IBM 2023数据泄露报告数据)成本,建立抵御勒索软件攻击对应的安全能力已成企业必备投入。
今天,安全419将以媒体视角梳理2023年公开披露的勒索软件攻击事件并加以总结,同时辅以调研机构的观察见解,以及我们采访到的专业安全公司的应对见解,输出本篇内容,企业可以从中观察勒索软件攻击这一年以来的变化情况,调整威胁应对策略。
已成安全领域头号威胁
勒索软件攻击会代言网络安全,成为长期威胁存在。这是此前安全419对勒索软件攻击趋势的长期判断。Fortinet在上半年交出一份2023年全球勒索软件报告,这份报告给出的数据通过折算显示,全球每100次网络安全事件当中,就有62次与勒索软件相关,也就是说除了那些高级攻击活动之外,当前勒索软件攻击几乎等同于网络攻击。
如今,全球各组织对于勒索软件攻击有着相同的看法和关注度,对于企业管理者而言,制定勒索软件防护战略要么是最重要的优先事项,要么是他们的首要任务之一。从攻击者视角来观察,安全机构每年都能观察到上万个勒索软件变种,其背后的勒索组织正千方百计地利用新技术以突破企业现有防御。
某漏洞管理公司在前不久发布了2023年网络威胁回顾报告指出,2023年全球共披露了26447个计算机漏洞,这是数字再次创造了漏洞年度纪录,相比2022年的25050个多出5.2%。也就是说,如今各大软硬件厂商始终在加班加点地修复着各种各样的安全漏洞,从攻击者角度来看,每次漏洞的披露,就有1/4的勒索组织能够在第一时间加以利用,而企业一端的漏洞修复周期往往是数月时间。
这就是为什么勒索软件攻击始终难以有效阻止的致命原因,在2023年,几起关注度最高的软件漏洞包括VMware ESXi、GoAnywhere MFT、MOVEIT软件漏洞,其中每起漏洞都至少让上百家企业遭遇勒索软件攻击。特别是MOVEIT漏洞,全球受攻击企业甚至接近3000家。有安全大佬告诉安全419,这些漏洞均为此前官方修复过的遗留漏洞,修修补补又一年,如果没有妥善的防护机制,任何企业都难以避免漏洞修不好防不住这一大问题。
当前,没有任何机构能够准确说出过去一年到底有多少企业成为勒索软件受害者,比如有的方法是跟踪各大勒索组织的数据泄露网站,从中可以看到每个月大概会发生多少起勒索软件攻击。最新的11月份数据就显示,各大勒索组织共发布了484名威胁受害者,相比2022年同期甚至翻了一倍还多,安全机构也预测,2023年勒索软件攻击全球数量必创新高。
另外一家网络安全机构通过大数据监控指出,全球平均每天都会有12起被公开的勒索软件攻击事件,从更多的事件不被披露来看,意味着平均每天会有近40起勒索软件攻击事件发生在全球各角落,我们感知这一数量可能都略显保守,但其真实地代表了勒索软件攻击的具象威胁。
威胁手段更加多样化
早期的勒索软件攻击主要以加密计算机系统和数据为主,如果企业不支付赎金,系统以及数据将被锁定,因其通常采用先进的密码技术,使得企业如不取得恢复密钥,其数据将难以挽回。
随着全球各国家和地区对于网络安全和数据安全的重视程度不断提升,各地区的法律法规逐渐完善,监管侧对企业的网络安全和数据安全均提出了更高的要求,勒索组织也见招拆招,如今,勒索软件通常更多的是威胁泄露数据,以触发企业违规监管。
此前,企业为避免因网络安全事件而遭到政府监管处罚,能不披露违规事件就尽量不披露,比如从Security发布的一份报告来看,接近一半的企业(43%)都会选择隐瞒各类违规事件,在这方面,各国地区政府在涉及敏感信息泄露时的处罚力度之大,是各组织选择隐瞒的最大因素。
勒索组织的多重勒索中,除了系统数据加密,威胁泄露数据,我们还看到了隐私数据的第三方个人用户威胁,以及企业客户或合作伙伴的信誉威胁,也包括DDoS攻击威胁在线业务正常运营等诸多手段,一切以金钱为最终目标的勒索软件攻击,不断翻新着不同的威胁手段,以让企业就范。
针对各行业无差别攻击
勒索软件攻击针对全行业开展攻击,只要企业拥有在线业务,就会成为潜在攻击受害者。实际上全球各大经济体都在进行大范围的数字化改造,发展数字经济已成为各国的历史机遇,新技术新场景也带来了全新的安全问题,如何阶段性的具有创造力地同步提升网络安全,确实是安全产业需要解决的大问题。
我们在2023年看到的是,纵然Colonial Pipeline勒索事件成为历史级别事件,但针对能源行业攻击仍然不断的在上演。如德国Oiltanking和Mabanaft,加拿大Qulliq能源公司遭遇勒索软件攻击,美国最大的私营天然气和石油生产商之一Encino Energy同样成为勒索软件攻击牺牲品,疑似泄露400GB数据等,最近网传台湾中石化也中招勒索。
在教育行业,有安全机构披露,2022年全球共发生了119起勒索软件攻击事件,过去的2023年,截止9月份的数据显示,全球教育行业共发生了至少90起勒索软件攻击事件毫无疑问。教育行业将在2023年突破新高。针对教育行业的勒索攻击案例当中,此前美国教育非营利组织国家学生信息交换因MOVEit漏洞被攻击具有较高代表性,因该机构存储的数据可能连带影响全美890所使用其服务的学校。
在医疗行业,欧盟网络安全局在第三季度发布一份报告就指出,针对医疗机构的网络安全威胁已占整体威胁的一半以上(53%),医疗机构包括医院、卫生监管等科研机构,以及制药行业。而在所有的威胁当中,勒索软件最为普遍占事件的54%,报告也回答了为什么医疗机构更容易成为勒索软件团伙的攻击目标,主要是因为大部分医疗机构(73%)没有专门的勒索软件防御计划。
在制造业和金融行业方面,安全419对此曾指出,屡屡上演的勒索软件攻击事件将进一步加剧全球经济趋势的不确定性。近期有安全机构披露数据显示,去年全球共有447家制造业企业遭到勒索攻击,其中大型制造业企业的单次攻击损失均高达数千万美元以上;在金融行业方面,仅以中国工商银行美国公司受到勒索为例,其甚至动摇到美国国债的流动性,其安全影响可见一斑。
支付赎金与尽职免责
在Chainalysis公布的一组数据当中,2023年全球的勒索软件赎金从虚拟货币市场追踪的总金额可能达到8.98亿美元,其中仅上半年受害者就向勒索软件团伙支付了4.49亿美元赎金,从总体趋势上看,今年可能是勒索软件总体收入第二高的年份,仅次于2021年。
Secureworks发布的2023年威胁状况报告就指出,今年在勒索软件泄露网站上公布的受害者人数已经达到了空前水平,这种近乎羞辱性点名的方法很难有企业能招架得住,对应的是,2023年也将是勒索组织“大丰收”年份。
没有任何组织能够准确计算相关信息,但其代表着趋势,即勒索软件团伙不会因不断加强的安全建设而放缓对企业和组织的攻击,并且一旦得手,在威胁泄露数据上将更加激进,以确保有所收获。
在受害企业一侧,我们可以从两个具有代表性的案例身上来观察这一变化,2023年第三季度,两大娱乐集团凯撒娱乐和米高梅纷纷遭到勒索软件攻击,其中凯撒娱乐选择向勒索组织支付1500万美元赎金,以确保被盗数据不被泄露,米高梅选择不支付赎金,从披露来看,攻击事件为公司带来了1亿美元左右的经济损失,其中在网络安全方面的额外投入就高达1000万美元。
此前,在第三届国际反勒索软件倡议峰会上,全球有40个国家共同签署了一份拒绝向勒索软件组织支付赎金的承诺动议,其规范了政府机构将停止向勒索软件团伙支付赎金。在美国,政府机构一再呼吁不要向勒索组织支付赎金,但遵守起来相对困难,在商业组织层面,支付赎金仍然常见。
支付赎金,对于企业自身而言,第一是挽回失窃数据,第二是避免数据泄露造成监管处罚。如今,各国政府进一步追加监管条款已要求主动上报网络安全事件,其中积极一面的消息是监管条例中逐渐增加了尽职条款,即企业采取了必要措施且主动上报,可适情从轻或免除责任。
此前,英国数据保护监管机构和网络安全机构之间就达成协议,如果英国企业主动报告数据泄露,他们可能会面临较低的罚款。英国信息专员办公室(ICO)和国家网络安全中心(NCSC)两大部门同时表示,他们计划鼓励在发生违规行为时与NCSC接触,以减少监管处罚。
在我国,国家网信办12月8日发布《网络安全事件报告管理办法(征求意见稿)》公开征求意见稿,意见稿也首次提出类似尽职免责条款,其中第十一条规定:发生网络安全事件时,运营者已采取合理必要的防护措施,按照本办法规定主动报告,同时按照预案有关程序进行处置、尽最大努力降低事件影响,可视情免除或从轻追究运营者及有关责任人的责任。
行业一直呼吁企业遭到勒索软件攻击应主动报告相关事件,其中不容忽视的是如果不报告事件,更加容易引起因第三方供应链勒索攻击导致的连锁勒索事件,而主动报告,作为一种威胁情报则能够通过相互预警,学习来帮助更多的企业抵御攻击。
安全鸿沟在哪里?
敌暗我明,随着勒索软件攻击无休止地不断上演,如何避免成为勒索软件攻击受害者?有报告显示,勒索软件攻击正迫使90%的企业增加安全投入,但如何投入成为企业管理者必须重视的关键问题。
有安全企业指出,针对勒索软件防御,合规框架只是安全态势的起点。但如今,随着企业管理更多的数字化业务,企业的安全团队承受的压力也越来越大,其面临的压力包括来自人才方面的技能储备,安全工具的缺失等一系列问题。
所以安全的鸿沟问题可以被归纳于以下几大方面,如何阶段性地为企业数字化新业务场景添加创新的安全措施,如何保障企业在供应链方面的多因素安全挑战,如何解决因人才缺口带来的安全运营效率低下问题,如何争取到更多的预算以顺利实施安全实践等等方面。
有安全企业向安全419表示,鉴于勒索软件攻击的危害性,如何为企业抵御此类攻击,未来不排除其将向专项化道路上发展,即防勒索将会成为一条独立的细分能力赛道,其在重点产品和解决方案的能力上,主要以端点防御为主,同时融合更多的技术与服务加以应对。
从行业打造的各种安全方案上来看,我们认为“韧性”安全防护体系在对抗勒索软件攻击方面具有独特价值。正如有甲方CIO此前指出,企业提升抗风险能力,有时也需要另辟蹊径。网络韧性强调的是出了事也能够获得相对的安全,其中底线防御对于业务连续性上的保护而言,对应勒索软件攻击可起到关键作用。