希望避開支付或不付勒索軟體贖金的困境,CISO 應關注三大重點:建立意外事件應變計畫、改善網路安全態勢與投資穩健備份。
文/Maria Korolov‧譯/Nica
過去十年,駭客提出的贖金要求平均金額從數百美元提升到數萬美元,有些案例甚至高達數百萬美元。隨著監管要求日益嚴格與 CISO 未報告外洩事件而遭起訴(Uber,2016),勒索軟體攻擊風險持續攀升。不過專家表示,企業可以先建立意外事件應變計畫、提升企業網路安全態勢,並對資料與基礎架構雙雙投資穩健備份,避免這類狀況。
2018 年,保險公司 Coalition 意外事件應變主管 Shelley Ma 與剛遭勒索軟體攻擊的高層與技術團隊進行一場對話,這個攻擊令該公司陷入停滯,贖金為 20 萬美元。Ma 回憶道,「這位 CEO 表示,『我一天搞不好都會損失 100 萬美元,20 萬美元對我來說微不足道,付吧,就直接付錢。』」
2015 年,她剛開始處理勒索軟體,多數企業會付款,而贖金通常僅幾百美元。隨時間推移,贖金越來越高,如今高到不合理的程度,她表示。「很少看到 30 萬美元以下,大部份是六位數,更多時候甚至七、八位數也有可能。」
據 Coverware 七月釋出的報告指出,勒索軟體支付平均額度已上升到超越 74 萬美元,與 2023 年第一季,駭客開始針對大型企業,試圖敲詐比以往更多的贖金相比,增加 126%。並且,據 NCC 最新資料指出,勒索軟體攻擊在 2023 年六月創下新記錄,超越往年同一時期增加 221%。
不過還是有好消息,據 Coverware 指出,勒索軟體攻擊,受害者支付贖金記錄下跌 34% 百分比,因為公司企業開始建立意外事件應變計劃、改善網路安全態勢,並對資料與基礎架構皆投資穩健備份。
公司企業為何支付贖金
企業付錢給網路犯罪的主要理由有二,第一是他們沒有任何方式自行從勒索軟體回復,或者回復要花太多時間。「我們參與的一個案例,是該醫療裝置製造商通知我們,若沒有太大變化,他們這幾天就要發出兩千份裁員通知。」網路災難復原公司 Fenix24 共同創辦人 Heath Renfrow 表示。
支付贖金後,就能回復足以讓 CEO 取消裁員的資料與系統,他接著表示,「我們處理的多數公司企業(近 15 個月超過 200 間),若不付贖金幾乎就得停業。雖然我們不一定鼓吹支付贖金,但我們瞭解這真的是商業決策,而且撇除支付贖金的道德面,這是個艱難處境,關係許多人的生計,有時生命與關鍵基礎建設都有可能處於危險之中。 」
公司企業付款的第二個主要原因是罪犯威脅發佈機敏資料。雲端資料管理和安全公司 Rubrik 的 Zero Labs 主管 Steve Stone 處理過許多遭勒索軟體攻擊的客戶,有時資料太敏感,為降低被釋出的風險,無論多少錢都值得。「許多企業支付被敲詐的贖金試圖保護資料,就算這代表仍有資料外洩的可能。」他表示。
當然,我們無法信任歹徒會信守承諾。資料沒被丟上暗網,還是有可能透過特殊途徑賣出。這仍被視為外洩,無論攻擊者是否發佈被竊資料,仍應通知受害者。若資料夠重要,公司企業可能覺得必須盡一切的努力防止資料流出。有些公司企業在考量所有回復成本後,也可能決定支付贖金或許比較省錢。
但實際狀況可能不是如此。據 IBM 於 2023 年七月底的一份報告指出,公司行號未支付贖金的勒索軟體攻擊全球平均成本,在 2023 年為 517 萬。支付贖金的公司行號降低其總成本為 506 萬,少到只省 11 萬,通常贖金本身成本就能抵銷。
以下三大策略有助於 CISO 緩解勒索軟體打擊的風險與影響:
策略一、建立意外事件應變教戰守則
避免勒索軟體攻擊的第一步,就是無論認為自己是否為潛在目標都建立規劃,假設問題在於「何時」會遭受勒索軟體攻擊,而不是「如果」。據市場研究機構 Vanson Bourne 替網路設備與雲端服務供應商 Barracuda 近期做的報告指出,有 73% 公司,在 2022 年至少成功遭受一次勒索軟體攻擊。
意外事件應變計劃沒有到位,企業常會驚慌,不知道該向誰求助,也不知道要做什麼,讓支付贖金看來是最簡單解決的方式。然而,如果有計畫,人們知道要做什麼,理想上會提前實施該計劃,確保災難回復措施一如預期運作。
意外事件應變計劃內容應含括清楚的角色與責任、溝通通訊協定與回復策略。據 Palo Alto 2023 年勒索軟體與勒索報告指出,勒索軟體受害者應預先針對三種攻擊作準備:資料與系統加密、資料竊取與(最常見的)騷擾脅迫。
勒索軟體攻擊比例,涉及資料竊取的部份從 2021 年的 40% 上升至 2022 的 70%,但騷擾脅迫的意外事件從低於 1% 上升至 20%。因此,意外事件應變計劃不僅應含括從勒索軟體加密回復的措施與處理已外洩資料的通訊協定,還應該包含員工或客戶遭騷擾脅迫時該做的事。
例如,攻擊者可能會打電話或留下語音訊息給公司高層或員工、傳送電子郵件,在外洩站台或社交媒體揭露受害者可識別資料。這些戰術都是為了增加決策者壓力。通常,可以從勒索軟體攻擊中最快回復的企業,都是那些已備有意外事件應變計劃,且提前實施的那些。Ma 認為,幸好業界整體在這方面已越來越進步。「整體來說,意外事件應變已有顯著成長。」
檢測計畫相當重要,因為在紙上可行的程序通常實作上行不通。例如,Ma 就曾陷入企業有備份,但已過期或無法存取或未建立公司企業為了快速災難復原可使用的方式。發現自己處於這種狀況的公司企業,可能驚慌之下就決定無論如何支付贖金。
不過要回復被勒索軟體擊垮的複雜系統,加密工具通常沒有用。「即便你能讓複雜的資料集解密,也很難讓複雜的設定回來,回到像在意外事件前那樣執行。」
策略二、實施多層網路安全
就大多數公司而言,著眼於基本資安衛教是降低勒索軟體風險最快方式。「『網路安全產業的』目標不是讓網路看不透。」IDC 的安全性與信任研究實務集團 VP Frank Dickson 如此表示。「將防禦提升到這樣的程度,是為了讓滲透不再有利可圖。」
據 IDC 在六月份所作的調查指出,未受勒索軟體資料外洩的公司行號,大多使用了五大關鍵資安技術的其中幾項或全部套用:端點偵測與回應(EDR)、雲端資安閘道或雲端存取資安代理(CASB)、安全資訊和事件管理(SIEM)系統、身份識別分析或使用者與實體設備行為分析(UEBA),以及網路偵測與回應(NDR)。
擁有多層防禦,並建立多因驗證與資料加密,是網路安全的基礎,但許多公司依然沒做對。Stone 近期處理在資安投入鉅資的教育組織。當它們遭受勒索軟體攻擊,可以將營運移至離線備份。接著攻擊者升級了要求:若企業不支付贖金,就線上洩露它們的資料。
「該企業為加密事件做好萬全準備,但沒有為第二筆贖金做準備。」Stone 表示。「這裡面確實存在機敏資料,會觸發一連串監管單位合規性動作。」
這間公司不想看到資料外洩,但也不信任攻擊者會信守承諾。「他們也不選擇支付第二筆贖金。」Stone 表示。他們做的是,當攻擊者等待回應時,該公司已通知受害者關於外洩的事。「當資料外洩到網路上時,已完成通知的動作。」
這次攻擊曝露該公司防禦策略上的兩個主要弱點。首先,他們的意外事件應變教戰守則末涵蓋第二次敲詐。再者,沒有加密機敏資料。之後,他們回頭校正策略,從應變教戰守則開始。「這方面要怎麼做得更好?下次怎麼做才會有不同結果?」Stone 表示,這次事件也讓他們開始加密機敏資料。
安全性控制發揮作用了,幾年過去,企業在自我保護上做得更好。Rubrik 對公司組織進行資安評估「去年分數上升了 16%,每單一區域、每單一產業皆有改善,」Stone 表示。套用適切措施,公司企業不但可以降低成功攻擊的數量與嚴重程度,也能在遭受攻擊後快速重新恢復營運。「一切都歸結為成本。」Omdia 分析師 Adam Strange 如此表示。「企業組織只是沒有讓自己處於安全位置的預算。」
長期以來,資料都被視為組織最重要資產之一。「但我們保護它的方式(或長期以來都沒有),其實一直非常糟糕。」他表示。「若企業組織因無法存取自身資料而面臨停業,那麼就必須花更多時間徹底考量如何保護資料。」直到 GDPR 與 CCPA 出現,資料安全才形成自有的獨立學科,他補充道。
策略三、投資穩健備份
當勒索軟體攻擊者取得進入企業的立足點,他們的主要目的有二:取得寶貴資料與讓備份失效。「最佳狀況是穩健備份,意即處於雲端且與主要網路完全切斷連結。」Ma 說道。「並使用磁帶備份,通常執行頻率不高,但可以完整隔離並且無法透過網際網路存取。」
就算攻擊者可以存取網域憑證,應該無法也存取備份。「若備份必須第二組驗證,就能得到更多保障。」Ma 表示。
另一種備份策略是無法覆寫或抹除的不可變備份。「部份大型企業是以這種方式實作。但對中小型企業而言,不可變備份這個主題根本進不了董事會。它們依然仰賴 2016 年以來的備份技術,對這個時代而言並不夠好。」她表示。
Rubrik 近期對數千間企業進行分析,內容來自客戶與非客戶環境,有 99% 企業在遭受勒索軟體攻擊時已有資料備份。但對 93% 的公司而言,使用這些備份回復遺失的資料仍深具挑戰。「情況不是資料儲存不足,就是經驗不夠,或者環境未充份覆蓋。」Stone 表示。甚至,有 73% 意外事件,攻擊者還是或多或少成功存取備份,他補充道。
若備份未適切保護,攻擊者可以刪除備份,或使用破解的憑證存取管理面板。若備份無效或遭攻擊者刪除,支付贖金似乎是唯一解決之道。不過,Rubrik 指出,僅 16% 企業組織在支付勒索軟體要求後回復了所有資料。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
原因在於,勒索軟體集團並不擅長使用自已的解密工具,也沒有特殊動機這麼做。只要他們的工具能做點什麼,任何事都好,受害者就有希望。
Stone 表示,時下勒索軟體攻擊很少單一集團執行。而是存在一個攻擊生態。一位行動者發現弱點,帶他們進入環境。另一位植入勒索軟體。第三位竊取資料轉售。某人使用竊得憑證啟動更多攻擊。其他行動者可能使用相同存取路徑植入加密貨幣挖礦,或更多勒索軟體。
「多名威脅行動者參與一場入侵行動並不罕見。」Stone 表示。
因此,據 Barracuda 指出,38% 企業組織回報在 2022 年遭受兩次或更多次成功勒索軟體攻擊,而這個數字在 2019 年還不到 20%。「你會成為罪犯的年金,因為他們可以一直要求更多金錢。」Reed Smith 科技與資料實務夥伴 Catherine Castaldo 表示。「我們發現有種狀況,在醫院與法律事務所這種敏感地帶尤甚。」
不想投資多層資安、強化加密、多因驗證與穩健備份的公司,認為自己不會遭受勒索軟體襲擊,或就算遇上了,只想便宜行事支付贖金就能回去工作,這是活在過去。這樣的策略在 2013 年或許行得通,那時勒索軟體攻擊不多、贖金也很少。但今非昔比。
(本文授權非營利轉載,請註明出處:CIO Taiwan)