调研 | 勒索软件增长进入新时代

去年，调研代勒索软件事件惊人增长，勒索25%的软件数据泄露都涉及勒索软件因素。

威瑞森新近发布的增长2022版《数据泄露调查报告》(DBIR)指出
，去年一年里，进入伴随数据泄露的调研代勒索软件事件大幅增长了13% ，而去年的勒索报告中仅有12%的事件是勒索软件相关的。换句话说，软件这一增长率超过了之前五年的增长增长总和。云计算

这第15版DBIR分析了23,进入896起安全事件，其中5,调研代212起是经证实的数据泄露
。威瑞森表示，勒索其中大约五分之四的软件事件是外部网络犯罪团伙和威胁组织的杰作。威瑞森安全研究团队经历Alex Pinto认为，增长这些恶意团伙越来越容易通过勒索软件谋取不义之财，进入使得其他类型的数据泄露方式逐渐式微。

“网络犯罪中的一切都变得如此商品化，真成一门生意了
，亿华云变现犯罪活动的方法超级高效。”他向信息安全媒体透露 ，”随着勒索软件即服务(RaaS ) 和初始访问经纪人的兴起，发起勒索软件攻击几乎不需要什么技术 ，也不费力。”

“曾经，你得先入侵 ，四处嗅探，然后找出有销路的那些值得偷的东西。”他解释道，“我们从2008年开始编撰DBIR ，当时基本上都是香港云服务器支付卡数据被盗
。而现在 ，这种情况大幅减少 ，因为只需要购买别人弄到的访问权 ，并安装租用的勒索软件，就可以更容易地实现同样的赚钱目标 。”

如此一来 ，任何组织都可能成为目标  ：就算没有高度敏感数据之类值得盗取的东西 ，公司也会落入网络罪犯的攻击范围。这意味着，中小市场企业和夫妻店都应该提高警惕 。高防服务器

“网络罪犯不用再去攻克大企业。”Pinto说道，“事实上，瞄准大企业可能适得其反，因为他们的防御通常固若金汤。而如果一家公司只有几台电脑，还很紧张自己的数据 ，那你倒是很有可能从中捞点油水。”

换言之，DBIR发现大约40%的数据泄露是由于安装了恶意软件(威瑞森称为系统入侵)，而RaaS的模板下载兴起导致了这些数据泄露事件中55%涉及勒索软件
。

Pinto称：“我们的担忧在于 ，这种情况毫无止境。我们不再相信这种情况会停歇——除非有人想出更有效率的方法 。我无法想象这会是种什么样子的方法，但或许，这就是我没参与有组织犯罪生意的原因了。”

SolarWinds效应

过去一年里，臭名昭著的SolarWinds供应链黑客事件余波震荡，免费模板“软件更新”途径将“合作伙伴数据泄露”推上系统入侵事件(包括勒索软件事件)的主因(62%)——这比2020年微不足道的1%高出许多。

Pinto指出，尽管SolarWinds等事件(以及Kaseya相关勒索软件攻击等其他事件)引发媒体报道和关注，但对于大多数企业来说，处理供应链数据泄露并不需要大肆整顿运营 。

“如果你是受影响的客户之一 ，那防止供应链数据泄露造成恶果，与防止其他几种恶意软件产生危害并没有太大区别，反正你的服务器都在向莫名其妙的地方发出信号。如果你是首席信息安全官(CISO)，那你要用的技术应该跟你已经在用的非常相似，因为坦率地说，试图跟上你必须努力确保安全的每个软件供应商是不现实的。差距太大了。”

如何着手勒索软件防御

数据泄露切入途径的调查中，我们可以将攻击归结为四种常见途径：利用被盗凭证;社会工程和网络钓鱼;漏洞利用;以及使用恶意软件。

Pinto称
：“看完这份报告，你需要查看自己的环境中有没有存在这四种途径
，而自己又为此部署了哪些控制措施。”

至于勒索软件相关的数据泄露，报告分析的事件中有40%涉及使用远程桌面协议(RDP)之类桌面共享软件 ，35%涉及使用电子邮件(大部分是网络钓鱼)。

“锁定面向外部的基础设施，尤其是RDP和电子邮件，大大有助于保护企业免遭勒索软件侵害。”

需要注意的是
，82%的数据泄露都依赖人为失误(例如，13%的数据泄露由错误配置引发)或交互(网络钓鱼、社会工程或被盗凭证)
。GoodAccess产品副总裁Artur Kane表示，这给我们指出了一些值得研究的最佳实践。

首先，技术解决方案 ，例如要求多因素身份验证(MFA)和按访问权限分隔网络，以及实现实时威胁检测功能、保留连续访问日志和执行定期备份。

“然而 ，安全管理员还需要针对这些事件制定可靠的响应和恢复计划，并且应该定期培训和演练 。”Kane表示，“用户培训可以极大改善公司的整体安全状况
。因为大部分勒索软件攻击依靠网络钓鱼诱饵打开局面 ，培训员工识别网络钓鱼诱饵 ，就可以省下发生数据泄露后的数百万美元恢复费用。”

威瑞森2022年《数据泄露调查报告》
：https://www.verizon.com/business/resources/reports/2022/dbir/2022-dbir-data-breach-investigations-report.pdf