對(duì)于英國(guó)金融服務(wù)行業(yè)領(lǐng)域的首席信息安全官來(lái)說(shuō)，2022年將是艱難的一年。新冠疫情導(dǎo)致工作模式的改變以及用戶(hù)和設(shè)備的蔓延，對(duì)于安全團(tuán)隊(duì)來(lái)說(shuō)仍然是一個(gè)非常大的問(wèn)題，而員工重返辦公室工作變得更具挑戰(zhàn)性。許多企業(yè)尚未確定其混合工作的文化在未來(lái)將是什么樣子，首席信息安全官正面臨著在日益復(fù)雜的IT環(huán)境中減輕網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的艱巨任務(wù)。同時(shí)，俄烏沖突的“網(wǎng)絡(luò)戰(zhàn)”也引起了企業(yè)對(duì)網(wǎng)絡(luò)安全的關(guān)注。

事實(shí)上，美國(guó)、英國(guó)和澳大利亞的網(wǎng)絡(luò)安全機(jī)構(gòu)最近聯(lián)合發(fā)布的一份公告警告說(shuō)，錯(cuò)綜復(fù)雜并且影響巨大的勒索軟件事件正在快速增加，企業(yè)領(lǐng)導(dǎo)團(tuán)隊(duì)需要采取措施提高對(duì)勒索軟件攻擊的抵御能力。這份公告指出，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心將勒索軟件攻擊視為英國(guó)面臨的最大網(wǎng)絡(luò)威脅。

英國(guó)金融監(jiān)管機(jī)構(gòu)還正式警告在英國(guó)開(kāi)展業(yè)務(wù)的大型銀行和其他金融服務(wù)機(jī)構(gòu)，俄羅斯支持的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)增加。英國(guó)金融行為監(jiān)管局警告說(shuō)，如果俄烏沖突導(dǎo)致俄羅斯組織和企業(yè)受到制裁，金融服務(wù)行業(yè)將成為報(bào)復(fù)性攻擊的潛在目標(biāo)。面對(duì)全球緊張局勢(shì)可能惡化的情況，歐洲央行也發(fā)出了類(lèi)似的警告。

評(píng)估勒索軟件對(duì)英國(guó)金融服務(wù)的威脅

美國(guó)、英國(guó)和澳大利亞在其聯(lián)合聲明中的“技術(shù)細(xì)節(jié)”部分中(“2021年趨勢(shì)顯示勒索軟件的全球化威脅增加”)，描述了這三個(gè)國(guó)家的網(wǎng)絡(luò)安全機(jī)構(gòu)于2021年在網(wǎng)絡(luò)犯罪活動(dòng)中觀察到的具體行為和趨勢(shì)。金融服務(wù)行業(yè)部門(mén)應(yīng)仔細(xì)考慮這些觀察結(jié)果，以確定其組織在減輕這些威脅方面的成熟程度，以及其安全態(tài)勢(shì)可能存在的差距。

最常見(jiàn)的勒索軟件事件攻擊媒介(對(duì)于首席信息安全官來(lái)說(shuō)可能都不足為奇)：網(wǎng)絡(luò)釣魚(yú)電子郵件、被盜遠(yuǎn)程桌面協(xié)議憑據(jù)、暴力攻擊和漏洞利用。該公告還指出，一直持續(xù)的混合工作和擴(kuò)大的網(wǎng)絡(luò)攻擊面，意味著這些攻擊媒介可能仍然受到威脅參與者的利用。由于遠(yuǎn)程工作在許多企業(yè)中仍然是一個(gè)不確定的概念，因此首席信息安全官應(yīng)專(zhuān)注于對(duì)其IT資產(chǎn)的深入和持續(xù)的看法。為了在企業(yè)中有效地應(yīng)用安全控制，必須首先識(shí)別和定位IT資產(chǎn)。與此同時(shí)，員工的意識(shí)和教育也很關(guān)鍵。網(wǎng)絡(luò)攻擊的威脅應(yīng)該是企業(yè)內(nèi)每位員工的首要考慮事項(xiàng)。

該聲明還強(qiáng)調(diào)了網(wǎng)絡(luò)犯罪已經(jīng)成熟的服務(wù)性質(zhì)。勒索軟件即服務(wù)是一種收入分成業(yè)務(wù)模式，它招募附屬公司來(lái)發(fā)布勒索軟件變體。隨著勒索軟件即服務(wù)提供商為其客戶(hù)提供端到端支持服務(wù)，網(wǎng)絡(luò)犯罪分子可以發(fā)起他們自己的復(fù)雜網(wǎng)絡(luò)攻擊。英國(guó)國(guó)家網(wǎng)絡(luò)安全中心指出，已經(jīng)觀察到一些勒索軟件威脅參與者提供“全天候幫助中心以加快贖金支付”。雖然勒索軟件即服務(wù)降低了希望進(jìn)行勒索軟件攻擊的網(wǎng)絡(luò)犯罪分子的準(zhǔn)入門(mén)檻，但威脅的復(fù)雜性和嚴(yán)重性保持不變。例如，當(dāng)外匯服務(wù)提供商Travelex公司在2019年底成為REvil的勒索軟件即服務(wù)組織的受害者時(shí)，該公司盡管支付了230萬(wàn)美元的贖金，但最終導(dǎo)致該公司業(yè)務(wù)經(jīng)營(yíng)陷入困境。該聲明將這次勒索軟件攻擊列為其中的一個(gè)關(guān)鍵因素。

“Big Game Hunting”的準(zhǔn)備工作

美國(guó)、英國(guó)和澳大利亞的網(wǎng)絡(luò)安全機(jī)構(gòu)都將“Big Game Hunting”勒索軟件攻擊列為勒索軟件威脅格局的一個(gè)關(guān)鍵因素。這是指勒索軟件攻擊者針對(duì)企業(yè)進(jìn)行復(fù)雜的定制攻擊，旨在實(shí)現(xiàn)最大影響。勒索軟件攻擊者謹(jǐn)慎選擇受害者，通常針對(duì)經(jīng)濟(jì)回報(bào)潛力更大的大型企業(yè)。勒索軟件攻擊者在進(jìn)行任何形式的攻擊之前，都會(huì)花時(shí)間選擇和研究他們的目標(biāo)。

雖然美國(guó)近年來(lái)經(jīng)歷了一些引人注目的嚴(yán)重的勒索軟件攻擊事件，例如對(duì)Colonial Pipeline公司的輸油基礎(chǔ)設(shè)施的攻擊，但數(shù)據(jù)表明威脅行為者越來(lái)越多地將努力轉(zhuǎn)向中小型公司。

金融服務(wù)領(lǐng)域的首席信息安全官需要讓他們的組織為這些復(fù)雜的網(wǎng)絡(luò)攻擊做好準(zhǔn)備，如果地緣政治緊張局勢(shì)升級(jí)，這些網(wǎng)絡(luò)攻擊事件可能會(huì)顯著增加。企業(yè)領(lǐng)導(dǎo)者必須審查其現(xiàn)有的工具和流程，確保他們從頭開(kāi)始制定全面的安全策略。企業(yè)的網(wǎng)絡(luò)防御戰(zhàn)略應(yīng)包括需要保護(hù)的資產(chǎn)和數(shù)據(jù)、對(duì)這些資產(chǎn)的具體威脅以及應(yīng)對(duì)這些威脅所需的安全工具和流程。

“Big Game Hunting”勒索軟件攻擊中采用的策略、技術(shù)和程序(TTP)通常與針對(duì)復(fù)雜環(huán)境的勒索軟件攻擊相關(guān)聯(lián)——從偵察和初始訪(fǎng)問(wèn)到特權(quán)升級(jí)和橫向移動(dòng)。在部署有效載荷之前，勒索軟件攻擊者可能會(huì)在企業(yè)的網(wǎng)絡(luò)中存在數(shù)月的時(shí)間。勒索軟件攻擊者可能會(huì)看到受害者的備份和災(zāi)難恢復(fù)能力，這使得這種形式的攻擊極難防御。

從基礎(chǔ)開(kāi)始

首先做好基礎(chǔ)工作似乎很明顯，但這通常是企業(yè)防御戰(zhàn)略中最有效和最容易被忽視的方面。在Colonial Pipeline勒索軟件攻擊事件之后的幾天里，該公司并沒(méi)有實(shí)施其組織范圍內(nèi)的多因素身份驗(yàn)證。一個(gè)泄露的密碼被用來(lái)訪(fǎng)問(wèn)該公司，其密碼出現(xiàn)在暗網(wǎng)上發(fā)布的泄露憑證列表中。如果該公司采取了確保多因素身份驗(yàn)證到位的基本步驟，那么勒索軟件攻擊者很可能不會(huì)成功。

盡管多因素身份驗(yàn)證提供了最后一道防線(xiàn)，但定期更新密碼仍然至關(guān)重要。最近的一項(xiàng)研究發(fā)現(xiàn)，只有不到一半的用戶(hù)在密碼泄露后更改了密碼，對(duì)于那些尚未發(fā)現(xiàn)自己成為網(wǎng)絡(luò)犯罪分子目標(biāo)的企業(yè)來(lái)說(shuō)，這些數(shù)字無(wú)疑會(huì)描繪出一幅更加令人擔(dān)憂(yōu)的畫(huà)面。

網(wǎng)絡(luò)犯罪分子將勒索軟件攻擊實(shí)現(xiàn)貨幣化的能力意味著，如果未來(lái)幾個(gè)月報(bào)復(fù)性網(wǎng)絡(luò)攻擊增加，那么勒索軟件攻擊將成為首選的方法。在過(guò)去兩年，全球各地的受害者向勒索軟件攻擊者支付了近13億美元的加密貨幣，其平均支付規(guī)模由于勒索軟件攻擊而顯著增加。然而，在成功的勒索軟件攻擊可能導(dǎo)致的更廣泛的財(cái)務(wù)、聲譽(yù)和技術(shù)損害，贖金支付只占一小部分。很多國(guó)家的網(wǎng)絡(luò)部門(mén)正在大聲疾呼，并希望更多的企業(yè)為此做好準(zhǔn)備并加以防護(hù)。