应对勒索攻击应该怎么办,妥协是最优解,还是下下策?

自1989年首次出现以来,勒索软件经历了三十多年的发展,已经成为全球网络空间安全面临的重大威胁和挑战。在今年,其攻击声势和复杂程度都在进一步变严峻。

根据全球各机构发布的相关调研报告,VMware ESXi、GoAnywhere MFT、MOVEIT等漏洞的曝出导致了广泛的供应链威胁,全球的政府公共部门、教育医疗机构、金融机构、关基单位、商业组织等重点行业都惨遭勒索组织的毒手。除了重大软件漏洞的利用,勒索软件攻击过程正变得越来越复杂,比如结合了人工智能等数字化新技术不断增强了新的攻击面,比如采用新的编程语言逐渐具备了覆盖Linux、VMwareESXi、MacOS等跨平台攻击能力,比如多重勒索模式盛行让受害者陷入被勒索攻击、数据遭窃取、进而更易被攻击的恶性循环。

遗憾的是,虽然攻击愈加“高端”,但勒索软件即服务RaaS在暗网已成规模,被快速出售的工具和服务,甚至被公开流转的源码和构建器,吸纳衍生出更多的新型犯罪团伙,让勒索组织/家族的生态更加庞大、猖獗。从结果来看,便是勒索攻击事件爆发的数量和索要/支付的赎金都呈现明显上升趋势。仅2023年上半年,全球披露的勒索攻击事件达2000多次,同比去年有较大增长。有机构通过监测近150个网络犯罪集团发现,平均每天至少有10家企业遭受勒索软件攻击。

遭遇勒索攻击后,与绑匪硬刚到底同样需要花费巨大的精力和财力来恢复运营,选择支付赎金自然成为部分受害机构的“便利”选择。虽然监管机构和舆论环境一直不支持花钱消灾,但在实际实施中,选择支付赎金的机构仍不在少数,知名机构的妥协也容易让更多的潜在受害者效仿。

但是,一票的损失就可以换来确切的、长久的安稳了吗?

调查数据显示,首先,付费并不能保证运营会恢复正常,46% 的人在付款后重新访问了他们的数据,但部分或全部数据已损坏,25%的受访者表示,勒索软件攻击导致他们的组织关闭。更令人不安的是,大约80%选择支付赎金的组织会遭到第二次攻击,近一半的人表示他们认为是同一个团伙所为。

对于勒索组织来说,付费传递出商业模式的可行性,只会鼓励更多攻击从而加剧问题。而且盈利将帮助其提升技术和运营,后续的攻击不仅更多而且更难以抗衡,无疑是助长勒索市场的进一步扩大,而往往正是这些选择支付赎金的机构,以及同行业或同地区的机构,会成为首当其冲的受害者。

此外,赎金只是勒索攻击事件成本中最为直观外显的一部分而已,无论是否选择付款,更多的隐藏成本和影响都是巨大、持久、必然的。包括但不限于:

一、攻击期间和之后的停机成本

勒索软件攻击会直接影响业务的正常运营。而机构用于应对攻击所花费的时间和精力,比如查找问题来源、溯源攻击、应对监管等等,势必会耽误原本计划要完成的工作任务,造成其他业务和生产力的损失成本,同时极有可能导致失去商业机会。

二、响应、恢复和重新运营成本

很少有机构在日常配备足够庞大专业的安全运营团队,遭遇攻击后,往往需要聘请外部专家和顾问来帮助恢复生产。根据恶意软件类型的不同,可能还需要升级或更换技术,此举也将产生相应的成本。此外,数据备份的质量也是非常重要的因素,亦或者攻击者有能力删除或加密备份文件,那么成本将会更多。总的来说,系统瘫痪的时间越长,造成的损失就会越大。

三、数据泄露成本

双重及多重勒索的流行,让受害机构不仅面临系统被锁,还面临敏感数据被窃取外泄的风险。这就意味着,又将增添一项有关泄露通知、危机公关以及潜在监管或法律制裁的成本。此外,数据泄露还可能会引发与法律和诉讼相关的费用,以及接受监管审查和完成法律合规性要求相关的成本等。

四、供应链成本

最容易忽视的一项成本是勒索软件攻击可能会对供应商和其他第三方造成负面影响。在这些与直接受害机构存在合作和供应关系的企业中,有些遭受了生产力损失,而有些遭受了财务损失。

五、声誉成本

声誉损失是最难衡量和评估的,被勒索被曝光塑造的是该机构没有承担起安全保障义务的形象,无论是安全意愿不足或能力不足,都是非常负面的印象,客户可能会很难再次信任并选择该机构,对品牌和未来业务都将产生难以挽回的深远影响。

所以,最好的办法是建设安全,而不是牺牲安全,赎金本身是损失的同时,支付赎金并不意味着不会造成其他损失。防御勒索软件攻击,贯穿事前、事中、事后不同时间段,机构既需要能够自救和及时响应,也需要重视日常的安全建设和运营。以下几点实用建议可以参考下:

一、重视常态化安全运营

1)系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码;

2)定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;

渗透测试是模拟黑客攻击对业务系统进行安全性测试,比黑客更早发现可导致企业数据泄露、资产受损、数据被篡改等漏洞,并协助企业进行修复。主要的服务内容在于:

①安全性漏洞挖掘:找出应用中存在的安全漏洞。安全应用检测是对传统安全弱点的串联并形成路径,最终通过路径式的利用而达到模拟入侵的效果。发掘应用中影响业务正常运行、导致敏感信息泄露、造成现金和信誉损失的等的漏洞。

②漏洞修复方案:渗透测试目的是防御,故发现漏洞后,修复是关键。安全专家针对漏洞产生的原因进行分析,提出修复建议,以防御恶意攻击者的攻击。

③回归测试:漏洞修复后,对修复方案和结果进行有效性评估,分析修复方案的有损打击和误打击风险,验证漏洞修复结果。汇总漏洞修复方案评估结果,标注漏洞修复结果,更新并发送测试报告。

3)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。

二、打造体系化与细粒度的安全防护,加强溯源能力

1)部署全流量监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;

2)部署高级威胁监测设备;比如说使用德迅云图(威胁检测与分析)

依赖云端强大的基础数据收集系统 ,结合自主研发的多款、累计数十种提取方法的核心情报提取系统 ,快速且自动化的生产高覆盖度、高准确度、上下文丰富的情报数据。为各种不同类型的业务提供独特的价值。主要的业务价值在于:

①办公网终端/生产网及DMZ区服务器的威胁发现和失陷检测:精准发现内网的被控主机,包括挖矿、勒索、后门、APT等,并提供佐证失陷的样本取证信息、处置建议等,促进企业快速响应处置风险

②SOC/SIEM等系统威胁检测能力增强:将日志中的域名/IP提取出来通过分析,发现可疑时间,并结合人工分析通过内部工单系统进行日常运营,增强威胁发现和检测能力

③Web/邮件/SSH等公网开放的应用或者服务的外放访问IP的风险识别:精准发现相关IP是否属于扫描、撞库、漏洞利用、僵尸网络等风险,同时进一步提供该IP的基础信息,如代理、网关出口、CDN、移动基站等

④企业资产发现:通过高级查询,快速发现企业的域名、子域名、IP等资产的信息变动情况,管控资产暴露产生的数据泄露、服务暴露等相关风险

⑤内外部安全事件的关联拓线及溯源追踪:对内外部安全事件中的域名/IP/Hash进行关联分析,通过域名的PassiveDNS以及Whois等数据,发现背后攻击者的姓名、邮箱、手机号码等真实或者虚拟身份

3)禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;

4)有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口;

5)配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等;

6)重点建议在服务器上部署安全加固软件,并安装相应的防病毒软件或部署防病毒网关,及时对病毒库进行更新,并且定期进行全面扫描。

三、提升勒索攻击发生后的快速响应、处置能力

1)对于已中招的服务器应下线隔离,使用杀毒软件对中毒服务器进行全盘查杀,避免病毒的残留;

2)对于未中招的服务器,在网络边界防火墙上全局关闭端口只对特定IP开放,远程连接类访问只允许白名单内IP连接;

3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构。

在强实操性的安全运维工作之外,安全供应商也一直致力于构建更全面更智能的产品以应对勒索攻击。不同于传统的反病毒工具,基于如今勒索攻击起点及过程的百变花招,勒索家族衍生的复杂变种,以及与数据资产泄露危害的强绑定,反勒索攻击工具也在进化升级。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/282613.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

阿里云发布 AI 编程助手 “通义灵码”——VSCode更强了 !!

文章目录 什么是 通义灵码(TONGYI Lingma) 快速体验“通义灵码” 什么是“通义灵码”(TONGYI Lingma) 通义灵码(TONGYI Lingma),是阿里云出品的一款基于通义大模型的智能编码辅助工具&#xff…

【数据结构】链表力扣刷题详解

前言 题目链接 移除链表元素 链表的中间结点 反转链表 分割链表 环形链表的约瑟夫问题 ​ 欢迎关注个人主页:逸狼 创造不易,可以点点赞吗~ 如有错误,欢迎指出~ 移除链表元素 题述 给你一个链表的头节点 head 和一个整数 val ,请…

【漏洞复现】福建科立迅通信指挥调度平台down_file.php sql注入漏洞

漏洞描述 福建科立迅通信调度平台 20240318 以及之前版本存在一个严重漏洞,影响了文件 api/client/down_file.php 的一个未知功能。攻击者可以通过操纵参数 uuid 发起 SQL 注入攻击。攻击者可以远程发起攻击。 免责声明 技术文章仅供参考,任何个人和组织使用网络应当遵守…

Redisson分布式锁(WatchDog分析,浅浅看下源码)

带大家简单了解下Redisson的看门狗机制,这个面试中也比较常见。 目录 WatchDog(看门狗)机制开启WatchDog(看门狗)浅看下源码 WatchDog(看门狗)机制 Redisson看门狗机制是用于解决在业务运行时间…

关于Java对接网络验证+实践小例子,简单易懂

一个简单的网络验证小例子,各位大佬勿喷 突发奇想,如果一位A友找你拿一份 Working Fruits,但是你不想这位A友把你辛苦劳作、熬夜加点写出的代码分享他或她的另外一位朋友B友,也许并不是很有价值的一个小作业而已,但是就…

【微服务】Feign远程调用

📝个人主页:五敷有你 🔥系列专栏:微服务 ⛺️稳中求进,晒太阳 先来看我们以前利用RestTemplate发起远程调用的代码: 存在下面的问题:代码可读性差,编程体验不统一参数复杂URL…

2016年认证杯SPSSPRO杯数学建模A题(第二阶段)洗衣机全过程文档及程序

2016年认证杯SPSSPRO杯数学建模 A题 洗衣机 原题再现: 洗衣机是普及率极高的家用电器,它给人们的生活带来了很大的方便。家用洗衣机从工作方式来看,有波轮式、滚筒式、搅拌式等若干种类。在此基础上,各厂商也推出了多种具体方案…

详解如何使用Pytest进行自动化测试

为什么需要自动化测试 自动化测试有很多优点,但这里有3个主要的点 可重用性:不需要总是编写新的脚本,除非必要,即使是新的操作系统版本也不需要编写脚本。可靠性:人容易出错,机器不太可能。当运行不能跳过的重复步骤/测试时&…

【数据结构】——栈与队列(附加oj题详解)深度理解

栈 1.栈的定义 栈:栈是仅限与在表尾进行插入或者删除的线性表 我们把允许一端插入和删除的一端叫做栈顶,另一端叫栈底,不含任何元素的栈叫做空栈,栈又叫做后进先出的线性表,简称LIFO结构 2.栈的理解 对于定义里面…

【C++】狗屁不通文章生成器2.0

【C】狗屁不通文章生成器2.0 1 前言2 改进2.1 字词的前后关系2.2 文章生成系统 3 实现(部分)3.1 class wordpair3.1.1 转化为 json3.1.2 添加后缀词3.1.3 选择后缀词 3.2 class createArticle3.2.1文本分割3.2.2生成文章 4演示4.1 wordpair(3x2), 启动词(春天)4.2 wordpair(2x1…

C语言笔记:函数与程序结构

目录 ACM金牌带你零基础直达C语言精通-课程资料 一.作用域的基本概念 二.函数 1. 函数的定义和使用 2.为什么一定要有函数结构 3.形参与实参 4.函数的声明和定义 5.递归函数 此代码中递归函数执行流程: 练习:求斐波那契数列第n项的值: 欧几里…

CSDN个人简介优化 html font属性

CSDN个人简介优化 html font属性 个人简介个人简介优化字体21种样式选择字体大小设置4号字体 字体颜色设计渐变色&#xff08;可惜不能显示&#xff09; 字体加粗设置 <b>标签 个人简介 &#x1f308;你好呀&#xff01;我是 是Yu欸 &#x1f30c; 2024每日百字篆刻时光…

mysql查询条件包含IS NULL、IS NOT NULL、!=、like %* 、like %*%,不能使用索引查询,只能使用全表扫描,是真的吗???

不知道是啥原因也不知道啥时候, 江湖上流传着这么一个说法 mysql查询条件包含IS NULL、IS NOT NULL、!、like %* 、like %*%,不能使用索引查询&#xff0c;只能使用全表扫描。 刚入行时我也是这么认为的&#xff0c;还奉为真理&#xff01; 但是时间工作中你会发现还是走索引…

Games101Homework【0】Build an environment

Preface: I just want 放洋屁&#xff0c;and then learn graphics. So,This essay is born. I will show you the whole process of my study,Including the bugs I created. Cool lets begin! Download: BaiduNetworkDisk:from bilibili comment https://pan.baidu.com/…

Java后端八股-------并发编程

图中的 synchronized方法如果没有锁&#xff0c;那么可能会有超卖&#xff0c;数据错误等情况。 加锁之后会按顺序售卖。 synchronized的底层是monitor。 线程没有竞争关系的时候&#xff0c;引入了轻量级锁&#xff0c;当需要处理竞争关系的时候一定要用到重量级锁(线程的…

Java学习笔记(20)

可变参数 输入的参数数量不确定 底层就是把输入的参数放进一个数组里 只能写一个可变参数如果还有其他形参&#xff0c;可变参数要放在最后写 可变参数在底层就是一个数组 Collections Addall shuffle 练习 package exercise;import java.util.ArrayList; import java.util.C…

递增四元组

解法&#xff1a; 首先都可以想到dp[i]&#xff1a;第i个元素结尾的递增四元组有dp[i]个 然后发现有一组数据&#xff1a;2,3,6,1,5,8。会出现6结尾和5结尾的递增三元组&#xff0c;也就是未来的决策受过去影响&#xff0c;专业的说就是有后效性。需要强化约束条件&#xff0…

1.2 编译型语言和解释型语言的区别

编译型语言和解释型语言的区别 通过高级语言编写的源码&#xff0c;我们能够轻松理解&#xff0c;但对于计算机来说&#xff0c;它只认识二进制指令&#xff0c;源码就是天书&#xff0c;根本无法识别。源码要想执行&#xff0c;必须先转换成二进制指令。 所谓二进制指令&…

使用gimp制作头像

1.裁剪图像 &#xff08;1&#xff09;用GIMP打开图像。 &#xff08;2&#xff09;在工具箱中选中剪裁工具。 &#xff08;3&#xff09;在工具箱下边的工具选项中&#xff0c;勾选 固定→宽高比&#xff0c;并在下面的数值框中输入1:1。 &#xff08;4&#xff09;在图像中…

ginblog博客系统/golang+vue

ginblog博客系统 前台&#xff1a; 后台&#xff1a; Gitee的项目地址&#xff0c;点击进入下载 注意&#xff1a; 数据库文件导入在model里面&#xff0c;直接导入即可。 admin和front前后台系统记住修改https里的地址为自己的IP地址&#xff1a; front同上。