金融服务行业应该为勒索软件攻击事件的爆发做好准备
对于英国金融服务行业领域的首席信息安全官来说,2022年将是艰难的一年。新冠疫情导致工作模式的改变以及用户和设备的蔓延,对于安全团队来说仍然是一个非常大的问题,而员工重返办公室工作变得更具挑战性。许多企业尚未确定其混合工作的文化在未来将是什么样子,首席信息安全官正面临着在日益复杂的IT环境中减轻网络安全风险的艰巨任务。同时,俄乌冲突的“网络战”也引起了企业对网络安全的关注。
事实上,美国、英国和澳大利亚的网络安全机构最近联合发布的一份公告警告说,错综复杂并且影响巨大的勒索软件事件正在快速增加,企业领导团队需要采取措施提高对勒索软件攻击的抵御能力。这份公告指出,英国国家网络安全中心将勒索软件攻击视为英国面临的最大网络威胁。
英国金融监管机构还正式警告在英国开展业务的大型银行和其他金融服务机构,俄罗斯支持的网络攻击风险增加。英国金融行为监管局警告说,如果俄乌冲突导致俄罗斯组织和企业受到制裁,金融服务行业将成为报复性攻击的潜在目标。面对全球紧张局势可能恶化的情况,欧洲央行也发出了类似的警告。
评估勒索软件对英国金融服务的威胁
美国、英国和澳大利亚在其联合声明中的“技术细节”部分中(“2021年趋势显示勒索软件的全球化威胁增加”),描述了这三个国家的网络安全机构于2021年在网络犯罪活动中观察到的具体行为和趋势。金融服务行业部门应仔细考虑这些观察结果,以确定其组织在减轻这些威胁方面的成熟程度,以及其安全态势可能存在的差距。
最常见的勒索软件事件攻击媒介(对于首席信息安全官来说可能都不足为奇):网络钓鱼电子邮件、被盗远程桌面协议凭据、暴力攻击和漏洞利用。该公告还指出,一直持续的混合工作和扩大的网络攻击面,意味着这些攻击媒介可能仍然受到威胁参与者的利用。由于远程工作在许多企业中仍然是一个不确定的概念,因此首席信息安全官应专注于对其IT资产的深入和持续的看法。为了在企业中有效地应用安全控制,必须首先识别和定位IT资产。与此同时,员工的意识和教育也很关键。网络攻击的威胁应该是企业内每位员工的首要考虑事项。
该声明还强调了网络犯罪已经成熟的服务性质。勒索软件即服务是一种收入分成业务模式,它招募附属公司来发布勒索软件变体。随着勒索软件即服务提供商为其客户提供端到端支持服务,网络犯罪分子可以发起他们自己的复杂网络攻击。英国国家网络安全中心指出,已经观察到一些勒索软件威胁参与者提供“全天候帮助中心以加快赎金支付”。虽然勒索软件即服务降低了希望进行勒索软件攻击的网络犯罪分子的准入门槛,但威胁的复杂性和严重性保持不变。例如,当外汇服务提供商Travelex公司在2019年底成为REvil的勒索软件即服务组织的受害者时,该公司尽管支付了230万美元的赎金,但最终导致该公司业务经营陷入困境。该声明将这次勒索软件攻击列为其中的一个关键因素。
“Big Game Hunting”的准备工作
美国、英国和澳大利亚的网络安全机构都将“Big Game Hunting”勒索软件攻击列为勒索软件威胁格局的一个关键因素。这是指勒索软件攻击者针对企业进行复杂的定制攻击,旨在实现最大影响。勒索软件攻击者谨慎选择受害者,通常针对经济回报潜力更大的大型企业。勒索软件攻击者在进行任何形式的攻击之前,都会花时间选择和研究他们的目标。
虽然美国近年来经历了一些引人注目的严重的勒索软件攻击事件,例如对Colonial Pipeline公司的输油基础设施的攻击,但数据表明威胁行为者越来越多地将努力转向中小型公司。
金融服务领域的首席信息安全官需要让他们的组织为这些复杂的网络攻击做好准备,如果地缘政治紧张局势升级,这些网络攻击事件可能会显著增加。企业领导者必须审查其现有的工具和流程,确保他们从头开始制定全面的安全策略。企业的网络防御战略应包括需要保护的资产和数据、对这些资产的具体威胁以及应对这些威胁所需的安全工具和流程。
“Big Game Hunting”勒索软件攻击中采用的策略、技术和程序(TTP)通常与针对复杂环境的勒索软件攻击相关联——从侦察和初始访问到特权升级和横向移动。在部署有效载荷之前,勒索软件攻击者可能会在企业的网络中存在数月的时间。勒索软件攻击者可能会看到受害者的备份和灾难恢复能力,这使得这种形式的攻击极难防御。
从基础开始
首先做好基础工作似乎很明显,但这通常是企业防御战略中最有效和最容易被忽视的方面。在Colonial Pipeline勒索软件攻击事件之后的几天里,该公司并没有实施其组织范围内的多因素身份验证。一个泄露的密码被用来访问该公司,其密码出现在暗网上发布的泄露凭证列表中。如果该公司采取了确保多因素身份验证到位的基本步骤,那么勒索软件攻击者很可能不会成功。
尽管多因素身份验证提供了最后一道防线,但定期更新密码仍然至关重要。最近的一项研究发现,只有不到一半的用户在密码泄露后更改了密码,对于那些尚未发现自己成为网络犯罪分子目标的企业来说,这些数字无疑会描绘出一幅更加令人担忧的画面。
网络犯罪分子将勒索软件攻击实现货币化的能力意味着,如果未来几个月报复性网络攻击增加,那么勒索软件攻击将成为首选的方法。在过去两年,全球各地的受害者向勒索软件攻击者支付了近13亿美元的加密货币,其平均支付规模由于勒索软件攻击而显著增加。然而,在成功的勒索软件攻击可能导致的更广泛的财务、声誉和技术损害,赎金支付只占一小部分。很多国家的网络部门正在大声疾呼,并希望更多的企业为此做好准备并加以防护。