2021数据泄露成本屡创新高 多数企业网络安全缺失

多数企业缺乏网络安全基本要求，近半数不要求复杂密码

近日，安全厂商SpyCloud针对IT安全领导人员就勒索软件威胁感知及自身网络安全防御成熟度做了一次调查分析，发现虽然81%的受访人员认为自身企业网络安全高于平均水平，但很多企业实际缺乏网络安全基本要求。41%的受访企业不要求进行复杂密码管理，仅55.6%的企业采取了多因素身份验证（MFA）。此外，在2020年8月至2021年8月期间，72%的受访企业遭受过勒索软件攻击，其中13%的企业被攻击达6-10次。

报告还显示了另一个重要问题，即企业虽然意识到包括勒索软件在内的安全威胁，把钓鱼邮件列为勒索软件攻击风险最高的载体，但在实际安全行动上比较滞后，密码管理及身份认证等最基本的防御措施都未实行，甚至存在只要进行防御就不会失败，遭到勒索支付赎金即有效的认知误区。所以，想要保护企业网络安全，确实有低成本可行的方式，关键是企业是否将这些应用到实际的安全运营当中。

暗网被盗数据关注度急剧增加，零售业及政府数据更受关注

据Bitglass最新的调查发现，围绕暗网上被盗数据的活动近年来发生巨大变化。根据调查，被盗数据在2021年被查看超过13200次，2015年为1100次，关注度增长1100%。在2015年，数据链接浏览量达到1100次需要12天，2021年达到同样的水平只需不到24小时。行业类型上，针对零售与政府泄露的数据，匿名访问更多，分别达到37%与32%。

鉴于执法部门在大力跟踪与追查网络犯罪分子，分析师认为恶意威胁人士在访问泄露数据时会继续使用匿名VPN及代理，从而逃避执法。另外，随着数据泄露情况不断增加，网络犯罪人员将被盗数据进行货币化的途径变多，也导致暗网上针对泄露数据的关注及活动增加。

很多网络犯罪分子之所以非常关注大型零售商，在于希望从大型盈利组织勒索获利，因此拿到该类企业的网络访问权是其首要任务。企业对此需要从多方面加强数据保护，建立完善的备份策略，定期进行数据备份，同时针对日常网络安全漏洞与攻击面进行及时检测与修复。

Gartner分析师：被勒索后别给钱，提前预防与全面防护是关键

企业是否被勒索软件攻击可能不受控制，但被勒索软件攻击后是否支付赎金却是一个企业需要考虑的问题。近日，据searchsecurity指出，Gartner相关分析师就该问题进行了讨论。分析师认为，遭到勒索攻击，虽然企业需考虑被攻击范围、勒索赎金数量、网络保险覆盖度以及备份情况，但不应该支付赎金。因为随着勒索软件即服务这种商业模式的进一步成熟，勒索软件团伙背后的操作更加专业化，除非企业没有任何备份，否则支付赎金基本上等于再次对攻击者发出邀请。另外，根据Gartner的数据显示，80%被攻击的组织再次遭受过勒索攻击。

事实上，勒索软件攻击其实可以预防，但很多企业缺少基本的安全防护。此类攻击的载体主要包括网络钓鱼、远程桌面协议（RDP）、凭证滥用及可利用的漏洞，企业可以通过多个层面防止勒索软件攻击，除日常加强员工钓鱼安全防范意识教育、针对关键数据经常备份外，还需定期打补丁、将零信任与终端检测与响应（EDR）等高级防护技术列入日常安全计划中，建立一个纵深防护安全体系。此外，云服务的不断创新与日益完善，也为企业应对勒索软件攻击提供了清晰实用的路径，基于云的文件存储不仅能够更加灵活进行信息共享，同时能够保证企业在遭受攻击后进行取证评估与恢复，避免企业面临生产受阻或者必须支付赎金的情况。

企业网络安全策略受关注，被动防御转为主动防御

据DarkReading发布的《2021年战略安全调查》报告显示，企业对待安全的态度更加认真。70%的受访者表示受到管道运输公司Colonial Pipeline及肉类加工厂商美国JBS勒索软件攻击事件影响，增加了对于勒索软件的担忧。也有70%的受访者表示自己企业的网络安全人员过于单薄，导致人员精力有限，增加了企业数据的安全风险。

大多数攻击者都是机会主义者，他们会选择有价值且更容易攻击的目标。所以，完善的网络安全策略，能够让企业躲开大多数潜在的攻击。具体而言，一个好的网络安全策略，应该至少包括云安全、VPN与防火墙、定期更新与升级机制、多重数据备份机制、网络资产发现与加固机制、数据与系统访问权限管理、员工安全培训及安全文化打造等不同维度的内容。通过对各个方面进行投资，让企业能够从一种被动防御状态，变为更加积极主动的安全战略，最大限度减少被攻击成功的可能。

数据泄露成本创最高值达424万美元，凭证泄露成最常见攻击初始手段

2021年企业数据泄露成本达到了新的高度。根据IBM与Ponemon Institute基于对全球17个国家500多家真实经历过数据泄露企业进行的分析调研报告指出，2021年遭受数据泄露的企业单次数据泄露事件平均耗费成本为424万美元，相比2020年增长10%，成为了该系列报告历史上数据泄露成本的最高值。由于疫情影响导致企业运营模式发生巨大改变，很多安全能力不足的企业无法应对信息技术的变化，不具备响应数据泄露的能力，导致安全事件更难控制，成本更高。

报告指出，凭证泄露是数据泄露最常见的原因，同时也是攻击者最常见的初始攻击手段，导致了20%的数据泄露。而在泄露的数据中，姓名、邮件、密码等个人数据是最常见的类型，达到44%。这些数据被攻击者利用后，从而进行其他额外的数据盗取活动。而由于凭证泄露引起的数据泄露，被企业检测到所需要的时间也是最长，达到了250天。对企业而言，数据加密、威胁情报共享、DevsecOps、有效的数据丢失防护策略以及日常人员安全的培训，都是企业应该考虑的有效措施。

网络犯罪团伙成立虚假公司，聘请安全专家协助勒索软件攻击

据 The Record 报道，一个名为 FIN7 的网络犯罪组织在今年早些时候创建了一家名Bastion Secure的虚假安全公司，并用它来聘请安全研究人员，诱骗其参与勒索软件攻击。该公司声称为世界各地政府和企业提供渗透测试服务，而根据调查发现这家公司其实是FIN7集团的前端幌子公司，并在俄罗斯门户网站发布广告，招聘逆向工程师、系统管理员、C++、Python 和 PHP 程序员等。想要加入该公司，应聘者需要经过三个阶段。首先是远程与HR代表进行基本面谈，面试成功后，需要签署一份保密协议，安装虚拟机及部分端口配置计算机；其次应聘者会收到公司的合法渗透测试工具，完成一系列测试任务，最后则是会被要求进行“实战”，对公司的“客户”进行渗透测试。

据了解，该公司在面试过程中使用的工具与 Carbanak 和 Lizar/Tirion 等恶意软件相关联，后者一直都在FIN7武器库中。同时，面试中分配给应聘者的任务和操作与 Ryuk 或 REvil 等勒索软件攻击采取的步骤一致。另外此前已有相关人士表示FIN7在攻击中部署了 Darkside 勒索软件，而且还管理着Darkside RaaS本身。此外，早在2010年左右，FIN7集团就经营过另一家名为 Combi Security 的虚假安全公司，主要部署销售点恶意软件，通过招聘渗透测试人员来破坏零售公司网络。而之所以通过安全公司形式招募安全人员，不在地下论坛招募黑客，主要是出于人员成本的考虑。