针对德克萨斯州23个美国城市的勒索软件活动引发了对地方政府和公共服务易受网络攻击影响的严重担忧。在对印第安纳州,佛罗里达州和其他地方的政府和商业组织进行类似的攻击之后不久,它们反映了勒索软件策略的一般转变,从对大量个人消费者的“喷雾和祈祷”攻击转变为“大型猎物”,其目标是组织,通常是通过权力位置的人。
网络安全公司Malwarebytes最近发布的一份报告显示,从2018年到2019年,针对企业和组织(而不是个人)的勒索软件检测率增加了363%。简而言之,网络犯罪分子认为有机会从组织中勒索更多的钱而不是个人。虽然大多数勒索软件攻击都发生在美国,但世界各地的地方政府同样容易受到攻击。
勒索软件通常通过网络钓鱼电子邮件或链接到受感染的网站,依靠人为错误来获取系统访问权限。顾名思义,勒索软件旨在阻止访问数据,系统或服务,直到支付赎金为止。在技术层面,城市往往是相当容易的目标,因为它们通常具有定制的操作系统,部分是陈旧的和过时的,以及无效的备份措施。
城市也往往缺乏全系统的安全政策,因此如果网络犯罪分子通过一个系统进入,他们就可以访问其他系统并通过冻结基本数据和阻止服务交付来造成严重破坏。但即使组织已经提高了他们的技术安全性,我与同事Lena Connolly的研究发现,很少有人同样重视培训员工识别和抵制攻击。
目标获得
许多中小型组织的员工,如地方政府,往往不承认其组织对犯罪分子的真正商业价值,并且通常认为他们不太可能成为攻击目标。结果,他们也可能养成不良习惯 - 例如出于个人原因使用工作系统 - 这会增加漏洞。
犯罪者会在发动攻击前做好功课,以便尽可能地造成最严重的干扰。毕竟,支付赎金的压力越大,他们就可以设定更高的关税。
攻击者识别目标关键人物,并寻找漏洞,例如在工作时间之外保持开启或尚未更新的计算机。一旦他们找到了目标对象,网络犯罪分子就会采用“社会工程”技术,例如网络钓鱼,这种技术会在心理上操纵受害者打开电子邮件附件或点击链接,从而允许勒索软件程序进入组织的操作系统。
支付还是不支付?
对于有重要公共服务的城市当局来说,是否支付赎金并不是一个直截了当的决定。大多数警务机构都指示受害者不要付钱,但正如佛罗里达州莱克城市市长斯蒂芬威特在他的病房成为目标后所说:“用你的心,你真的不想付钱给这些家伙。但是,美元和美分,代表公民,这是正确的事。“
另一个问题是勒索软件并不总是用来勒索金钱 - 所以支付赎金并不能保证数据能够恢复。攻击者可以有不同的动机,技能和资源 - 因此制定他们的动机(通常信息非常少)至关重要。
一些网络犯罪分子可能会试图禁用提供竞争产品或服务的市场竞争者,而不是简单地使用勒索软件赚钱。或者,他们可能会利用这些攻击来获取政治利益,以降低公众对当地政府提供基本服务能力的信心。在这种情况下,即使支付了赎金,也不太可能恢复数据。
寻求掩护
许多城市都受到攻击保险,保险公司经常支付赎金来检索被盗数据 - 有时雇用第三方谈判代表,反对国家建议。具有讽刺意味的是,网络犯罪分子可能获得报酬的知识证明了他们花费时间研究目标的弱点,并为重复攻击敞开大门。这就是为什么网络犯罪分子改变策略并首先开始瞄准组织的原因之一。
这使得市政当局在支付恢复基本数据和服务(以及鼓励网络犯罪分子)或承认他们的系统受到损害并面临社会和政治反弹之间做出了艰难的选择。即便如此,城市当局也可采取一些措施来保护自己及其公民免受勒索软件的侵害。
今天,当局需要假设这是一个问题,而不是 - 如果 - 攻击将会发生。他们应该为受保护的数据安装备份系统,以便在需要时能够替换受感染的操作系统和数据库。例如,在英国,研究发现,2017年有27%的地方政府组织成为勒索软件的目标。然而,他们的430名受访者中有70%拥有备用系统,为欧盟的通用数据保护条例(GDPR)做准备,因此,勒索软件攻击可以比美国同行更快地恢复。
地方当局需要尽可能分离其数据系统并安装适当级别的安全性。他们还需要在组织的系统内工作时培训员工,了解威胁的性质以及他们自己行为的影响。他们还应该了解防止和减少勒索软件的国际计划(例如nomoreransom.org),这些计划提供建议并在线发布一些勒索软件的密钥。
公共组织必须能够快速思考并适应这些新的安全威胁 - 特别是因为网络罪犯总是提出新技术。地方政府需要做好准备,同时防止网络攻击,在网络攻击发生时减轻其影响,并将网络犯罪分子绳之以法。