今日网络安全，截至 2024 年 4 月 19 日星期五的一周回顾

欢迎来到今天的网络安全。 这是截至 2024 年 4 月 19 日星期五的一周回顾。我是霍华德·所罗门。

几分钟后，勒索软件特别工作组成员 Jen Ellis 将在这里谈论该组织最近关于政府在禁止支付赎金之前需要做什么的报告。 首先看一下过去 7 天的一些头条新闻：

复杂的网络攻击 并不新鲜。 但威胁行为者仍在使用老式的暴力凭证攻击。 思科系统公司 Talos 威胁情报服务的研究人员表示，自 3 月份以来，暴力攻击有所增加。 目标很广泛，包括虚拟专用网络服务、Web 应用程序身份验证接口和 SSH 服务。 IT 领导者应让所有员工使用多因素身份验证和其他防御策略来阻止暴力登录，以确保此类攻击变得困难。

俄罗斯 Sandworm 网络组织已升级为高级持续威胁组织 由 Mandiant 的研究人员设计。 Sandworm 是俄罗斯军方的一个部门，它与针对乌克兰但逃逸到世界各地的 NotPetya 数据擦除器以及 2015 年和 2016 年针对乌克兰能源网的网络攻击有关。 但曼迪安特还警告说，该组织拥有在任何国家收集情报、传播虚假信息和破坏 IT 网络的工具，以支持俄罗斯的政治目标。

分别地， 微软 报告中警告 在今年美国大选前夕，俄罗斯增加了在网上向美国人发布反乌克兰虚假信息的信息。 这包括由俄罗斯秘密管理的网站传播的视频评论。 报告还称，中国也参与其中，利用人工智能应用程序来创建视频和操纵图像。

同时 美国国家情报总监 发布了一份八页的报告 俄罗斯、中国和伊朗通过社交媒体上的虚假网络人物破坏人们对即将举行的美国大选的信心的最新策略。

组织使用 SAP 的业务应用程序继续成为威胁行为者的目标。 那是 Onapsis 和 Flashpoint 的研究人员表示。 毫无疑问，这是因为世界上一些最大的公司都使用 SAP 软件。 它对于攻击者来说有多大价值？ 过去四年里，黑客购买 SAP 应用程序远程漏洞的价格上涨了 400%。 令人担忧的是，许多受害者安装的 SAP 没有最新补丁。 负责补丁管理的 IT 人员已收到警告。

联合健康, Change Heathcare 的美国母公司在一份监管​​文件中表示，第一季度处理 2 月份勒索软件攻击的成本达到 8.72 亿美元。 新闻服务 – 指出 除此之外，UnitedHealth 还必须向许多使用其服务的护理提供者提供高达 60 亿美元的预付款和无息贷款。

联合国的一个部门承认最近受到勒索软件的攻击。 联合国开发计划署 告诉网络安全新闻服务 The Record 当前和过去员工的数据从服务器被盗。 8Base 勒索软件团伙已将此次攻击归功。 同一个团伙是 因对大西洋国家海洋渔业委员会的勒索软件攻击而受到赞扬。

网络攻击 在纽约州 扰乱了工作 印刷立法和即将出台的预算。

密歇根州医疗保健 提供者是 通知超过 184,000 人 他们的数据去年 12 月被盗。 提供初级、牙科、视力和其他服务的 Cherry Street Services 表示，被盗的数据包括姓名、出生日期、社会安全号码、诊断和治疗信息、健康保险信息等。

亚利桑那州凤凰城罗马天主教教区通知超过 23,000 人，包括教区员工福利计划中的人员，他们的数据被盗。 在一月份发现的事件中，人们的姓名、地址、出生日期和社会安全号码被复制。

（此文字记录是对话的编辑版本。要收听完整的讨论，请播放播客）

霍华德： 现在从英国剑桥和我一起讨论打击勒索软件的问题是 珍·埃利斯， 勒索软件工作组联合主席和 提炼网络政策播客。

我之所以邀请您参加这个节目，是因为上周国际专家小组发布了自 2021 年以来的第三份报告。 潜在禁止勒索软件付款的路线图，概述了一个大约两年的计划，说明如果政府想要禁止勒索软件支付，应该采取哪些措施。 我们稍后将讨论该报告。 首先向我们介绍一下你自己。

珍·埃利斯： 正如你可能知道的那样 [from my accent] 我是英国人，但当我住在美国时，我就开始从事政策参与工作，而且我已经这样做了很多年。 我与安全研究人员密切合作了很长时间，并开始了解到美国的法律环境阻碍了研究，不仅损害了安全行业，而且更重要的是，通过隐瞒安全信息，损害了整个社会。社会。 于是我开始涉足政策领域。 它从那里很快扩展到关注与网络安全相关的政策的各种不同领域，并研究如何弥合政策界和技术界之间的差距，以便政策界正在研究围绕技术的政策主题，我们正在招募那些真正在第一线工作的人，他们拥有真正的技术知识，并且他们了解即将发生的事情。

我认为这座桥非常重要。 快进到 2020 年，我们开始在 RTF 中研究这个勒索软件问题 [Ransomware Task Force] 并将其整合在一起。 如今，我与非营利组织和政府合作，以弥合这一差距，并帮助制定有关网络的政策立场。

霍华德： 似乎由于报告的成功勒索软件攻击的数量持续增加，所以进展甚微。 该工作组最近的报告称，“全球大多数组织在防御勒索软件攻击或从勒索软件攻击中恢复方面仍准备不足。” 为什么？

珍： 我希望有一个非常简单的答案。 如果我想轻率地说，简单的答案就是生活：因为对资源、时间和注意力的竞争需求存在着如此多的复杂性，而且缺乏对正在发生的事情的真正理解，组织无法做出适当的反应。

外面有太多的噪音，但能帮助组织真正了解该做什么的却很少。 在许多情况下，激励措施的作用方向是错误的——例如，围绕那些使技术不断快速发展并继续进行下一件事的公司的激励措施。 这并不需要花时间把事情做好，确保你已经测试了所有内容，回过头来承认你的技术中的漏洞。 所有的激励措施都朝着错误的方向发展，无法保证安全性的发挥。 因此，我们拥有一个生态系统，其中绝大多数公司无力承担，没有投资，没有能力做好良好的准备或恢复力。 我们为攻击者提供了大量的机会，无论是技术本身的机会（漏洞）还是他们很容易操纵人类行为的事实。 所以有很多不同的因素在起作用。

就是这个意思 [cybersecurity] 真的很难，这就是为什么当 [first] 报告出来了，有 48 条建议。 如果我们都同意这一件事可以做到的话，我们很乐意想出一个。

但问题是，正如我们在安全领域常说的那样，没有灵丹妙药。 我们所关注的是你可以做的增量事情，如果你一起做这些事情，有望产生影响。 尽管在许多方面都取得了进展，但通常不仅仅是拉动杠杆那么简单。 这是关于随着时间的推移保持专注、保持投资和承诺，这实际上通常比迈出第一步要困难得多。 所以我们还没有足够长的时间来看到这些东西实现。

我不知道美国的比例是多少，但在英国，我们的经济 98% 是中小企业。 他们中的大多数人都远低于网络安全贫困线。 他们的投资还没有达到他们需要的程度。 与此同时，攻击者正在赚大钱。 如果他们愿意，他们每天都可以进行投资。 这些是目前面临的一些挑战。

霍华德： 如果您是一家公司、某个县或市的 IT 领导者，您是否确实应该做三、五件事才能产生真正的影响？

珍： 有大量文件可以提供指导。 RTF 与 CIS 合作创建了一个 [the Center for Internet Security] 专门针对中小型企业，称为 勒索软件防御蓝图 它试图使其更适合中小型企业。

我要告诉你五件事。 当我们将它们作为五件事的清单逐一列出时，听起来非常简单。 但现实是，每一项都是一件非常耗时的大事。 而且这还不像一件事就完成了。 你不做，然后你就完成了。 这是一项持续的承诺，所以你不会站起来说：“周一我将开始修补，周二我将开始身份和访问管理，周三我将确保我有离线备份，我将检查它们是否受到某种程度的中毒。” 它更像是，“我今年的主要目标是建立一个适当的、有效的漏洞管理计划。 这将是一项巨大的时间和精力投入，需要整个组织的理解、配置和支持，以及与 IT 团队的沟通。”

因此，当我们经历这些事情时，了解事情的本质非常重要 [to be done] 它们不是简单的轻松升降机。 但我会给你三个：

— 修补。 您需要有一个漏洞管理程序。 如果您正在听此内容并且想知道如何开始，那么 CISA 是一个非常好的资源 已知被利用的漏洞目录，其中特别强调了他们所知道的正在被利用的漏洞；

— 身份和访问管理程序。 你想确保人们 [employees] 只能访问他们需要访问的内容。 该计划还必须有一个次要因素 [login] 验证; 这样，如果有人被诱骗泄露凭据，攻击者就不容易使用这些凭据。

-弹力。 备份您最关心的所有内容，不仅是您的数据，还有您的系统。 您的备份必须处于离线状态，因此不容易访问 [by a hacker]。 您还需要定期检查备份数据，以确保没有任何狡猾行为的迹象……

霍华德： 您从业务和 IT 领导者那里听到的关于无法实施工作组建议以打击公司内勒索软件的最大障碍是什么？

珍： 你可以说得很简单，说是能力或者能力。 归根结底是缺乏理解或缺乏资源。 要么是组织没有真正理解威胁，要么是没有真正理解威胁与该组织的相关性。 或者说无法投资。 有时你的组织两者都是真实的，或者一个组织影响另一个……

你 [as management] 你不可能做你想做的一切，你对你的员工、你的客户和你的投资者有责任不做你想做的一切。 所以他们必须做出艰难的决定。 他们必须决定如何确定优先顺序。 因为他们不了解威胁，他们可能会在其他领域选择其他更紧急、紧迫的优先事项，他们会选择放弃网络安全支出……

霍华德： 为什么有些组织仍在支付赎金？

珍：因为这太难了。 假设您是一家地区性小型制造公司的首席执行官，并且您是第三代所有者，对吧？ 该公司已经在您的企业中传承了三代，而您也将一生奉献给了这个企业。 您在您所在的地区雇用了很多人。 你没有很多钱来投资网络安全。 这可能不是你真正考虑很多的事情。 而且您非常依赖与您签订合同的五个主要客户，为他们创建任何小部件。 您受到勒索软件攻击，导致您的业务离线，突然间您的业务陷入停顿。 您的客户有最后期限，并且这些最后期限不能仅仅因为您无法提供该服务而改变。 于是突然出现这样的情况 [attack] 对您的企业至关重要。 如果您无法提供服务，您将失去这些合同。 顾客会去其他地方。 你的名誉受到损害，你可能会被他们起诉……处于这种情况的人会说，“我怎样才能让这个问题尽快、尽可能无痛地消失？”

……没有人说，“我真正想用我辛苦赚来的钱做的，就是把它交给外国的一个罪犯，他不关心与我有任何关系，还拍自己开着兰博基尼到处乱拍的照片……他们这样做是出于绝望。”

霍华德： 勒索软件付款禁令有哪些优点和缺点？

Jen：第一个理论是勒索软件是一种犯罪行为，其存在的目的是为犯罪分子赚钱。 如果你拿走了钱，那么你就失去了做这件事的动力，它就会消失。 第二，因为给这些罪犯钱是令人厌恶的、不道德的。 许多有组织犯罪团伙还参与其他类型的有组织犯罪。 没有人愿意认为他们正在资助毒品贸易、武器贸易或人口贩运。

政策制定者希望颁布禁令的第三个原因是他们试图推动建设 [business] 准备工作，但进展并不快……所以他们认为，“我们已经尝试了胡萝卜，但胡萝卜没有任何效果。 也许现在我们会尝试用这样的方式对人们说：“你们将无法支付赎金。” 因此你 [governments] 必须先行一步。 你必须有准备 [for a payment ban] 因为没有降落伞..

我不认为帮派会突然放弃非法活动。 我认为，在他们这样做之前，他们更有可能会测试组织的勇气。 如果我是勒索软件攻击者，我会做的就是转向专门关注关键基础设施和小型企业，因为我知道他们最不可能承受我的赎金要求……所以我认为必须有一个计划来如何帮助他们为禁令做好准备。

霍华德： 您认为哪些建议 [for preparing businesses for a payments ban] 哪些是最容易实现的，哪些是最难实现的？

珍： 比较容易的事情是政府自己做的事情。 例如，与其他政府合作……政府可以实施制裁。 他们可以澄清 [incident] 报告 [to regulators]。 您可以与世界各地的执法部门开展执法工作。 取缔 LockBit 团伙是世界各地执法部门的共同努力。 困难得多、困难得多的是政府直接运作领域之外的事情。 像接触数以百万计的中小企业并推动他们采取行动这样的事情真的很难，因为你不想让它成为监管的事情

……另一件真正困难的事情是，网络犯罪团伙长期以来在我们所说的避风港或港口国家（保护他们的国家）中蓬勃发展。

霍华德： 其中一项建议是建立一个勒索软件响应基金来帮助受害者组织恢复。 另一个是终止勒索软件付款的税收减免。 你可以把钱给犯罪分子，然后你可以将其作为税收冲销，这对你来说不觉得有点疯狂吗？

珍： 我想不出还有什么地方可以做到同样的事情，对吗？ 就像当我做纳税申报表时，我会想，“这是我今年捐给慈善机构的所有钱。” 并且，“这是我今年给犯罪分子的所有钱。 我想要一个 [tax] 请对双方都有好处。” 这对我来说似乎有点疯狂……如果你必须为此纳税 [ransomware payment] 也许这笔钱可以用来帮助设立基金 [for victims]。

霍华德： 最后，我是一名 IT 或安全领导者。 我没有足够的资金或人员来对抗网络攻击，包括勒索软件。 如何说服老板给我更多？

珍： 我们在安全方面引用了一句话，那就是，决不让危机白白浪费。

通过搜索标题并突出显示相关内容，您可以做很多事情 [cybersecurity] 故事 [for management]。 必须有一点教育。 而且，如果你看起来与企业的现实脱节，你的企业领导永远不会认真对待你。 因此，如果你想告诉他们安全方面发生的所有事情，而你完全忽略了企业也担心经济、设施或投资者、员工福祉、不断变化的法律这一事实，那么你就会进行对话这与他们实际关注和思考的事情相去甚远，他们不会认真对待你。 教育是一条双向路。 您必须让自己了解业务关心的内容，了解组织中的业务领导者并与业务子领域的领导者交谈……

也许你可以与下级部门负责人共进午餐，了解他们关注的重点是什么以及他们的优先事项是什么。 然后您将了解业务如何整合以及竞争的优先事项是什么。 这让你能够更好地与你的领导层进行对话，因为你更了解他们正在权衡的事情。 这也是一个机会，帮助他们理解为什么你关心你所做的事情以及为什么他们应该关心它……

有用的事情之一就是找到故事 [in the media or from cybersecurity research] 关于人。 让领导者能够真实地说：“这就是网络犯罪团伙的样子。 这就是这个人，他已经这样做了这么久了。 这些都是他被指控的事情。 在这里，他开着他的兰博基尼。