近日,黑客組織LAPSUS$對芯片巨頭英偉達和科技巨頭三星接連成功實施勒索攻擊,涉及兩家公司產品、用戶的核心數據和敏感數據。

據悉,在這次網絡攻擊中,Lapsus$從英偉達獲取到的數據超過了1TB ,包括原理圖、驅動程序和固件細節,以及71355名員工的電子郵件地址和 NTLM 密碼等敏感工作數據和個人數據。

不久后,該組織又攻擊了三星,被竊取的數據包括了在三星 TrustZone 環境中安裝的受信任小程序的源代碼、生物特征解鎖操作的算法、最新三星設備的引導加載程序源代碼、高通的機密源代碼等,數據量超過了190G。最可怕的是Lapsus$團隊沒有要贖金、也沒有和三星進行溝通,就直接把三星的數據放到服務器上公開讓人下載。

“在數字化時代,數據驅動業務,越來越成為被攻擊對象,一旦數據遭到攻擊,很可能造成業務的停擺”,360集團創始人周鴻祎曾如此分析勒索攻擊,他認為小毛賊、小黑客已經成為歷史,高級別專業力量正在入場,大型企業成為網絡攻擊的首選目標。此次LAPSUS$針對英偉達、三星、沃達豐、南美電子公司等實施的一系列動作正是南美專業黑客組織對大型企業發起的、以數據為對象的網絡攻擊。

據報道,LAPSUS$針對英偉達的勒索最初源于該公司對其RTX 30系列產品施加的挖礦限制,隨后勒索團伙的要求不斷增加。有消息稱,LAPSUS$近期曾發布匿名投票,對接下來泄露數據的公司進行評選,公司涉及英國電信沃達豐、葡萄牙媒體集團、南美電子商務公司。

近年來,全球勒索攻擊正呈爆發式增長。有調查報告顯示,2021年每11秒將發生一次勒索攻擊,帶來的直接經濟損失超過300億美元,這個經濟損失是2015年的57倍。

針對此次事件,360天樞智庫資深專家姚領田有三點分析:

一是勒索攻擊已呈現向多元化訴求發展的趨勢。勒索訴求可能不再局限于贖金,如企業決策影響、政府政策影響,甚至政治訴求等。正如此次LAPSUS$針對英偉達的勒索攻擊,訴求在于解除對其產品施加的挖礦限制而并非贖金要求,此次的俄烏沖突也帶出來各種網絡攻擊。這些事例無不說明社會物理空間的勒索犯罪正在向網絡虛擬空間的勒索攻擊投射。

二是對知識產權、核心數據、機密數據等關鍵數據的保護與勒索攻擊頻發的矛盾愈加突出。有公開信息表明,在此次三星遭遇勒索攻擊事件中,三星和高通的核心數據受到威脅,而雙方曾簽署多項協議,內容涉及各種技術領域和一系列移動設備??梢?,數據安全關系組織運營乃至生存,合規解決不了安全問題,基于數字安全理念的綜合防御、體系防御、整體防御是應對安全問題的解決之道。

三是三重勒索攻擊將數據安全問題引入供應鏈安全。盡管LAPSUS$尚未表明對三星實施勒索攻擊的意圖,但針對三星的勒索事實上已經將高通卷入三重勒索范圍,有理由預計,未來高通也大概率將在此事件中被LAPSUS$呼叫,關鍵看三星下一步的應對之道。

此次三重勒索的出現,正是因為企業供應鏈環節復雜、暴露面多,任何一環節被攻擊者利用便會引發雪崩效應,造成不可估量的影響。近年來,網絡攻擊者通過入侵軟硬件產品的供應商,實現對政企應用場景的連鎖突破,已經成為常態化攻擊方式。因此,360高級威脅研究院也提示,未來的攻擊可能來自于任何“短板”。

針對當前的數據安全痛點,360安全專家提出了四點建議:

一是建立數據安全治理體系,委派高管牽頭負責數據安全治理工作,根據《數據安全法》等法規的監管要求開展自身數據分類分級工作,對企業數據實施分類分級管理,分類分級結果與數據存儲、權限、脫敏、開發等措施掛鉤,實現體系管理;

二是建立以數據為中心、覆蓋全生命周期的數據安全防護體系。在數據全生命周期的各個階段部署關鍵的安全保護措施,確保各個環節的數據可管可控;

三是定期開展風險評估和數據安全成熟度評估,并通過實網攻防以及安全應急響應演練,及時改進公司中存在的風險,一旦發生安全事件后能及時響應,并做出最合適的反應措施,從而把損失降低到最??;

四是建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,增強員工數據安全意識,提高企業自身數據安全能力。

同時,360作為全球最大的數字安全公司,已于2021年即推出了行業首個大數據安全能力框架,由基于數據安全大腦的數據安全治理、數據攻擊面防護、數據訪問控制、數據專家運營四部分組成,通過這套數據安全方案,企業可實現數據基礎設施安全防護、數據資產及數據活動的透明、可信、安全、可控。