《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 勒索软件已冲击国家安全?英国议会启动专项调查

勒索软件已冲击国家安全?英国议会启动专项调查

2022-11-30
来源:安全内参
关键词: 勒索软件 英国

  2022年英国国家网络战略将勒索软件描述为“面临的最重大网络威胁”,现在是否能有效应对该威胁呢?

  前情回顾·英国勒索软件威胁形势

  英国一水厂疑遭勒索软件攻击,IT系统中断服务 敏感数据或泄露

  英国工程巨头遭勒索攻击:运营临时中断 至少损失4亿元

  英国地方铁路遭勒索软件攻击,自助售票系统瘫痪

  安全内参11月30日消息,英国议会国家安全战略联合委员会(JCNSS)周一举行首次证据介绍会,调查其国家安全战略能否有效应对勒索软件威胁。

  联合委员会主席玛格丽特·贝克特(Margaret Beckett)议员表示,这次介绍会旨在确定“威胁的规模和性质”。

  在此之前,由英国上、下议院议员组成的联合委员会已开放证据提交通道。

  预计后续听证会将进一步引入应对勒索软件攻击的证人,包括受害者及执法机构。其中一部分由委员会传唤,另一些则根据书面证据进行选择。

  勒索软件威胁规模有多大?

  贝克特表示,“人们似乎普遍认为,近年来勒索软件威胁正持续恶化,但总体上仍缺少能够证明威胁规模的可靠数据。”

  网络安全公司NCC Group首席技术官Ollie Whitehouse、咨询公司Control Risks网络事件响应负责人Jayan Perera以及牛津大学网络安全教授Sadie Cresse三位证人,在本次介绍会上提出了以下几大要点:

  针对英国组织的勒索软件攻击在实际“规模”上缺乏可见性;

  尽管不清楚攻击事件的真实数量,但其他数据来源证实这确实是个普遍存在的威胁;

  所谓“泄露网站”所公布的信息,并不足以体现其他未公开被盗数据的网络勒索活动;

  勒索攻击事件上报的普及度不高,组织只在有明显好处时才会选择与政府和执法部门接触;

  应当以仍在持续发展的网络安全科学为基础,据此探索对勒索软件的抵御之道。

  会上公布了哪些证据?

  在本次调查之前,英国政府已经发布过两项国家安全战略审查:第一是2021年的安全、国防、发展与外交政策综合审查,其中将勒索软件确定为“最有害的网络犯罪形式之一”;第二是今年的英国国家网络战略,其中将勒索软件描述为“英国面临的最重大网络威胁”,且“可能与国家支持的间谍活动具备同等危害”。

  在听证会的开场,Ollie Whitehouse引用了美国财政部金融犯罪执法网络(FinCEN)本月早些时候发布的数据。数据显示,2021年全美勒索软件攻击和支付赎金数额均创下新纪录。

  他指出,上报的事件已经由2020年的487起跃升至1489起,同比增长约300%。但2022年期间,NCC Group对勒索软件泄露网站的分析显示,受害者数量减少了7%至10%。

  Jayan Perera观察到,俄乌战争似乎影响到了勒索软件即服务(RaaS)生态系统。知名勒索软件组织Conti内部的亲俄与亲乌派成员就曾发生过冲突,地缘政治争端后来导致其聊天记录泄露。

  Sadie Cresse多次强调犯罪团伙的经济学原理,例如确定供应链攻击如何通过一次投入拿下多位受害者,以此获取规模经济收益。

  她还指出,尽管Conti组织已经覆灭(该团伙此前曾攻击哥斯达黎加政府引发该国政治动荡),但其个人成员仍可能以新的身份继续活跃,这也体现出犯罪生态系统的内部流动性。

  “隧道尽头没有光明”

  英国上议院议员Baroness Crawley援引媒体报道,提到勒索软件攻击已经成为英国政府内阁办公室简报室(COBR)召开会议的主要原因。

  报道称,尽管经过几个月的工作,内政部领导的勒索软件“冲刺”已经在一年前结束,但政府方面仍未采取任何切实行动以应对这一威胁。

  直接负责勒索软件事务的官员表示,他们觉得隧道尽头没有光明,甚至完全感受不到有助于英国遏制这方面问题的任何希望。

  Perera和Whitehouse都对政府的迟缓行动做出辩护。Creese则表示,“其实勒索软件中还涉及其他多种网络威胁类型,所以我建议把对勒索软件的担忧转化为对网络弹性的整体推进。”



更多信息可以来这里获取==>>电子技术应用-AET<<

二维码.png


本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。