事情要从一场看似普通的勒索攻击说起。VisserPrecision,一家为汽车和航空航天行业定制零件的制造商。受到勒索软件BitPaymer的新变种DoppelPaymer的攻击。早在2020年2月25日,DoppelPaymer勒索软件运营商开发了一个网站,用于发布未支付赎金的受害者的被盗文件(勒索软件=数据泄露已成为现实,我们之前提到过类似的Maze、Sodinokibi、Nemty等。也采用了这种方法)。在3月截止日期之前,由于VisserPrecision拒绝支付赎金,黑客将部分被盗文件上传到一个可公开访问的在线网站。事到如今,事情可能还不会引起那么多人的注意,毕竟维瑟精密很多人都不知道。然而,勒索软件引发的数据泄露已经牵连到其客户,即这些巨头。如SpaceX、特斯拉、波音、蓝色起源、西科斯基、洛克希德马丁等。根据登记处,泄露的文件包括洛克希德马丁设计的军事设备的详细信息——例如反迫击炮防御系统天线的规格谁提醒我们蓝图的来源、SpaceX的制造合作伙伴计划、一些账单、付款表格、供应业务信息、数据分析报告和法律文件。在这个过程中,有两个问题可以深入考虑:是否支付赎金。对于这个问题,一直有两种声音:没有。给一次就给无数次,信息已经泄露了,没必要留着,因为黑客拿了赎金就可以偷偷卖了。给钱是勒索软件运营商的一种激励,让他们知道这种钱很容易赚到。给。为了恢复声誉和解密文件以正常开展业务和工作,一些公司选择支付赎金。这个问题没有确定的答案。答案的核心在于企业高管对勒索攻击影响的定义,这涉及勒索金额、被盗文件的重要性、公司对声誉的重视程度等多方面因素。在提升企业自身安全性的同时,如何防止供应链安全脱链供应链安全,不仅要防止供应链上下游企业带来的安全漏洞,还要防止遭受网络攻击后对自身的影响。许多看似不为人知的网络攻击可能会产生连锁效应,对许多看似防御系统良好的企业构成外部威胁。梳理了解企业供应商。事前评估一定要优于事后救火。在与供应商接洽之前,还应考虑安全评估。虽然我们知道评估供应链是一项具有挑战性的风险管理工作,但大型企业应该接受挑战,而不是为了“方便”而偷懒。管理链中必须有人负责安全问题,与供应链安全相关的决策必须由高层做出。以此次敲诈勒索为例,SpaceX等公司应该有专人负责协调供应链安全问题。VisserPrecision被勒索软件攻击后,企业应迅速交换信息,判断被盗信息的重要性,并做出是否支付或采取任何行动的判断。它的破票。供应链安全不仅仅是IT的责任。在供应链的建立、合作和发展过程中,企业的多个利益相关者都会参与其中。因此,供应链安全的敏感和基本考虑,应该通过内部标准传递给各个相关部门。
