普京簽署總統令:成立IT安全部門|美國國土安全部系統發現了122個安全漏洞
普京簽署總統令:立即成立IT安全部門,禁用不友好國家信息安全設備
俄羅斯當地時間5月1日,現任俄羅斯總統普京正式簽署了一份確保俄羅斯信息安全額外措施的總統令,下令俄羅斯所有部門、機構和骨干組織都需要設立IT安全部門。
根據總統令的實際規定,自2025年1月1日起,俄羅斯國有企業和機構將禁止使用的不友好國家生產的信息和安全設備;
普京還簽署通過了一份法律,限制了俄羅斯信貸機構向外國機構提供信貸信息。新法律中明確規定,禁止俄羅斯銀行和信貸機構向外國機關(包括司法機關)提供其要求的關于銀行客戶及其交易,以及客戶代表、受益人和賬戶及資產持有者的信息。
該法律還規定,如果賬戶持有人受外國稅法對其持有國外賬戶的管轄,則俄羅斯銀行和信貸機構可以在國際稅務信息合作范圍內向外國機構提交有關信息。
同時,俄羅斯也取消了對歐盟等一些不友好國家官員的 簽證簡化制度 ,涉及俄羅斯與丹麥、挪威、列支敦士登、冰島以及瑞士之間簽證簡化協議。根據普京簽署的法律,相關國家官方代表團和記者將實行嚴格管控,此前的免費簽證和外交護照免簽入境政策不再生效。相關政府、議會及法院成員的五年多次入境簽證也同步取消。
借由Hack DHS計劃,美國國土安全部系統發現了122個安全漏洞
據美國國土安全部(DHS)近日透露,加入“Hack DHS”漏洞賞金項目(bug bounty program)的賞金獵人已經在國土安全部的外部系統中發現了122個安全漏洞,其中27個被評估為嚴重漏洞。
據悉,國土安全部已向450多名經審查的安全研究人員和道德黑客發放了總計125,600美元的獎金。個人獲得獎金的多少取決于他發現的漏洞的嚴重程度,每個漏洞最多可獲得5,000美元的獎勵。
“在‘Hack DHS’的第一階段,安全研究人員們的熱情參與使我們能夠在關鍵漏洞被利用之前找到并修復它們”,國土安全部首席信息官(CIO)Eric Hysen對媒體表示道,“隨著‘Hack DHS’項目的進展,我們期待進一步加強我們與研究人員群體的聯系與合作。”
“Hack DHS”項目的建立借鑒了美國聯邦政府和私營部門類似成果的經驗,比如“黑掉五角大樓”(Hack the Pentagon)項目。
事實上,國土安全部第一次推出漏洞賞金試點項目是在2019年,這比“Hack DHS”還要早兩年。當時,《安全技術法案》(SECURE Technology Act)正式簽署成為法律,要求政府組織建立安全漏洞披露政策和賞金項目。
研究發現,支付贖金只占勒索攻擊事件總損失的 15%
在勒索軟件攻擊事件中,贖金支出究竟占受害單位總體損失的多少比重?Check Point 的研究人員通過對數千次攻擊事件進行分析得出,這一比例僅占15%,受害者由勒索導致的事件響應工作、系統恢復、法律費用、監控成本以及業務中斷的整體影響所帶來的財務支出比例遠超贖金金額。
在進行勒索時,攻擊者會調查受害者的財政情況來確定贖金比例,根據Check Point 的分析,通常這一比例在目標年收入的 0.7% 到 5% 之間,平均為 2.82%。為了能夠讓受害者盡快付款,攻擊者還會推出折扣措施,比如若在頭幾天內支付贖金,可折扣 20% 到 25% 。
勒索軟件攻擊對受害者財務的總體影響與事件的持續時間直接相關。2021 年,由于不少企業組織表現出較好的處理雙重勒索策略的能力(雙重勒索指讓攻擊者加密目標系統數據之前先竊取數據,即便受害者有備份數據,仍然可以用泄露數據作威脅要求其支付贖金),從而顯著縮短了攻擊持續時間,但也由此帶來額外成本,如客戶信任的缺失以及聲譽的受損。
當受到勒索軟件攻擊時,受害者必須承擔因業務中斷、法律程序、事件響應和補救、惡意軟件發現和刪除、從備份恢復數據、與第三方專家簽約等造成的損失成本。即使組織支付了贖金,也無法避免進一步的經濟損失,而且使用攻擊者的解密密鑰恢復系統通常比使用備份要慢。
可以說,目前的勒索軟件組織已越發具有經濟頭腦,通過評估,讓支付贖金成為受害者的最佳選擇。他們所做的是在與受害者談判時將贖金支付與附帶損失成本聯系起來,將支付贖金呈現為更經濟實惠的選項。比如以泄露數據為威脅,讓受害者因違反 GDPR 而面臨巨額罰款來作為附帶損失成本。
盡管有關部門針對這些威脅組織采取了大量執法行動,但勒索軟件仍在繼續擴散并不斷推陳出新,看來,攻擊者和防御者都在適應不斷變化的環境,并且盡量保證在這場“競賽”中不落后。
參考來源:https://www.bleepingcomputer.com/news/security/ransom-payment-is-roughly-15-percent-of-the-total-cost-of-ransomware-attacks/
