为公共部门防御勒索软件
通过人员、流程和技术加强安全防护
公共部门机构遭受的勒索软件攻击正在增加,扰乱了数百万人依赖的关键服务。而传统的网络安全策略不足以抵御最新的攻击手段。
根据2024 年的一份报告,美国公共部门勒索软件事件自 2021 年以来增长超过 94%。2024 年,仅政府机构就遭受了 117 次勒索软件攻击,较 2023 年的 95 次增加了 23%。2025 年的一份全球报告显示,2025 年上半年针对政府的勒索软件��攻击比 2024 年同期增加了 65%。
对州及地方政府发起的攻击会对民众产生直接且即时的影响,因为这会扰乱关键政府职能 —— 其中包括 911 调度中心、警长办公室、医疗诊所及公用事业机构。这些事件往往会暴露敏感信息,使个人在未来几年内容易受到欺诈。即使政府机构拒绝支付赎金,仍可能需要大规模的公共支出来恢复系统和数据。
近期两起事件凸显了勒索软件攻击的高昂代价:
2024 年,俄亥俄州哥伦布市拒绝支付 190 万美元的勒索软件要求,但花费了超过 400 万美元来保护和恢复该市的技术基础设施。
美国得克萨斯州达拉斯市在 2023 年因勒索软件相关事宜支付了 850 万美元费用。
勒索软件手段与技术的变化,凸显了加强勒索软件防御的必要性。随着网络犯罪分子利用新工具,他们的攻击将变得更有效,影响更大。例如,他们正在使用 AI 来创建更有说服力的网络钓鱼消息,开发能够绕过防御的恶意软件,识别有价值的数据并进行更大规模的攻击。与此同时,小型网络犯罪团伙正转向勒索软件即服务组织,以快速且低成本地发起攻击。
网络犯罪分子还在其勒索软件方案中增加了新的层级。直到最近,大多数攻击者会加密敏感数据,并要求支付赎金以换取解密密钥。如今,攻击者会窃取数据,并威胁称如不支付赎金就泄露这些数据。他们知道,如果赎金谈判失败,他们可以出售窃取的数据。
在 2024 年 7 月 RansomHub 对佛罗里达州卫生部门的攻击中就可以看到这种策略。该机构没有支付赎金,因此网络犯罪分子泄露了 100 GB 的数据,包括社会保险号码、信用卡信息、医疗数据等,涉及近 73 万人。
鉴于勒索软件攻击的演变及其可能造成的毁灭性后果,政府机构必须超越传统的安全策略。备份数据不再是防止信息被劫持的唯一手段。
为了帮助过渡到更强大的勒索软件保护,美国国家标准与技术研究院(NIST)制定了针对勒索软件的网络安全框架,美国国土安全部(DHS)发布了一份综合指南,帮助企业组织阻止勒索软件。这些建议强调,州和地方政府机构需要采取一种更全面、更主动的方法——这种方法将需要在人员、流程和技术三个方面进行变革。
人员:加强第一道防线
在增加先进技术之前,安全团队应该专注于网络安全状况,正如国土安全部所述,“精通基础操作”。具体而言,他们应实施三项最佳实践,以防止对网络的未经授权访问:
培训团队成员:网络钓鱼、短信和其他社会工程手段往往是勒索软件事件的开端。AI 工具使攻击者更容易创建令人信服的消息,诱骗员工点击伪造链接并输入登录凭据。攻击者一旦获得这些凭据,就可以将勒索软件注入网络。员工是第一道防线,机构必须培训他们如何识别欺诈性电子邮件和短信。他们必须随着手段的演变不断更新培训。
要求高强度密码和 MFA:同时,机构应要求员工使用高强度、独特的密码,此类密码难以通过暴力方法(即使使用 AI 工具)猜中,且无法在多个应用中重复使用。多因素身份验证(MFA)提供了额外的保护层。即使网络犯罪分子窃取了凭据,MFA 也能阻止他们访问关键应用。
防止恶意下载:即便是具备较高安全意识的员工,也可能误点某个链接 —— 该链接可能会将其导向已被攻陷的网站,或触发恶意文件下载。机构应通过检查和过滤互联网流量来保护 Web 浏览体验,防止用户访问恶意目的地。
流程:保持领先于不断演变的勒索软件攻击手段
许多机构需要仔细审查现有流程,或实施新的流程,以确保他们正在尽一切努力应对现有漏洞和不断变化的手机。
更新软件和固件:利用未打补丁、过时的软件和设备,成为网络犯罪分子的一个主要手段。事实上,软件漏洞——以及被泄露的凭据——是大约一半勒索软件事件的初始手段。通过针对脆弱的应用,攻击者能够绕过安全措施,未经授权地访问系统,然后用勒索软件感染这些系统。应对这种威胁需要保持警惕:一旦供应商发布新的更新和补丁,各机构就应立即更新软件和固件。
根据一份近期的报告,软件漏洞和凭据泄露是所有勒索软件事件中大约 55% 的初始手段。
将 IT 安全措施应用于运营:IT 系统与运营技术(OT) 系统的融合——例如通过使用 IoT 传感器——为网络犯罪分子提供了新的攻击途径。通过针对连接 IT 和 OT 的设备,网络犯罪分子可以造成严重的运营中断,并获得索要赎金的筹码。政府机构需要将 IT 安全功能应用于 OT,以确保防护不足的系统不会成为勒索软件事件的传播渠道。
制定并测试事件响应计划:中断每天都可能导致恢复数据方面的数千美元损失。制定事件响应计划,并定期进行测试,有助于确保在检测到攻击时能够迅速做出反应。
备份数据:尽管单独备份数据不足以挫败勒索软件事件,但仍应成为防御措施的一部分。在安全的离线或云位置对数据进行最新备份,可以显著减少支付赎金的压力。对备份数据进行加密是至关重要的,因为大多数攻击者也会尝试访问和窃取备份。
技术:改善网络安全态势
根据我与�州和地方政府打交道的经验,我发现许多政府根本没有实施保护自己免受勒索软件侵害所需的安全能力。他们不能仅仅依赖于备份数据,而是需要采用能够阻止初始攻击、遏制恶意软件横向移动并阻止数据泄露的解决方案。
阻止初始攻击:有几种解决方案可以帮助阻止勒索软件事件关键的第一阶段,从而阻止攻击者获得网络访问权限。
电子邮件安全:随着攻击者越来越多地制造令人信服的网络钓鱼邮件,各机构必须利用电子邮件安全功能来识别并阻止这些电子邮件,防止它们进入员工的收件箱。
DNS 过滤: DNS 过滤 是美国网络安全和基础设施安全局(CISA)的建议,可以防止访问任何已知的恶意站点,从而预防下载。
应用安全:执法机构应实施Web 应用防火墙 (WAF)以实时检测和阻止 Web 应用攻击,阻止获取应用控制权和部署勒索软件的企图。
DDoS 防护:虽然少见,但在分布式拒绝服务(DDoS)攻击中,有些网络犯罪分子会勒索赎金。机构需要能够自动检测、吸收和阻止这些攻击 DDoS 防护方案,从而无需支付赎金。
遏制横向移动:如果网络犯罪分子成功窃取用户凭据或破坏应用,其恶意软件可能会在网络中横向移动,最终发现敏感数据。实施zero trust 模型将防止这种横向移动。例如,通过部署微分段和使用 Zero Trust 网络访问服务,机构能够控制每个用户可以访问哪些资源。即使攻击者获得了对单个应用或环境的访问权限,他们也无法访问整个网络。
阻止数据外泄:安全 Web 网关扫描传输中的数据,识别敏感数据,并应用阻止移动数据的规则,从而在攻击者成��功接触到数据的情况下防止数据外泄。
如何在不增加复杂性的前提下预防勒索软件?
州和地方政府将继续成为勒索软件的主要目标。网络犯罪分子通常认为政府机构是脆弱的组织,愿意支付赎金以恢复基本服务。
Cloudflare 的全球连通云提供了一个具备云原生网络安全能力的统一平台,帮助机构实施全面的勒索软件防御措施。通过 Cloudflare 服务,您的组织可以在一个完全集成的平台上阻止初始攻击、恶意下载、横向移动和数据泄露。这些技术解决方案还帮助简化您在优化流程和加强“人员”防御方面的努力。由于 Cloudflare 通过单一界面提供服务,您的团队可以在控制成本和复杂性的同时应对勒索软件和其他威胁。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《实现高效 IT 的简单方法》电子书,进一步了解联邦机构如何实现 IT 现代化。
作者
Dan Kent - @danielkent1
Cloudflare 公共部门现场首席技术官
关键要点
阅读本文后,您将能够了解:
勒索软件攻击如何变化并变得更加有效
针对政府机构的勒索软件攻击有哪些主要手段
阻止勒索软件攻击的三个要点