美国CISA警报帮助Equifax阻止勒索软件攻击 - 彭博社

插图：Nadia Hafid for Bloomberg Businessweek

Jamil Farshchi在三月下旬的一个下午在曼哈顿中城等待Uber时收到了一连串的短信。其中一条来自FBI，要求他致电美国政府的网络安全和基础设施安全局。另一条来自一位名叫Klint Walker的CISA工作人员，说他需要与Farshchi交谈。

Farshchi明显意识到有紧急情况。这位亚特兰大Equifax Inc.的首席信息安全官立即给Walker打了电话。

Farshchi说他从覆盖佐治亚州的CISA地区顾问Walker那里得知，一家著名的勒索软件组织正计划对Equifax发动即将发生的攻击，可能会危及公司的运营和客户的财务状况。攻击者可能已经采取行动，Walker说。“显然是全员出动，一切都被激活了，”Farshchi描述了公司的应对措施。“勒索软件攻击会彻底瘫痪组织。”

这对Equifax来说可能是一场噩梦，该公司在2017年已经遭受了美国历史上最严重的黑客攻击之一，当时有1.43亿人的数据泄露，包括数十万信用卡号。将近三年后，美国指控了中国四名军方成员参与了这次黑客攻击。

Farshchi对于CISA这次能够提前通知公司感到感激。在谈话进行的10分钟内，Walker给Farshchi发送了详细信息，包括攻击者计划向组织中的关键人员发送多封钓鱼邮件。“这是一种独特的钓鱼形式，非常狡猾，因为它可以绕过组织为阻止这类行为而设立的初始控制措施，”Farshchi说。

大约五天后，Equifax收到了恶意邮件。“我们之前收到警告的完全相同的事情被送到了，”Farshchi说。“显然，我们已经有了巨大的先机，所以它实际上没有任何影响。恶意软件甚至从未被传送过。”

这一通知使公司能够仔细审视其控制措施，并确保尽一切可能防御攻击，Farshchi说。“我们能够加强自身防护，采取一切可能的措施来保护自己，”他说。

Equifax的警告是CISA自今年年初以来发布的大约225个有关计划中勒索软件攻击的通知之一，通过其预勒索软件通知倡议。通过这一新举措，它警告组织即将发生的可行阻挡系统并扣留客户数据的阴谋。到目前为止，受到警告的许多人是学校和医院。通过自1月30日开始的相关CISA计划，勒索软件漏洞警告试点，该机构还确定组织系统中的风险并通知他们有关这些漏洞。

为了挫败一场计划中的攻击，被瞄准的组织可以清除或断开被感染的计算机，阻止与勒索软件组织的通信，重置受损的凭据或采取其他行动。

“整个计划的前提是一个关键事实，即在入侵发生时——坏演员闯入网络时——和他们实际造成伤害之间存在一个机会窗口，” 美国国土安全部网络安全局执行助理局长 埃里克·戈德斯坦说。这个窗口可能持续几天或几小时，因此美国国土安全部使用多种方法通知潜在受害者，包括电子邮件、Slack消息和短信。

戈德斯坦表示，许多信息是由网络安全研究人员和跟踪勒索软件组织的公司自愿提供的，证明了美国国土安全部与这些组织之间更紧密关系的好处，这些组织在某些情况下曾对政府的外联努力持怀疑态度。当外部专家注意到勒索软件组织基础设施突然试图连接到美国IP地址时，他们会向美国国土安全部提供技术信息，被瞄准组织的名称以及网络的具体哪个方面已经受到损害，戈德斯坦说。

美国国土安全部的警告不仅限于美国。自该计划启动以来，该机构已向18个国家的组织发出了有关52起计划中的勒索软件攻击的警报。它还收到了来自10个合作伙伴国家的33份通知，称即将对美国组织发动攻击。今年5月，加拿大网络安全中心发现并向美国国土安全部转达了229个美国IP地址正处于攻击的早期阶段，同时还有55个加拿大IP地址，根据拉吉夫·古普塔，加拿大网络安全中心副主任。

英国自2021年5月起开展了自己的勒索软件预警服务，多亏了CISA提供的信息，英国已经成功阻止了国内的攻击，这是英国国家网络安全中心的事件管理副主任Eleanor Fairford说的。国家网络安全中心。

CISA现在希望扩大规模。“我们知道，从受影响的组织的角度来看，这是一个改变游戏规则的举措，”Goldstein说。