公司在越危急的時候,越容易招惹網路犯罪。FBI最近發起了「私人企業通知」(Private Industry Notification),警告一種新犯罪手法:公司如果不滿足贖金要求,就會被惡意降低公司股價,特別多發生在公司併購案,在有時間壓力下勒索贖金,是勒索軟體攻擊者最新的肥羊。

重大的財務事件成為勒索軟體最普遍的攻擊目標

勒索軟體集團會以公開內部消息對公司施壓,威脅降低公司股價讓股票交易者可以從中獲利。這是一項新型的網路犯罪技術,因為它代表著被要脅的組織在無法支付贖金要求的情況下,一個巨大的隱患。任何負面的輿論都會讓公司的股票交易受到影響,讓受害者不得不支付贖金。

時間就是金錢:為什麼NASDAQ的資安盡職調查(Due Diligence)在併購案中很重要?

今天,網絡安全在併購案中扮演著更重要的角色。有不少併購公司在最終交易活動完成後才發現目標公司之前的數據洩露,結果遭受了重大損失。買主面臨了嚴厲的經濟制裁,而目標公司的收購價值也有所下降。

因為技術網絡評級不一定反映目標公司的狀況,因此網絡安全盡職調查應始終是優先事項。調查的目的是幫助買主發現目標組織的網絡安全控制和潛在風險領域。

此處的目的是收集有關網絡和供應鏈中潛在安全漏洞的資訊,以便在被網絡犯罪分子利用之前進行糾正。網絡盡職調查還可以幫助企業更好地管理第三方合作夥伴關係,讓他們能夠評估供應商的網絡安全狀況,避免罰款,並製定更徹底的合規策略。

資安網路社群現在已經對勒索團伙的新威脅和模式習慣了。幸運的是,隨著有關這些犯罪集團的訊息出現,執法部門會分享這些訊息,並立即通過新聞渠道和社交媒體傳播。

憑藉所有這些信息和新情報,Black Kite 研究團隊特別敦促在NASDAQ交易的公司採取必要的行動,積極主動地從駭客的角度了解他們當前的網絡安全態勢。

現今NASDAQ100公司的網路安全態勢

Black Kite 研究團隊進行了全面的風險評估,以了解 NASDAQ 公司們的動態並發現關鍵的安全漏洞。 從表面上看,納斯達克前100家公司的技術等級是C+,即「平均」。

簡單說明,網絡安全態勢就像是公司對外展示的窗口,它的問題越多,對駭客的吸引力就越大。 儘管有表面上C+的評分,但在應用程序安全 (D+)、修補管理 (F) 和憑據管理(F) 等方面發現的嚴重弱點卻是更為重要,因為網絡釣魚電子郵件和洩露的憑證是勒索軟體首選的切入點。 在納斯達克公司中發現的其他關鍵勒索軟體指標還包括:

  • 92%的公司有至少一個因系統老舊而形成的非常嚴重的漏洞。

  • 只有15%的公司在Black Kite的RSI(Ransomware Susceptibility Index)指標中到達最低門檻。

  • 82%的公司有公開通訊埠的問題。

Black Kite Ransomware Susceptibility Index 從各種公開情報 (OSINT) 來源收集數據,包括網路掃描儀、駭客論壇、深網/暗網等,來分析公司及其第三方夥伴受勒索軟體攻擊的可能性。Black Kite是專注於無侵入式的外部資安評級服務,每天檢視數位足跡與情資來源,平均每兩週更新20個資安構面下的情資。

鼎峰亞太是Black Kite在亞太區的戰略夥伴,提供最具前瞻性的世界級資訊安全領導者解決方案,以專業技術服務、代理產品整合規劃運用及協同代理商夥伴行銷為企業經營的核心。


熱門新聞

Advertisement