Weil Gotshal จ่ายค่าไถ่ 20 ล้านดอลลาร์: ความเสี่ยงที่สำนักงานกฎหมายต้องเผชิญ

Weil Gotshal จ่ายค่าไถ่ 20 ล้านดอลลาร์: ความเสี่ยงที่สำนักงานกฎหมายต้องเผชิญ

หนึ่งในสำนักงานกฎหมายที่มีชื่อเสียงที่สุดในโลกรายงานว่าได้จ่ายเงินระหว่าง 18 ถึง 20 ล้านดอลลาร์ให้กับกลุ่มขู่กรรโชกทางไซเบอร์ หลังจากแฮกเกอร์ขโมยเอกสารลับของลูกค้าไป Weil, Gotshal & Manges ยืนยันว่าได้ตอบสนองต่อเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับการเข้าถึงไฟล์จำนวนจำกัดโดยไม่ได้รับอนุญาต แต่ปฏิเสธที่จะให้รายละเอียดถึงขอบเขตความเสียหาย การจ่ายเงินที่รายงานนี้ทำให้เป็นหนึ่งในการยอมความด้วยค่าไถ่ที่ใหญ่ที่สุดเท่าที่รู้จักในภาคกฎหมาย และมันส่งสัญญาณที่ชัดเจนเกี่ยวกับการคุ้มครองข้อมูลจากแรนซัมแวร์ของสำนักงานกฎหมาย: ไม่มีองค์กรใดที่มีชื่อเสียงเกินไป หรือมีทรัพยากรมากเกินไป ที่จะไม่ตกเป็นเป้าหมาย

เกิดอะไรขึ้นในการรั่วไหลของข้อมูลของ Weil Gotshal

ตามรายงาน กลุ่มขู่กรรโชกทางไซเบอร์ได้เข้าถึงไฟล์ของลูกค้าที่ถือโดย Weil, Gotshal & Manges และขู่ว่าจะเผยแพร่เอกสารที่ถูกขโมยต่อสาธารณะหากไม่จ่ายค่าไถ่ สำนักงานรายงานว่าได้ปฏิบัติตาม โดยจ่ายไปในช่วงระหว่าง 18 ถึง 20 ล้านดอลลาร์เพื่อป้องกันการเปิดเผย Weil ยืนยันเหตุการณ์ดังกล่าวในแถลงการณ์สาธารณะที่จำกัด โดยยอมรับว่ามีการเข้าถึงไฟล์โดยไม่ได้รับอนุญาต แต่ไม่ได้ยืนยันตัวเลขค่าไถ่

สำนักงานจัดการงานให้กับบริษัทใหญ่ที่สุดบางแห่งของโลก บริษัทไพรเวทอิควิตี้ และสถาบันการเงิน เอกสารประเภทที่สำนักงานอย่าง Weil อาจเก็บไว้ รวมถึงข้อตกลงควบรวมกิจการ กลยุทธ์การดำเนินคดี การยื่นต่อหน่วยงานกำกับดูแล และการเปิดเผยข้อมูลทางการเงิน ล้วนเป็นตัวแทนของวัสดุประเภทที่สร้างราคาพรีเมียมในตลาดการขู่กรรโชก ผู้โจมตีน่าจะเข้าใจอำนาจต่อรองที่พวกเขาถืออยู่

เหตุใดสำนักงานกฎหมายจึงเป็นเป้าหมายหลักของแรนซัมแวร์

สำนักงานกฎหมายอยู่ในตำแหน่งที่เปราะบางเป็นพิเศษในเศรษฐกิจข้อมูล พวกเขารวบรวมข้อมูลที่ละเอียดอ่อนอย่างยิ่งในนามของลูกค้าที่มีทีมรักษาความปลอดภัยและโปรโตคอลของตนเอง แต่ข้อมูลนั้นอยู่ภายในโครงสร้างพื้นฐานของสำนักงานเอง ซึ่งอาจไม่ได้ถูกยึดถือตามมาตรฐานเดียวกัน การบุกรุกที่สำเร็จเพียงครั้งเดียวสามารถเปิดเผยลูกค้าหลายสิบรายพร้อมกัน

นอกเหนือจากปริมาณวัสดุที่ละเอียดอ่อนแล้ว สำนักงานกฎหมายยังเผชิญกับความท้าทายเชิงโครงสร้าง พวกเขามีพาร์ทเนอร์และทนายความจำนวนมากที่ทำงานผ่านอุปกรณ์หลายเครื่อง ซึ่งมักทำงานระยะไกล และแลกเปลี่ยนไฟล์กับบุคคลภายนอกบ่อยครั้ง รวมถึงศาล หน่วยงานกำกับดูแล ทนายความร่วม และลูกค้า แต่ละจุดสัมผัสเหล่านั้นคือเวกเตอร์เข้าที่เป็นไปได้สำหรับผู้โจมตี

ยังมีการคำนวณด้านชื่อเสียงที่ทำให้สำนักงานกฎหมายมีแนวโน้มที่จะจ่ายมากขึ้น ข้อเสนอคุณค่าทั้งหมดของสำนักงานตั้งอยู่บนความลับและความไว้วางใจของลูกค้า การคุกคามจากการที่มีการสื่อสารที่ได้รับการคุ้มครองถูกเผยแพร่ต่อสาธารณะไม่ใช่แค่การรั่วไหลของข้อมูล แต่มันคือความเสี่ยงทางธุรกิจที่เป็นอยู่ กลุ่มขู่กรรโชกเข้าใจสิ่งนี้และตั้งราคาความต้องการตามนั้น

จุดที่ความปลอดภัยพังทลาย: ความเสี่ยงของการเข้าถึงไฟล์ การถ่ายโอน และการทำงานระยะไกล

แม้ว่ารายละเอียดทางเทคนิคเฉพาะของการรั่วไหลของ Weil จะไม่ถูกเปิดเผยต่อสาธารณะ แต่พื้นผิวการโจมตีทั่วไปสำหรับสำนักงานกฎหมายนั้นเป็นที่เข้าใจกันดี การถ่ายโอนไฟล์ที่ไม่เข้ารหัส การควบคุมการเข้าถึงที่อ่อนแอในระบบจัดการเอกสาร และจุดเชื่อมต่อระยะไกลที่รักษาความปลอดภัยไม่เพียงพอ อยู่ท่ามกลางจุดอ่อนที่ถูกโจมตีบ่อยที่สุด

การทำงานระยะไกลได้ขยายความเสี่ยงเหล่านี้ขึ้นอย่างมาก เมื่อทนายความและพนักงานเข้าถึงระบบภายในจากเครือข่ายในบ้านหรือ Wi-Fi สาธารณะ โดยไม่มีการเชื่อมต่อที่มี VPN ป้องกันหรือการป้องกันปลายทาง พวกเขาสร้างเส้นทางที่ผู้โจมตีสามารถใช้ประโยชน์ได้ การขโมยข้อมูลรับรองผ่านฟิชชิ่งยังคงเป็นหนึ่งในจุดเข้าที่น่าเชื่อถือที่สุด โดยเฉพาะที่สำนักงานที่มีการฝึกอบรมการตระหนักรู้ด้านความปลอดภัยที่ไม่สม่ำเสมอ

การแชร์ไฟล์เป็นจุดอ่อนเรื้อรังอีกประการหนึ่ง หลายสำนักงานยังคงพึ่งพาไฟล์แนบในอีเมลหรือระบบถ่ายโอนไฟล์รุ่นเก่าที่ขาดการเข้ารหัสจากต้นทางถึงปลายทาง เมื่อการสื่อสารเหล่านั้นถูกดักฟัง ผู้โจมตีจะเข้าถึงไม่เพียงแค่ตัวไฟล์เอง แต่รวมถึงข้อมูลเมตาที่เผยให้เห็นความสัมพันธ์ของลูกค้า เส้นเวลาของข้อตกลง และลำดับความสำคัญเชิงกลยุทธ์

กรณีของ Weil ไม่ใช่เหตุการณ์ที่โดดเดี่ยว พลวัตที่คล้ายคลึงกันนี้เกิดขึ้นในการโจมตีด้วย แรนซัมแวร์ Play บน Ampex Data Systems ซึ่งบันทึกส่วนบุคคลที่ละเอียดอ่อนรวมถึงหมายเลขประกันสังคมและข้อมูลธนาคารถูกเปิดเผย แสดงให้เห็นว่าไฟล์ที่ถูกขโมยก่อให้เกิดความเสียหายที่ทวีคูณขึ้นเรื่อยๆ นอกเหนือไปจากเหตุการณ์รั่วไหลครั้งแรก

การป้องกันหลายชั้นที่สามารถป้องกันการจ่ายค่าไถ่มูลค่ามหาศาลได้

คำว่า "การป้องกันหลายชั้น" ถูกใช้บ่อยครั้ง แต่ในบริบทของการคุ้มครองข้อมูลจากแรนซัมแวร์ของสำนักงานกฎหมาย มันมีความหมายที่เป็นรูปธรรม ไม่มีการควบคุมใดๆ เพียงอย่างเดียวที่จะป้องกันการรั่วไหลได้ แต่มาตรการที่ทับซ้อนกันหลายอย่างลดทั้งความเป็นไปได้ของการบุกรุกและความรุนแรงของผลลัพธ์ลงอย่างมีนัยสำคัญ

การควบคุมการเข้าถึงเป็นพื้นฐาน การใช้โมเดลสิทธิ์ขั้นต่ำ ซึ่งผู้ใช้สามารถเข้าถึงได้เฉพาะไฟล์และระบบที่จำเป็นสำหรับบทบาทเฉพาะของพวกเขา จำกัดปริมาณข้อมูลที่ผู้โจมตีสามารถเข้าถึงได้แม้ว่าจะได้รับข้อมูลรับรองที่ถูกต้องแล้ว การยืนยันตัวตนหลายปัจจัยในทุกจุดเชื่อมต่อระยะไกลไม่ใช่ทางเลือกอีกต่อไป มันคือความคาดหวังพื้นฐาน

การถ่ายโอนไฟล์ที่เข้ารหัสควรเป็นแนวปฏิบัติมาตรฐานสำหรับเอกสารใดๆ ที่แลกเปลี่ยนกับบุคคลภายนอก สิ่งนี้ใช้กับการสื่อสารกับลูกค้า การส่งต่อศาล และการทำงานร่วมกับทนายความร่วม เช่นเดียวกัน เมื่อไฟล์ถูกเข้ารหัสระหว่างการส่งและในขณะเก็บรักษา ข้อมูลที่ถูกดักฟังจะมีประโยชน์น้อยลงมากสำหรับผู้โจมตี

การเข้าถึงระยะไกลที่มี VPN ป้องกันเพิ่มชั้นวิกฤตอีกชั้นหนึ่ง ทำให้มั่นใจว่าทนายความและพนักงานที่เชื่อมต่อจากภายนอกสำนักงานทำเช่นนั้นผ่านอุโมงค์ที่เข้ารหัส แทนที่จะเปิดเผยระบบของสำนักงานโดยตรงกับอินเทอร์เน็ตสาธารณะ เมื่อรวมกับเครื่องมือตรวจจับปลายทางที่สามารถระบุรูปแบบการเข้าถึงที่ผิดปกติ การควบคุมเหล่านี้สร้างแรงเสียดทานที่ขัดขวางและมักจะเอาชนะการโจมตีแบบฉวยโอกาส

การสำรองข้อมูลเป็นประจำที่ผ่านการทดสอบยังคงเป็นหนึ่งในมาตรการตอบโต้ที่มีประสิทธิภาพสูงสุดต่อแรนซัมแวร์โดยเฉพาะ เมื่อมีการสำรองข้อมูลที่สะอาดและล่าสุด อำนาจต่อรองที่ผู้โจมตีถืออยู่จะลดลงอย่างมาก อย่างไรก็ตาม การสำรองข้อมูลเพียงอย่างเดียวไม่ได้จัดการกับภัยคุกคามจากการเผยแพร่ข้อมูล ซึ่งเป็นเหตุผลว่าทำไมการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตตั้งแต่แรกยังคงเป็นลำดับความสำคัญ

สิ่งนี้หมายถึงอะไรสำหรับคุณ

หากคุณทำงานที่หรือร่วมกับสำนักงานกฎหมาย หรือองค์กรใดๆ ที่จัดการข้อมูลลูกค้าที่ละเอียดอ่อน การรั่วไหลของ Weil เป็นการกระตุ้นให้ตรวจสอบสถานะความปลอดภัยปัจจุบันของคุณ ถามว่าการเข้าถึงระบบเอกสารระยะไกลจำเป็นต้องมีการยืนยันตัวตนหลายปัจจัยหรือไม่ ยืนยันว่าการถ่ายโอนไฟล์ไปยังลูกค้าและบุคคลภายนอกใช้ช่องทางที่เข้ารหัส ตรวจสอบว่าใครสามารถเข้าถึงไฟล์เรื่องที่ละเอียดอ่อนได้ และการเข้าถึงนั้นถูกกำหนดขอบเขตอย่างเหมาะสมหรือไม่

ความเสียหายจากการรั่วไหลมักไม่หยุดที่เหตุการณ์เริ่มต้น ดังที่แสดงให้เห็นโดยกรณีเช่น การโจมตีด้วยแรนซัมแวร์ของ Ampex Data Systems บันทึกที่ถูกเปิดเผยสร้างความรับผิดปลายน้ำ การตรวจสอบจากหน่วยงานกำกับดูแล และอันตรายด้านชื่อเสียงที่ยั่งยืน ซึ่งอาจเกินกว่าค่าใช้จ่ายของการจ่ายครั้งแรกมาก

ค่าไถ่ที่มีรายงาน 20 ล้านดอลลาร์เป็นพาดหัวข่าวที่น่าทึ่ง แต่ตัวเลขที่สำคัญกว่าคือต้นทุนของการป้องกัน การควบคุมการเข้าถึงที่แข็งแกร่ง การถ่ายโอนที่เข้ารหัส และการเข้าถึงระยะไกลที่ปลอดภัยนั้นมีให้ใช้งานสำหรับองค์กรทุกขนาด การนำไปใช้ตอนนี้มีราคาถูกกว่าการเจรจากับกลุ่มขู่กรรโชกในภายหลังมาก