律师事务所勒索软件攻击：您需要知道什么来保护您的业务

律师事务所是日益严重的勒索软件攻击的主要目标。 是时候更认真地对待威胁了。

注意：本文旨在让我们的读者了解美国的商业相关问题。 它绝不旨在提供法律建议或认可特定的行动方案。 有关您的具体情况的建议，请咨询您的法律顾问。

您的律师事务所拥有大量高度敏感的信息，包括从客户税务文件到公司商业机密的所有信息。 这使您成为日益猖獗的勒索软件攻击者的主要目标——而且这种情况比您想象的更有可能。 我们最近的调查发现，去年整整三分之一的律师事务所都遭到了攻击。

在本报告中，我们将揭示最近律师事务所安全调查的结果，帮助您了解勒索软件威胁增长如此迅速的原因，并提供降低您执业风险的策略。

律师事务所勒索软件是一种严重且不断上升的威胁

6 月 4 日，拜登政府将现代勒索软件的威胁与国际恐怖主义的威胁进行了比较，并鼓励所有企业更加认真地对待这一威胁。 在此之前，5 月袭击了殖民管道，导致东海岸的天然气短缺，随后又袭击了世界上最大的肉类生产商 JBS。

勒索软件自 1980 年代后期就已经存在，但您可能直到 2017 年的 WannaCry 攻击将该计划推向全球聚光灯时才听说过它。 几天之内，成千上万的 WannaCry 攻击在 150 多个国家展开，从英国国家卫生服务局到西班牙最大的电信公司 Telefonica，一切都被封锁。

搜索词勒索软件的八年 Google 趋势数据。 2017 年的高峰是 WannaCry——最近的高峰始于 May 的 Colonial Pipeline 攻击。 （来源）

但 2017 年还有另一种严重但鲜为人知的勒索软件，称为 NotPetya，导致全球损失超过 12 亿美元。 NotPetya 是一个比 WannaCry 更为复杂的威胁，它使无数大公司陷入瘫痪，其中包括世界三大律师事务所之一的 DLA Piper。

DLA Piper 的网络受到影响超过一周，使律师无法访问客户数据、电子邮件甚至电话系统。 最终，这次攻击使 DLA Piper 损失了大约 3 亿美元，并且需要数月的修复才能使该公司再次全面运营。

如果 DLA Piper 无法阻止勒索软件攻击，那么像您这样的中小型公司的预期表现如何？

根据我们调查的律师事务所，情况不太好。

过去 12 个月内，三分之一的律师事务所遭到勒索软件攻击

我们的研究发现，58% 的中小型律师事务所都经历过勒索软件事件。 更令人吃惊的是，我们的研究发现，仅在过去 12 个月内就有三分之一 (33%) 的人遭到攻击。

与 WannaCry 和 NotPetya 等自动传播勒索软件变种相比，Ryuk 和 REvil 等新型人工操作勒索软件变种越来越多地针对特定组织。 他们运营勒索软件即服务模式，允许附属公司发起攻击以换取利润削减。

这就是为什么我们看到针对已知拥有有价值和时间敏感数据的实体（包括医院、市政当局和律师事务所）的高度针对性的勒索软件攻击急剧增加的原因。 勒索软件团伙非常清楚，这些组织对停机时间的容忍度很低，并且非常有动力尽快恢复和运行操作。

但它变得更糟。 现在出现了两管齐下的勒索软件攻击，它们不仅会锁定您的数据，而且如果不支付赎金，还会威胁在互联网上发布被盗文件的副本——利用潜在的数据泄露施加更大的压力。

高度针对性的攻击也导致了天文数字的赎金要求。 一个名为 DarkSide（REvil 附属公司）的勒索软件团伙从 Colonial Pipeline 攻击中收集了近 500 万美元，而 JBS 攻击者则获得了高达 1100 万美元的收入。 但与保险业巨头 CNA Financial 在长达数周的勒索软件攻击后于 3 月份支付的 4000 万美元赎金相比，这些金额也相形见绌。

律师事务所如何应对勒索软件攻击？

根据我们的调查，足足有 69% 的律师事务所支付了赎金。 在支付赎金的公司中，大约三分之二（65%）能够重新获得对其数据的访问权限。 但这也意味着 35% 的公司支付赎金却一无所获。

在拒绝支付赎金的律师事务所中，57% 能够解密或以其他方式删除恶意软件。 另外 32% 未付费的公司能够使用数据备份从攻击中恢复，这是防止数据完全丢失的关键策略——勒索软件攻击的最坏情况。

保护您的律师事务所免受勒索软件攻击的 5 个技巧

一些勒索软件变种获取网络凭据，而另一些则通过不安全的端口或远程设备进入您的网络。 但大多数勒索软件感染源于网络安全不足、网络钓鱼计划和员工安全卫生差。 您可以采取以下几个步骤来减轻勒索软件攻击对您公司的威胁。

提示 #1：改善您的安全状况

进行网络安全风险评估，以全面了解贵公司的信息资产，并识别使它们处于危险之中的安全漏洞。 一些公司选择更进一步，采用渗透测试（即受控黑客攻击）来识别和纠正网络漏洞。

幸运的是，在我们的调查中，83% 的公司在过去某个时间对其数字系统进行了安全评估，但去年只有 39% 的公司这样做了。 网络威胁的动态特性要求每年进行安全评估。

如果您想提高安全性但不确定从哪里开始，一种选择是使用 ISO/IEC 270001 框架为您的公司设定基准，无论您是否选择通过认证。 ISO/IEC 270001 提供的标准可以帮助您的公司识别安全弱点并制定保护其免受网络安全威胁所需的政策和控制措施。

提示 #2：确保所有软件都已更新

WannaCry 和 NotPetya 攻击利用 EternalBlue 漏洞感染尚未修补的 Windows 设备。 令人沮丧的是，微软在第一次 WannaCry 攻击之前几个月就提供了该补丁，任何已正确更新其系统的组织都可以轻松避免感染。

这里的简单教训是确保您的所有软件始终是最新的。 对提供它的软件启用自动更新，并定期检查不提供它的软件的更新。 请记住，您的软件可能会达到生命周期结束状态，之后不再支持更新。 在这些情况下，您必须升级到新软件或更换不受支持的设备。

提示 #3：使用强密码和身份验证方法

使用由至少 12 个字符组成的复杂密码或密码短语（始终包括数字、大写字母、小写字母和特殊字符），并确保为每个帐户使用唯一的密码。 为了使这更容易，许多公司选择自动创建强密码并将其安全存储的密码管理软件。

但仅靠密码是不够的。 确保为所有业务应用程序启用双因素身份验证 (2FA)（即，需要二级安全措施，例如将代码发送到您的手机）。 这是防止网络犯罪分子用来破坏网络、接管帐户并最终安装勒索软件的大多数方法的最有效方法。

不幸的是，只有 54% 的受访公司将 2FA 用于所有业务应用程序。 这个数字太低了，意味着近一半的律师事务所愚蠢地仅仅依靠密码来保护他们的数据。 值得注意的是，Colonial Pipeline 攻击是公司 VPN 登录的单一密码泄露的结果，该登录没有启用双因素身份验证。

提示 #4：防范网络钓鱼计划

网络钓鱼方案仍然是勒索软件攻击的主要攻击媒介。 事实上，DLA Piper 勒索软件攻击可追溯到该公司的乌克兰办事处，一名管理员在该办事处点击了网络钓鱼电子邮件中的链接。

至关重要的是，所有律师事务所的员工都了解针对个别员工的复杂网络钓鱼计划的最新情况，并诱使他们点击恶意链接、下载载有恶意软件的附件或将其凭据输入虚假网站。 进行网络钓鱼测试以确定您的员工对社会工程策略和网络钓鱼计划的脆弱性。

我们的研究发现，52% 的律师事务所将电子邮件作为主要的内部沟通方式。 这意味着防范电子邮件威胁必须是您的首要任务。 访问我们的电子邮件安全目录，为您的公司找到最佳工具。

提示#5：定期进行安全意识培训

防范各类网络安全威胁的关键是安全意识培训。 我们的调查发现，75% 的中小型企业定期进行安全意识培训。

虽然四分之三的公司还不错，但仔细检查发现，小公司远远落后于中型公司。 与 84% 的中型公司相比，只有 65% 的小公司定期进行安全意识培训。 此外，令人震惊的十分之一的小公司表示他们从不提供安全意识培训。

如果您在开始员工安全意识培训计划方面需要帮助，请查看我们根据一组无偏见的数据和用户评论列出的最佳培训软件平台候选名单。 如果您只有少数员工，请查看我们的免费和开源学习管理系统 (LMS) 软件列表，以找到低成本的培训解决方案。

一盎司的预防胜过一磅的安全

2018 年，美国律师协会发布了 483 号正式意见，将律师的胜任职责扩大到安全使用技术，并确立了监控和有效应对数据泄露的义务。

这意味着采用基本的预防措施来保护您公司的数据不仅是最佳实践，还是一项义务。

最后，支付或不支付赎金的决定取决于每家公司及其独特的情况。 虽然我们的研究发现支付赎金比不支付赎金更有效，但支付赎金会激励威胁参与者继续他们的计划，也可能会鼓励对您公司的后续攻击。

方法

Capterra 的 2021 年法律管理调查于 2021 年 5 月在 401 名法律专业人士（其中 240 名是律师）中进行，以了解有关律师事务所自动化、安全和其他实践的更多信息。 受访者在小型（1-14 名律师）和中型（15-49 名律师）律师事务所进行了全职工作筛选。 该调查排除了没有员工的单独从业者。