律師事務所勒索軟件攻擊：您需要知道什麼來保護您的業務

律師事務所是日益嚴重的勒索軟件攻擊的主要目標。 是時候更認真地對待威脅了。

注意：本文旨在讓我們的讀者了解美國的商業相關問題。 它絕不旨在提供法律建議或認可特定的行動方案。 有關您的具體情況的建議，請諮詢您的法律顧問。

您的律師事務所擁有大量高度敏感的信息，包括從客戶稅務文件到公司商業機密的所有信息。 這使您成為日益猖獗的勒索軟件攻擊者的主要目標——而且這種情況比您想像的更有可能。 我們最近的調查發現，去年整整三分之一的律師事務所都遭到了攻擊。

在本報告中，我們將揭示最近律師事務所安全調查的結果，幫助您了解勒索軟件威脅增長如此迅速的原因，並提供降低您執業風險的策略。

律師事務所勒索軟件是一種嚴重且不斷上升的威脅

6 月 4 日，拜登政府將現代勒索軟件的威脅與國際恐怖主義的威脅進行了比較，並鼓勵所有企業更加認真地對待這一威脅。 在此之前，5 月襲擊了殖民管道，導致東海岸的天然氣短缺，隨後又襲擊了世界上最大的肉類生產商 JBS。

勒索軟件自 1980 年代後期就已經存在，但您可能直到 2017 年的 WannaCry 攻擊將該計劃推向全球聚光燈時才聽說過它。 幾天之內，成千上萬的 WannaCry 攻擊在 150 多個國家展開，從英國國家衛生服務局到西班牙最大的電信公司 Telefonica，一切都被封鎖。

搜索詞勒索軟件的八年 Google 趨勢數據。 2017 年的高峰是 WannaCry——最近的高峰始於 May 的 Colonial Pipeline 攻擊。 （來源）

但 2017 年還有另一種嚴重但鮮為人知的勒索軟件，稱為 NotPetya，導致全球損失超過 12 億美元。 NotPetya 是一個比 WannaCry 更為複雜的威脅，它使無數大公司陷入癱瘓，其中包括世界三大律師事務所之一的 DLA Piper。

DLA Piper 的網絡受到影響超過一周，使律師無法訪問客戶數據、電子郵件甚至電話系統。 最終，這次攻擊使 DLA Piper 損失了大約 3 億美元，並且需要數月的修復才能使該公司再次全面運營。

如果 DLA Piper 無法阻止勒索軟件攻擊，那麼像您這樣的中小型公司的預期表現如何？

根據我們調查的律師事務所，情況不太好。

過去 12 個月內，三分之一的律師事務所遭到勒索軟件攻擊

我們的研究發現，58% 的中小型律師事務所都經歷過勒索軟件事件。 更令人吃驚的是，我們的研究發現，僅在過去 12 個月內就有三分之一 (33%) 的人遭到攻擊。

與 WannaCry 和 NotPetya 等自動傳播勒索軟件變種相比，Ryuk 和 REvil 等新型人工操作勒索軟件變種越來越多地針對特定組織。 他們運營勒索軟件即服務模式，允許附屬公司發起攻擊以換取利潤削減。

這就是為什麼我們看到針對已知擁有有價值和時間敏感數據的實體（包括醫院、市政當局和律師事務所）的高度針對性的勒索軟件攻擊急劇增加的原因。 勒索軟件團伙非常清楚，這些組織對停機時間的容忍度很低，並且非常有動力盡快恢復和運行操作。

但它變得更糟。 現在出現了兩管齊下的勒索軟件攻擊，它們不僅會鎖定您的數據，而且如果不支付贖金，還會威脅在互聯網上發布被盜文件的副本——利用潛在的數據洩露施加更大的壓力。

高度針對性的攻擊也導致了天文數字的贖金要求。 一個名為 DarkSide（REvil 附屬公司）的勒索軟件團伙從 Colonial Pipeline 攻擊中收集了近 500 萬美元，而 JBS 攻擊者則獲得了高達 1100 萬美元的收入。 但與保險業巨頭 CNA Financial 在長達數週的勒索軟件攻擊後於 3 月份支付的 4000 萬美元贖金相比，這些金額也相形見絀。

律師事務所如何應對勒索軟件攻擊？

根據我們的調查，足足有 69% 的律師事務所支付了贖金。 在支付贖金的公司中，大約三分之二（65%）能夠重新獲得對其數據的訪問權限。 但這也意味著 35% 的公司支付贖金卻一無所獲。

在拒絕支付贖金的律師事務所中，57% 能夠解密或以其他方式刪除惡意軟件。 另外 32% 未付費的公司能夠使用數據備份從攻擊中恢復，這是防止數據完全丟失的關鍵策略——勒索軟件攻擊的最壞情況。

保護您的律師事務所免受勒索軟件攻擊的 5 個技巧

一些勒索軟件變種獲取網絡憑據，而另一些則通過不安全的端口或遠程設備進入您的網絡。 但大多數勒索軟件感染源於網絡安全不足、網絡釣魚計劃和員工安全衛生差。 您可以採取以下幾個步驟來減輕勒索軟件攻擊對您公司的威脅。

提示 #1：改善您的安全狀況

進行網絡安全風險評估，以全面了解貴公司的信息資產，並識別使它們處於危險之中的安全漏洞。 一些公司選擇更進一步，採用滲透測試（即受控黑客攻擊）來識別和糾正網絡漏洞。

幸運的是，在我們的調查中，83% 的公司在過去某個時間對其數字系統進行了安全評估，但去年只有 39% 的公司這樣做了。 網絡威脅的動態特性要求每年進行安全評估。

如果您想提高安全性但不確定從哪裡開始，一種選擇是使用 ISO/IEC 270001 框架為您的公司設定基準，無論您是否選擇通過認證。 ISO/IEC 270001 提供的標準可以幫助您的公司識別安全弱點並製定保護其免受網絡安全威脅所需的政策和控制措施。

提示 #2：確保所有軟件都已更新

WannaCry 和 NotPetya 攻擊利用 EternalBlue 漏洞感染尚未修補的 Windows 設備。 令人沮喪的是，微軟在第一次 WannaCry 攻擊之前幾個月就提供了該補丁，任何已正確更新其係統的組織都可以輕鬆避免感染。

這裡的簡單教訓是確保您的所有軟件始終是最新的。 對提供它的軟件啟用自動更新，並定期檢查不提供它的軟件的更新。 請記住，您的軟件可能會達到生命週期結束狀態，之後不再支持更新。 在這些情況下，您必須升級到新軟件或更換不受支持的設備。

提示 #3：使用強密碼和身份驗證方法

使用由至少 12 個字符組成的複雜密碼或密碼短語（始終包括數字、大寫字母、小寫字母和特殊字符），並確保為每個帳戶使用唯一的密碼。 為了使這更容易，許多公司選擇自動創建強密碼並將其安全存儲的密碼管理軟件。

但僅靠密碼是不夠的。 確保為所有業務應用程序啟用雙因素身份驗證 (2FA)（即，需要二級安全措施，例如將代碼發送到您的手機）。 這是防止網絡犯罪分子用來破壞網絡、接管帳戶並最終安裝勒索軟件的大多數方法的最有效方法。

不幸的是，只有 54% 的受訪公司將 2FA 用於所有業務應用程序。 這個數字太低了，意味著近一半的律師事務所愚蠢地僅僅依靠密碼來保護他們的數據。 值得注意的是，Colonial Pipeline 攻擊是公司 VPN 登錄的單一密碼洩露的結果，該登錄沒有啟用雙因素身份驗證。

提示 #4：防範網絡釣魚計劃

網絡釣魚方案仍然是勒索軟件攻擊的主要攻擊媒介。 事實上，DLA Piper 勒索軟件攻擊可追溯到該公司的烏克蘭辦事處，一名管理員在該辦事處點擊了網絡釣魚電子郵件中的鏈接。

至關重要的是，所有律師事務所的員工都了解針對個別員工的複雜網絡釣魚計劃的最新情況，並誘使他們點擊惡意鏈接、下載載有惡意軟件的附件或將其憑據輸入虛假網站。 進行網絡釣魚測試以確定您的員工對社會工程策略和網絡釣魚計劃的脆弱性。

我們的研究發現，52% 的律師事務所將電子郵件作為主要的內部溝通方式。 這意味著防範電子郵件威脅必須是您的首要任務。 訪問我們的電子郵件安全目錄，為您的公司找到最佳工具。

提示#5：定期進行安全意識培訓

防範各類網絡安全威脅的關鍵是安全意識培訓。 我們的調查發現，75% 的中小型企業定期進行安全意識培訓。

雖然四分之三的公司還不錯，但仔細檢查發現，小公司遠遠落後於中型公司。 與 84% 的中型公司相比，只有 65% 的小公司定期進行安全意識培訓。 此外，令人震驚的十分之一的小公司表示他們從不提供安全意識培訓。

如果您在開始員工安全意識培訓計劃方面需要幫助，請查看我們根據一組無偏見的數據和用戶評論列出的最佳培訓軟件平台候選名單。 如果您只有少數員工，請查看我們的免費和開源學習管理系統 (LMS) 軟件列表，以找到低成本的培訓解決方案。

一盎司的預防勝過一磅的安全

2018 年，美國律師協會發布了 483 號正式意見，將律師的勝任職責擴大到安全使用技術，並確立了監控和有效應對數據洩露的義務。

這意味著採用基本的預防措施來保護您公司的數據不僅是最佳實踐，還是一項義務。

最後，支付或不支付贖金的決定取決於每家公司及其獨特的情況。 雖然我們的研究發現支付贖金比不支付贖金更有效，但支付贖金會激勵威脅參與者繼續他們的計劃，也可能會鼓勵對您公司的後續攻擊。

方法

Capterra 的 2021 年法律管理調查於 2021 年 5 月在 401 名法律專業人士（其中 240 名是律師）中進行，以了解有關律師事務所自動化、安全和其他實踐的更多信息。 受訪者在小型（1-14 名律師）和中型（15-49 名律師）律師事務所進行了全職工作篩選。 該調查排除了沒有員工的單獨從業者。