一起名不见经传的勒索事件的启示：“小心“第三方供应商

事情要从一场看似普普通通的勒索攻击说起。

Visser Precision，一家为汽车和航空业定制零件的制造商。遭受了勒索软件的BitPaymer的新变种DoppelPaymer的攻击 。

早在2020 年2 月 25 日，DoppelPaymer勒索软件运营商开发了一个网站，以此公布没有支付赎金的受害者所被盗的文件(勒索软件=数据泄露已经成为现实，此前我们也提到类似Maze、Sodinokibi、Nemty等也采取了这类做法)。而在3月的最后期限之前，因为Visser Precision一直拒绝支付赎金，黑客将窃取的文件选取了一部分上传到可在线公开访问的网站。

事情到此为止可能不会引起如此多的人关注，毕竟很多人对于Visser Precision并 不了解。但是，勒索引发的数据泄露却牵连到了其客户，这些巨头们。比如SpaceX、特斯拉、波音、Blue Origin、Sikorsky、Lockheed Martin等。

泄露的文件包含了Lockheed Martin公司设计的军事装备细节——如规格在反迫击炮防御系统的天线-根据注册谁提醒我们的蓝图源，SpaceX的制造合作伙伴计划，一些账单、付款表格、供应商信息、数据分析报告以及法律文书等。

这个过程中，有2个问题可以深入思考：

该不该交赎金

对于这一个问题，一直以来都有2种声音：

不能给。

给了一次就有无数次，而且资料已经泄露，就没有挽救的必要了，因为黑客完全可以在拿了赎金以后秘密出卖。 给钱是对勒索软件运营商的一种鼓励，让他们知道这种钱很好赚。

给。

为了挽回声誉、解密文件以正常开展业务和工作，一些企业选择交赎金。

这个问题，并没有确切的答案，解答的核心在于企业高层对勒索攻击影响的定义，涉及到勒索金额的多少、窃取文件的重要程度、公司对名誉的看重程度等多种因素。

提升企业自身安全的同时，如何防范供应链安全掉链子

供应链安全，不仅要防范来自供应链上下游企业带来的安全漏洞，同样要防范他们遭受网络攻击后对自身带来的影响。很多看似名不见经传的网络攻击，可能带来连锁效应，给很多看似防御体系良好的企业造成外部威胁。

• 梳理、了解企业供应商。事前的评估一定优于事后的救火。在供应商合作之前，安全性评估也应该纳入考虑范围。尽管我们知道评估供应链是一项很具挑战性的风险管理工作，但规模较大的企业应该去挑战，而且不是为了“方便”而偷懒。
• 在管理链中必须有人负责安全问题，涉及到供应链安全的决策一定是由高层做出的。以此次勒索为例，SpaceX等企业应该有专人负责协调供应链安全问题，在Visser Precision遭到勒索攻击后，企业应该迅速交换信息，判断窃取信息的重要程度，做出判断是交钱还是任其撕票。
• 供应链安全不仅仅是IT的责任。在供应链建立、合作、发展的过程中，企业的多个利益相关部门都会参与，因此，供应链安全的敏感和基本考虑应该通过内部标准传递给每个相关部门。