近日，黑客组织LAPSUS$对芯片巨头英伟达和科技巨头三星接连成功实施勒索攻击，涉及两家公司产品、用户的核心数据和敏感数据。

据悉，在这次网络攻击中，Lapsus$从英伟达获取到的数据超过了1TB ，包括原理图、驱动程序和固件细节，以及71355名员工的电子邮件地址和 NTLM 密码等敏感工作数据和个人数据。

不久后，该组织又攻击了三星，被窃取的数据包括了在三星 TrustZone 环境中安装的受信任小程序的源代码、生物特征解锁操作的算法、最新三星设备的引导加载程序源代码、高通的机密源代码等，数据量超过了190G。最可怕的是Lapsus$团队没有要赎金、也没有和三星进行沟通，就直接把三星的数据放到服务器上公开让人下载。

“在数字化时代，数据驱动业务，越来越成为被攻击对象，一旦数据遭到攻击，很可能造成业务的停摆”，360集团创始人周鸿祎曾如此分析勒索攻击，他认为小毛贼、小黑客已经成为历史，高级别专业力量正在入场，大型企业成为网络攻击的首选目标。此次LAPSUS$针对英伟达、三星、沃达丰、南美电子公司等实施的一系列动作正是南美专业黑客组织对大型企业发起的、以数据为对象的网络攻击。

据报道，LAPSUS$针对英伟达的勒索最初源于该公司对其RTX 30系列产品施加的挖矿限制，随后勒索团伙的要求不断增加。有消息称，LAPSUS$近期曾发布匿名投票，对接下来泄露数据的公司进行评选，公司涉及英国电信沃达丰、葡萄牙媒体集团、南美电子商务公司。

近年来，全球勒索攻击正呈爆发式增长。有调查报告显示，2021年每11秒将发生一次勒索攻击，带来的直接经济损失超过300亿美元，这个经济损失是2015年的57倍。

针对此次事件，360天枢智库资深专家姚领田有三点分析：

一是勒索攻击已呈现向多元化诉求发展的趋势。勒索诉求可能不再局限于赎金，如企业决策影响、政府政策影响，甚至政治诉求等。正如此次LAPSUS$针对英伟达的勒索攻击，诉求在于解除对其产品施加的挖矿限制而并非赎金要求，此次的俄乌冲突也带出来各种网络攻击。这些事例无不说明社会物理空间的勒索犯罪正在向网络虚拟空间的勒索攻击投射。

二是对知识产权、核心数据、机密数据等关键数据的保护与勒索攻击频发的矛盾愈加突出。有公开信息表明，在此次三星遭遇勒索攻击事件中，三星和高通的核心数据受到威胁，而双方曾签署多项协议，内容涉及各种技术领域和一系列移动设备。可见，数据安全关系组织运营乃至生存，合规解决不了安全问题，基于数字安全理念的综合防御、体系防御、整体防御是应对安全问题的解决之道。

三是三重勒索攻击将数据安全问题引入供应链安全。尽管LAPSUS$尚未表明对三星实施勒索攻击的意图，但针对三星的勒索事实上已经将高通卷入三重勒索范围，有理由预计，未来高通也大概率将在此事件中被LAPSUS$呼叫，关键看三星下一步的应对之道。

此次三重勒索的出现，正是因为企业供应链环节复杂、暴露面多，任何一环节被攻击者利用便会引发雪崩效应，造成不可估量的影响。近年来，网络攻击者通过入侵软硬件产品的供应商，实现对政企应用场景的连锁突破，已经成为常态化攻击方式。因此，360高级威胁研究院也提示，未来的攻击可能来自于任何“短板”。

针对当前的数据安全痛点，360安全专家提出了四点建议：

一是建立数据安全治理体系，委派高管牵头负责数据安全治理工作，根据《数据安全法》等法规的监管要求开展自身数据分类分级工作，对企业数据实施分类分级管理，分类分级结果与数据存储、权限、脱敏、开发等措施挂钩，实现体系管理；

二是建立以数据为中心、覆盖全生命周期的数据安全防护体系。在数据全生命周期的各个阶段部署关键的安全保护措施，确保各个环节的数据可管可控；

三是定期开展风险评估和数据安全成熟度评估，并通过实网攻防以及安全应急响应演练，及时改进公司中存在的风险，一旦发生安全事件后能及时响应，并做出最合适的反应措施，从而把损失降低到最小；

四是建立健全全流程数据安全管理制度，组织开展数据安全教育培训，增强员工数据安全意识，提高企业自身数据安全能力。

同时，360作为全球最大的数字安全公司，已于2021年即推出了行业首个大数据安全能力框架，由基于数据安全大脑的数据安全治理、数据攻击面防护、数据访问控制、数据专家运营四部分组成，通过这套数据安全方案，企业可实现数据基础设施安全防护、数据资产及数据活动的透明、可信、安全、可控。