查看原文
其他

专家视点 | 阻击勒索软件病毒,共建数字安全世界

C3安全峰会·2019 亚信安全 2022-08-17

作者:亚信安全COO 陆光明

2019年RSA的Slogan是Better,这也是自从1995年以来RSA大会每年一个的主题词中,最简洁、有力的一个。会前,关于“Better”含义的猜测见仁见智:更坚固的安全方案?更清晰的风险预测算法?更智能的安全运维?各路豪杰的观点都没错,但都只回答了一方面。RSA官方的解释是,让我们一起创造一个更安全的数字世界,从而让现实世界变得更加美好。


创造一个更安全的数字世界,需要我们创造更多的技术,联动更多的力量,抵御更多的风险,从而摆脱勒索软件、APT攻击、数据窃取等黑暗力量的笼罩。


勒索软件的30年发展,从理想主义到利益至上


近年来,以勒索软件为代表的“新威胁”不断出现,这让许多用户感到束手无策。但是,很多人也许并不了解,许多威胁的起源可以追溯到30年前或者更久。



1989年,2万张感染了“AIDS Trojan”病毒的软盘被分发给国际卫生组织国际艾滋病大会的与会者,造成了大量文件被加密,这也是历史上第一个勒索软件。


无论从哪个角度来看,第一个勒索软件的诞生都充满了一定的理想主义,它并没有被大规模分发,而是仅针对艾滋病大会进行定向传播,目的更像是宣传自己的政治与学术态度,或只是简单的恶作剧。而且,由于其只使用了简单的对称密码,因此很快就被解密工具轻松恢复。


技术是一把双刃剑,勒索软件用事实再次证明了这句名言。在此后的17年间,由于没有更好的加密方法,勒索软件基本上“销声匿迹”——直到2006年“Archievus”的出现。Archiveus是第一个使用非对称加密的勒索软件,它主要采用RSA加密方法,会对“我的文档”目录里面的所有内容进行加密。更值得关注的是,这个勒索软件开始把魔爪伸向受害者的钱包,黑客会要求用户从特定网站来购买以获取解密文件的密码。



勒索软件发展的另一个标志性事件是以数字货币为代表的匿名支付方式的出现。由于银行转账等传统的支付方式让网络勒索者很容易暴露在执法机关的打击力量之下,而通过区块链技术可以更好地隐藏自己、“安全”地获得高额收益。同时,随着数字货币价格飙升,勒索软件开始在地下网络市场中逐渐的流行起来。


2013年9月,网络不法分子找到了适用于勒索软件的新型加密方法,即采用AES-256lai加密特定扩展名的文件,并利用2,048位RSA密钥来加密AES-256位密钥,这让被加密文件的恢复变得极度困难,束手无策的受害者往往只能选择向不法分子支付赎金。大名鼎鼎的“WannaCry”勒索蠕虫采用的正是这种加密方式,并在2017年肆虐爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,影响极为深远。

如今,勒索软件已经成长为主流的安全威胁之一。亚信安全2018年的安全总结报告显示,勒索软件病毒已经在全球范围内呈现爆发态势,美国、日本、中国、欧洲都成为勒索软件肆虐的“重灾区”。并且,为了躲避网络安全防护系统的查杀,勒索软件新变种正在不断产生,并通过与鱼叉式钓鱼邮件、漏洞利用传播、软件捆绑安装和APT技能相组合,这使得传统基于特征码的防护方式效用大减。此外,网络不法分子还针对每个地区的语言及经济文化特点,对勒索软件进行了本地化,以提升索要赎金的成功率。


成功拦截“WannaCry”勒索蠕虫,“机器学习”只是功臣之一


把时间倒退到2017年5月14日零时,全球“WannaCry”勒索蠕虫席卷全球,整个攻击遍布全世界100多个国家。在这次大规模的威胁事件中,亚信安全服务的所有客户通过以机器学习技术为核心的桌面安全解决方案成功抵御这次疯狂的攻击,成为了国内首个在终端利用新兴技术成功抵御此次攻击的安全企业。和传统网络厂商定制的战略不同,亚信安全将重点聚焦在“事前缜密的准备工作”,并在这次事件中的表现很好地佐证了这一理念,在没有防毒码之前,就进行了有效防护。


【WannaCry的勒索信息提示】


不过,勒索软件也在攻防交替中迅速演化。目前,围绕着勒索软件新变种的开发、传播,以及感染渠道与工具的交易,已经形成了一个组织严密、规模庞大的勒索软件地下灰色交易市场。亚信安全的研究人员发现,地下黑市非常流行的一种勒索软件交易链条:黑客负责勒索软件最新变种的开发,并可以将其转让给任何用户,前提是他们必须支付一定比例的收益赎金(“分账”的方式)。除了核心的勒索软件产品外,地下黑色市场还提供与勒索行为相关的额外功能与服务,包括对于多平台的支持、针对特定产品的漏洞进行定制化等。


与此同时,机器学习所代表的人工智能在网络安全领域同样得到了迅速发展,其直接动因在于越来越复杂的网络安全形势,因为,不论威胁的数量、或是威胁的处理速度,都已经在很大程度上超过了人工的处理能力。就比如在2018年这一年,亚信安全共拦截了勒索软件 207,722 次,在这些勒索软件攻击事件中,犯罪分子为了追求更大的利益,重点将目标瞄准了制造业、保险、石油和天然气等网络安全相对薄弱的企事业单位,如果仍然坚持通过传统的特征码分析处理模式,根本无法处理,而且其对人力、网络、资金成本的损耗也是惊人的。


可以说,机器学习、虚拟补丁管理、异常行为检测、沙箱分析等技术手段在“WannaCry”及后续勒索软件、挖矿病毒的灾情中发挥了重要作用。但我们认为,在可预见的未来,网络攻防的对抗都不会到达终点,网络攻击者也会利用人工智能、机器学习等技术来进行自动化攻击,这让企业很难再竖起坚不可摧的防线。因此,在不断改进和融入新工具的同时,企业还应该将更多的资源投入到威胁发现之后的应急响应上,将损失降低到最小值。


未来安全防御是一场与时间赛跑的游戏


不论是勒索软件还是其他手段混合而成的APT攻击,网络攻击者无时无刻不在找寻渗透企业IT环境的途径,其中一个最容易的通道,就是利用终端上的各种漏洞。有的时候这些漏洞可能影响极小、或是没有被厂商公布,甚至人为的漏洞,就比如:只是操作人员用鼠标点击了一封冒名邮件,一场蓄谋已久的APT攻击就此发作……


此时,虽然企业在正面已经构建起坚固的安全防线,但是网络攻击者采用了迂回的策略,渗透到防线背后,让网络安全防护系统丧失作用。这就像是“马奇诺防线”在网络世界的再现:一旦企业的应急响应能力不足,那么其遭受的损失将以指数级别进行扩散。



所以,我们的网络安全战略思维必须重新拟定,也就是说做好最坏的打算:假设黑客已经进入到网络,下一步怎么办?


未来的安全防御将是一场与时间赛跑的比赛,时间决定了效果、能力和范围。为何这样说呢,这与“突破时间(breakout time)”和“1-10-60规则”密切相关。

“突破时间”是指入侵者发起攻击到成功获得系统权限的时间,而“1-10-60规则” 则是指:在1 min内检测出威胁;事件发生后在10 min内寻找出解决方法;60 min内修复并控制攻击行为。这提醒着企业用户要竭尽所能地提升应急响应时间,与时间赛跑、与黑客赛跑。


在恶意攻击“抢跑”的条件,亚信安全为用户争取时间的方法则是最新发布的XDR战略。即:通过精密编排的网络空间恢复补救能力,逐渐形成了包含安全编排(security orchestration)、自动化(automation)和响应(response)的SOAR框架,通过标准化的预案、专业化的调查工具和安全响应专家团队的合力,形成XDR解决方案,利用精密编排的智能联动技术将安全产品以及安全流程连接和整合起来,进而协助用户实现安全防御能力的进阶。其中,XDR中的“X”代表安全风险的不确定性和变量,甚至未知,同时也包含了EDR,NDR,MDR等创新技术和专业化的管理平台。


做好最坏的打算,未雨绸缪才是上策。从执行时间点上看,亚信安全的XDR解决方案以面向失效为原则,“即使在最坏的结果面前,不再束手无策”,这可以进一步解除用户的担忧。而从方案部署的核心要素来概括则包括:标准的预案、专业的调查工具、安全响应专家。


标准的预案

这包括“准备、发现、分析、遏制、消除、恢复、优化”策略,进而来确定用户碰到不同的威胁类型的时候该怎么处置。

专业的调查工具

高效、精准的应急响应需要专业设备层面的支撑,这些具备人工智能算法的设备能够在服务器和终端内核里面发现异常现象,这是确保查清楚黑客到底做了什么、目的是什么,通过什么方式的关键。

安全响应专家

安全专家的服务将覆盖到准备、执行和结束阶段,第一时间找到关键攻击的线索,找出完整的证据链,同时提供配套的处理方法,并防止再次出现同类攻击。


未来已至:以术识道,化道为术,术道合一


目前,全球数字化正渗透所有行业,跨界、融合会使行业界限变得越来越模糊,到2022年全球GDP的60%都会是数字化的,而每一个行业的增长都是由数字化增强的产品、运营和观念来驱动。在这个全数字化时代,现实世界与虚拟世界已相互交织,驱动着网络安全行业从技术思想、方法论到产业思维进行演进,推动我们重新审视现有的安全防护模式。


正所谓有道无术尚可求,有术无道止于术。网络安全的未来已来,亚信安全以“安全数字世界”为愿景,以“护航产业互联网”为使命,全面发挥独有的无代理、跨平台的云安全技术,构建网络空间可信身份基石,打造终端安全智能联动体系,并以全天候覆盖的安全态势感知场景,以及“10秒感知天下”的威胁情报技术、持续演进的高级威胁治理战略,创造网络安全产业的新势能和新动能,助力国家网络强国梦。


“C3安全峰会”精彩预告

为了推我国网络安全防护能力的进阶提升,亚信安全将在2019年5月7日召开的C3安全峰会上设定相关议题,共同探讨当下所面对的风险变化与应对手段。据了解,为中国最高规格的网络安全行业闭门盛会,2019年C3安全峰会将开设8个技术和管理论坛与7个行业论坛,一同研讨的数字经济时代的新挑战与新机遇,未雨绸缪,共建安全的数字世界。



行业热点:


亚信安全:2019年安全威胁预测


专家视点 | 安全的身份:数字中国的基础设施


『2019 C3安全峰会』正式启动,乘5G而来Get 4大新技能


【C3视点】股价下跌数十亿的背后,关键信息基础设施网络攻击的威胁有多大?


了解C3安全峰会,请点击“阅读原文

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存