查看原文
其他

国内勒索攻击事件频发 应对防范您该这样做

闫小川 安全419 2023-06-22


Check Point 日前发布的2022年年中网络攻击趋势报告指出,勒索软件仍然是全球商业组织和政府的头号公敌,报告引用了数个勒索攻击事件加以证明它的观点,这些事件包括臭名昭著的Lapsus$勒索组织在一季度内所犯下的种种罪行,还有他们观察到的Conti具有针对性的国家级勒索攻击事件等等。



勒索软件攻击触及全球 

我国企业不能掉以轻心


勒索软件在全球泛滥,在我国的情况也随着热点事件关注度不断提升。某保险科技公司安全专家在前不久接受安全419采访时谈及该话题表示,勒索攻击在我国也是一种常见的网络安全威胁,而公开报道多为国外企业,主要是国内还没有实行网络安全披露制定,企业一侧通常不会主动向外披露,所以才会有国内很少被勒索软件攻击的假象。


安全419此前推出的《勒索攻击解决方案》系列访谈,拜访了我国多家头部知名网络安全企业,从他们介绍的国内勒索攻击案例我们可以发现,国内真实的勒索攻击情况远超想象。比如奇安信向我们分享的某制造业被勒索的快速响应救灾案例,安恒信息向我们分享的某医疗领域的快速响应救灾案例。


灾备解决方案供应商CloudWonder 嘉云分享给安全419的案例与前两个案例不同,前两家都是企业在遭受勒索攻击之后才找到安全企业,实际上当勒索病毒下发之后,留给安全企业一侧参与响应能够做的已经不多。CloudWonder 嘉云则利用他们的云化灾备解决方案,为某家出海制造业企业快速摆脱了多个系统被勒索的困扰,中而避免了超过千万美元经济损失。


前不久我们总结了第二季度全球勒索攻击形式也指出,勒索软件攻击在触及全球的同时,RaaS化趋势也使威胁遍布各行各业,没有任何行业能在勒索软件攻击面前幸免于难,除非他们没有任何的现代信息化建设。但总结起来,勒索攻击瞄准的对象有两大特点,一是数据价值高,比如科研、医疗行业,二是生产系统极其重要,停工停产影响民生保障,比如重要基础设施或是制造业。


“只有经历生死才会重视安全” 

安全意识薄弱仍是攻击主因


深信服科技此前告诉安全419,在他们参与的应急处置的事件中,大部分组织单位知道有勒索病毒防护解决方案,但没被勒索的时候,很少认为有购买的必要性。“只有经历生死,企业才能真正的重视安全。”安全专家向我们有感而发。


奇安信安全专家强调称,大量的案例证实,因为企业员工或第三方人员安全意识问题仍然是黑客攻击的主要突破口,而安全意识培养也不存在捷径,在不断反复强调之余,企业应不定期地开展安全意识培训和仿真模拟实训,再辅以必要的安全防护产品,才有可能达到我们预期的勒索防护效果。


Menlo Security在最近发布的网络安全报告中指出,安全团队正在承受着巨大的压力,他们一方面担心团队没有得到更多的支持,同时也担心员工成为安全的薄弱环节。因为调查数据显示,三分之一的组织每周至少遭受一次勒索软件攻击,其中十分之一的组织每天遭受一次以上的攻击。


中招勒索基本无解 

数据备份成事后恢复唯一可能


天融信安全专家向安全419阐述观点指出,勒索病毒通常基于AES 、RSA、RC4等加密算法实施加密,基本不可逆。只有两种情况在勒索加密情况下可以进行恢复,一是加密算法相对简单或勒索软件本身存在漏洞,另一个是勒索组织自身的加密密钥公开。通常情况下,“勒索加密之后无法恢复”。


安全企业们表示,有效的数据备份体系的建设,可以为企业不支付巨额赎金提供底气。做好事前防护能解决80%的勒索攻击问题,想要对业务及数据提供完全的安全防护,数据备份工作针对勒索攻击而言至关重要,在数据真的被勒索加密之后,数据备份也是事后恢复的唯一可能。


灾备解决方案供应商 CloudWonder 嘉云告诉安全419,随着近年来勒索攻击逐渐泛滥,面向大多数在线业务、生产系统等场景的灾备解决方案也可以为企业提供勒索快速恢复,其方案优势相较于数据备份要更具时效性,以及更加快速的业务恢复能力。


他们进一步表示,全行业对业务连续性、数据保护工作持续增量,以及对不同云提供迁移的便利支持,由第三方技术支撑的云容灾解决方案对业务、数据再生速度快,多云异构对多云环境的完美支持等,已经逐渐成为各级企业的刚性需求。


腾讯安全在构筑勒索软件攻击防御三重防线方面曾指出,公有云相较私有云在抵御勒索攻击方面更具优势,在事前、事中、事后三重防线的事后方面,对安全预算并不充裕的中小企业来说,可以将重点放在员工安全意识培训及数据备份两方面。前者是成本最低且有效的防范方式;而数据备份可以将被锁定或损坏的数据进行恢复,从而减少损失。


避免成为勒索攻击受害者 

应对防范应您该这样做



为应对勒索攻击,我们汇总了以下建议:(注.以下来源于安全419持续呈现的《勒索攻击解决方案》系列访谈中我们与多家知名网络安全企业(绿盟科技、天融信、安恒信息、奇安信、深信服、CloudWonder 嘉云、威努特)交流总结所得)。


1.企业不断的成长和新技术的广泛应用,进一步加剧了安全风险和暴露面,鉴于安全重要性正在日益提升,设立专职岗位(如CSO)负责统筹全面的IT安全风险管理,是应对以勒索攻击为首的网络安全建设的重要前提。对于CSO岗位本身而言,也开始意识到仅仅的合规安全不足以应用当前复杂环境下的网络安全攻击形势,向需求转变的主动安全建设势在必行; 


2.真实勒索案例中,绝大多数勒索攻击源于员工的意识疏忽所造成。企业一方面需系统的开展安全意识培训工作,同时应针对具体的安全事件进行日常演练,以在攻击发生时最大化降低企业生产运营损失; 


3.同时安全意识应延伸至企业外部,这对大型生产制造业尤为重要,比如企业将IT运维承包给第三方机构,还有涉及庞大供应链当中的任何一环。可以以安全合约为抓手,建立安全责任制,强化外部的安全风险管理; 


4.安全基线必不可少,利用专业安全厂商提供的防御、检测类产品为勒索病毒设置重重障碍,可降低80%以上被勒索攻击的可能性。其中终端安全更是重中之重,大量案例证明,特别是国内,终端缺乏安全防护是造成勒索加密的主要原因;安全基线产品或服务以威胁情报建立防御机制,也是应对勒索组织不断变化趋势的有力抓手; 


5.勒索攻击最终指向的是系统、应用和数据,对于处于数字经济时代的我们,如何让数据在各业务线上安全流通已成当务之急。《数据安全法》催生了数据安全产业的迅猛发展,以数据保护为抓手,应对勒索攻击已是可行方案; 


6.产品服务化趋势,企业限于没有专业的运维人员来管理网络安全,会存在即使部署了安全产品也没有得到有效利用,这是广泛存在的现状问题,大中型企业尚能自行解决问题,小型企业问题更为明显。现在安全企业也注意到了这一问题,安全托管服务可以帮助企业解决这一难题,该项服务可以让企业内部“安全不加班!”; 


7.企业应该认识到针对性地勒索攻击致使数据加密,当前技术上是无法恢复的,应该立即着手数据备份工作,且强化数据备份的隔离加密,始终让备份数据保持高可用性。对于生产经营性质企业,为了追求业务的持续运营,容灾备份解决方案已成为他们的最佳选择,该方案在保证数据高可用前提下,可支持系统在异地迅速再生; 


8.企业承担勒索攻击所致损失的程度并不相同,为了避免遭受灭顶之灾,可以考虑从网络安全保险一侧切入防范。网络安全保险在国外相对成熟,在国内发展尚处起步阶段,但未来应用的趋势明显。


THE END

// 推荐阅读

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存