今年5月,美国最大的成品油管道运营商Colonial Pipeline受到勒索软件攻击,被迫关闭了长达5500英里的燃油管道。而仅在三周后,全球最大的肉类供应商JBS表示遭到黑客攻击,在美所有牛肉工厂被迫停工。
近年来不断出现国际知名企业被勒索病毒攻击的事件,并且赎金持续刷新纪录,勒索病毒俨然成为了全球网络安全面临的头号威胁。层出不穷的勒索攻击事件,对我们有何启示?
我们邀请到北京赛博英杰科技有限公司创始人兼董事长谭晓生、中国石油网络安全专家中心主任刘磊、腾讯安全技术中心专家李铁军、腾讯研究院产业安全中心主任翟尤四位安全行业专家,齐聚“话说安全”节目,共议勒索病毒发展趋势及未来攻防之道。
Q:今年美国成品油管道运营商Colonial Pipeline、肉类供应商JBS以及其他企业越来越多地遭到勒索病毒攻击,目前为止,勒索病毒的变化,呈现出哪些趋势?谭晓生:勒索病毒早在1989年就已经出现,2001年之后开始小规模的传播,但勒索病毒真正开始大规模传播是在2015年之后,虚拟货币支付方式的出现,支持了勒索软件通过供应链的形式合作起来,有人专门制作爆破的工具,有人专门去做传播,有人专门负责收钱,产业化趋势逐渐明显。此外,除了对数据进行加密,勒索赎金,威胁曝光数据库成了一个新的勒索手段。李铁军:以前 WannaCry之类的勒索软件属于无差别攻击,所有人、每台机器都有可能中招。但现在勒索攻击呈现明显的APT化趋势,犯罪团伙目标明确瞄准高价值企业。一家企业数据越值钱、影响力越大,面临勒索攻击的可能性就越大。翟尤:首先,勒索攻击存在一定的潜伏期,导致安全防范意识的降低。其次,现阶段对于拥有高质量数据的企业,数据质量越高,它被攻击的可能性就越大。最后, SaaS化服务进一步的降低勒索攻击门槛。这会让更多仅仅是想做恶作剧的攻击者和真正的攻击者混为一体,对整个行业的安全防御能力提出了很高要求,带来更大挑战。刘磊:一是勒索即服务,勒索攻击的门槛现在非常低。二是二次勒索、三次勒索的出现,加重了一些重要行业的承受度,不仅带来利益的损失,还造成包括名誉、信用,甚至国家信用的损害。三是勒索软件攻击三段论,先是通过APT化攻击手段,比如采用ATT&CK杀伤链攻击链的方式进行攻击;然后使用一些特殊的手段或方法加密控制数据;最后索要赎金,不管是二次勒索还是几次勒索,企业要考虑如何去响应或怎么去恢复数据。Q:如今,勒索病毒攻击呈愈演愈烈的趋势,未来有可能会扭转么?刘磊:对抗勒索攻击需要从国家、专业队伍、企业自身、安全厂家等多层面一起协作。在一定的国家背景下,多个层级共同对抗,勒索软件虽然数量方面可能继续增加,但不至于出现集中爆发的严重情况。李铁军:未来勒索攻击还会比较剧烈,短期内看不到减弱的趋势。一是虚拟货币市场成熟,且难以追溯;二是勒索攻击SaaS化运营。使得勒索病毒攻击成本降低、风险减小,几乎可以说是一种非常完美的犯罪,攻击者受利益驱使,不断“推陈出新”,今天把这个勒索病毒给压下去了,很快就会出现一个新的勒索病毒。翟尤:在研究勒索攻击的过程中我们发现,近期勒索攻击开始瞄准网络安全保险保额高的企业。这些被攻击的企业因为上了保险,往往愿意把赎金通过保费这种形式交出去,形成恶性循环。这也从侧面印证了勒索软件攻击的加剧,勒索的金额越来越高,已经让企业难以承受。Q:随着勒索病毒的攻击抛弃以往无差别的模式,开始将目标转向高价值企业。面对这种情况,应该采取什么样的办法来对抗勒索病毒攻击?李铁军:从数据来看,公有云上的勒索案件明显少于私有云。一是目前绝大部分勒索病毒攻击的都是windows系统,而公有云上系统大多以Linux为主。二是公有云有专业工程师进行维护,勒索软件刚刚开始入侵,就有可能被发现;私有云则依靠自己的工程师来管理,专业水平不一,有可能忽视很多告警信息,造成悲剧。刘磊:首先,不论是一般用户还是关键岗位,都应该提出安全意识的要求。其次,保持信息系统的弹性。在建设重要信息系统时,核心功能在设计的时候就应该考虑到弹性,比如数据备份、数据规范业务的连续性等。最后,重要系统要做好隔离。可以是物理隔离,也可以是逻辑隔离。目前在国内,很多央企都已经做到了工控系统和信息系统的隔离。翟尤:从产业安全研究的角度来看,解决方案主要有两方面:一是要注重人员的培训以及数据的备份。二是安全能力前置,把安全专家的能力量化和标准化,在信息系统建设或规划的前期进行统筹考虑,再用公有云或零信任作为补全手段,通过常规手段和前置手段的结合,形成应对勒索攻击的解决方案。Q:针对于勒索病毒攻击,腾讯安全有哪些解决方案和产品,去帮助用户解决问题?李铁军:公有云方面,首先,核心是帮助用户扫描检查并修复系统漏洞。漏洞扫描服务、主机安全等产品可以做到这些。其次,当主机被入侵后,病毒会有蠕虫式主动向外扩散的行为,这就需要云防火墙等产品去检测这种行为,阻断横向传播,将威胁控制在极小的一个范围里。私有云方面,零信任是行业公认的解决方案之一,还可以通过XDR的方式,让企业所有的产品尽可能具备检测和处置的能力。但这两种方案都需要很高的成本投入,适合于大型企业。对中小型企业来说,数据公开造成影响相对较小,系统漏洞修复、员工安全意识培训、数据备份以及上云,都能起到比较好的作用。Q:从关键信息基础设施的角度来说,勒索病毒攻击有怎样的影响?刘磊:在国外,勒索软件攻击对一些关键行业,包括一些对民生作用比较大的行业造成了相当严重的影响。这些事件给我国相关的一些重要行业,特别是关基的系统也敲响了警钟,勒索软件攻击在今后一段时间会成为我国的一个主要的挑战。刘磊:从国家层面来说,可以促进国家网信部门、行业主管部门、运营者以及网络安全服务商之间的合作,共同形成体系化作战的态势。不管是关基保护,还是对抗勒索软件,单独一个产品能起多大作用,或者具备多长时间的生命力,都不好说。需要全方位的协同合作,形成体系化,整体地去应对关基保护或者勒索攻击,才是根本解决之道。李铁军:我国信息安全立法走在前面,要求企业必须做好自己的信息安全工作。关键信息基础设施的定义,促使和国民生活有关的单位提高重视,相当于国家在考核这些单位,是一件非常好的事情。翟尤:最近几年国家在数据安全方面的立法非常多。对企业的监管不断加强,但换一个角度来说,监管的强化也是在保护企业,通过立法倒逼企业去提高数据安全和网络安全的意识,让企业自我提升面对网络攻击的免疫力,促使企业有更好的发展。针对愈演愈烈的勒索病毒攻击,腾讯研究院、腾讯安全、中国信息安全战略研究院、中国产业互联网发展联盟联合撰写了《2021年勒索攻击态势白皮书》。重点分析了当前勒索攻击的4个态势,并梳理了未来勒索攻击发展的7个趋势,同时针对个人用户以及企业用户给出了相应的解决方案。该白皮书预计将在《2021腾讯全球数字生态大会》上发布。在此之前,腾讯制作了一个充满趣味的H5小游戏,点击阅读原文参与游戏,结束之后会有彩蛋,只要留下你的联系方式,就可以第一时间获得2021年勒索攻击白皮书的全文,期待大家参与。中国银行 | 招商银行 | 华夏银行 | 中国建设银行 | 江苏银行 | 光大银行 | 微众银行 | 交通银行 | 富途 ……
海航集团 | 祥鹏航空 | 长龙航空 | 电科航电 | 国铁吉讯 | 广汽集团 | 上汽集团 | 如祺出行 ……
贵州茅台 | 蒙牛乳业 | 东鹏饮料 | 家乐福 | 洋河酒厂 | 永辉超市 | 联合利华 | 国美 | 苏宁易购 | 农夫山泉 ……
同程艺龙 | 虎牙直播 | 唯品会 | 哔哩哔哩 | 快手 | 知乎 | 京东 | 顺丰 | 蘑菇街 | 三七互娱 | 完美世界 ……