近年来,勒索软件攻击持续成为热点话题,作为网络攻击的一种最终表现形态,如果没有相应的防范能力,或者是中招后没有相应的处置机制,无论是被迫支付高额赎金还是业务停摆,都让企业难以承担。为帮助相关企业应对勒索软件带来的安全挑战,前不久《话说安全》节目联合腾讯安全与腾讯研究院共同策划“防范勒索软件攻击”系列节目,邀请多位业界知名专家从多维度、多行业一起探讨勒索软件攻击的应对之道。
《话说安全》第一期由北京赛博英杰科技有限公司创始人兼董事长谭晓生主持,邀请到中国石油网络安全专家中心主任刘磊、腾讯安全技术中心专家李铁军、腾讯研究院产业安全中心主任翟尤,四位安全专家从能源行业作为切入,深入剖析了勒索病毒未来攻防之道。
勒索攻击趋势 RaaS工具化致使连年增高 APT化攻击更加精准
勒索软件攻击向上追溯在1989年就曾出现,在2001年之后开始小规模传播,但真正开始大规模传播大约是在2015年之后,最著名的一次是“WannaCry”勒索蠕虫的传播,造成国内的部分机构受到严重影响。谭晓生表示,受虚拟货币支付方式出现影响,对该类犯罪难以形成有效溯源,这也造成了勒索软件攻击越演越烈。
近年来,勒索软件攻击增长速度惊人,甚至一度超过1000%,这一增长趋势主要归咎于更多的黑客犯罪组织将勒索工具商品化,即勒索软件即服务RaaS化。翟尤对这一趋势表示担心,“RaaS化的勒索软件即服务会将勒索攻击门槛进一步降低,因为这种无门槛式的服务,可能会让更多仅仅是想做恶作剧的攻击者和真正攻击者混为一体,对安全行业带来更大的挑战。”
李铁军则表示,除了勒索工具RaaS化降低了攻击门槛,勒索软件攻击产业化也越加成熟,此时攻击形态也将产生变化,以前“WannaCry”之类的勒索软件是无差别攻击,所有人、每一台机器都有可能中招。但现在其攻击越加APT趋势,其攻击更加精准,就是要瞄准高价值目标。
对于关基系统,因其主要承载民生服务,一旦被入侵就可产生勒索价值,而对于企业来讲,往往勒索攻击者更看重数据质量高低,甚至他们会潜伏下来评估数据价值,从而在某个时间点进行加密勒索。
安全专家们还发现,随着世界范围内政府层面对网络安全越加重视,相关的法律法规配套措施正在强化行业的安全性,如欧盟的GDPR,我国的数据安全法等,但与此同时也为勒索者提供了双重勒索手段,攻击者往往会威胁曝光受害者数据,从而造成数据泄露,这也是为什么支付赎金逐渐成为选项之一。
关键信息基础设施成为勒索软件攻击重点目标
2021年,美国最大的燃油管道运营商Colonial Pipeline 公司就受到了勒索软件攻击,导致美国整个东海岸的成品油供应中断,勒索攻击一度导致美国宣布进入紧急状态。勒索软件攻击逐渐瞄向更加重要的关键信息基础设施,从而提高勒索成功率,对此刘磊表示,该事件对于我国石油石化行业起到了一个很好的警示作用,未来,该类攻击将是关基系统面临的主要安全威胁。
针对关基系统应对勒索攻击方面,刘磊表示要针对不同的阶段做相应的防范。应对勒索攻击,首先是强调人的因素,做好不同岗位人员的安全意识培训。其次建设重要信息系统时,就要提前考虑到系统的弹性,要保障业务系统的连续性。最后不管在本地还是云上,对重要的系统都要做好隔离措施。
腾讯安全建立对抗勒索软件攻击三重防线
安全专家们认为,企业将业务系统迁移至公有云会对抗勒索软件攻击能力有明显提升,首先,公有云系统有专业的安全团队7*24小时进行检测维护,往往可以在攻击的初始阶段及时处置;其次,绝大部分勒索病毒针对Windows系统开展攻击,公有云以Linux系统为主。虽不排除未来针对公有云的勒索软件增加的可能,但现阶段相对安全。相反,私有云在对抗勒索软件攻击方面,除了自身安全能力要求,往往要借助于第三方安全服务。
针对勒索软件攻击高压态势,腾讯安全已针对全行业用户推出综合性安全解决方案,该方案权衡用户公有云、私有云不同环境,推出对抗勒索软件攻击的三重防线,从事前、事中、事后全程赋能企业对抗勒索软件攻击安全能力。
(1)事前,“防患未然”——风险检测与充分备份并行
通过资产扫描、基线检测、漏洞扫描降低入侵风险,通过事前风险排查、重要数据备份,在勒索攻击来临前做好充分准备。
公有云:
云硬盘CBS:提供用于CVM的持久性数据块级存储服务,提供高达99.9999%的数据可靠性。
安全托管服务:提供安全评估测评服务,以发现和修复网络弱点。
主机安全:提供基线检测与漏洞检测修复服务。
漏洞扫描服务:网络资产安全漏洞扫描修复服务。
私有云:
腾讯安全运营中心:提供资产盘点、漏洞检测、基线检测服务。
腾讯零信任iOA:提供客户端和服务器漏洞扫描修复服务、iOA基线检测服务。
(2)事中,“精准狙击”——及时告警、响应和拦截
通过流量侧,主机侧的检测响应机制,及时发现黑客入侵行为,防止勒索攻击在内网扩散,阻止攻击者窃取机密信息,及时响应处置告警事件,将威胁消灭在起始阶段,避免大的灾难发生。
公有云:
云安全运营中心(云SOC):协调企业云端所有安全防护产品及时检测威胁、响应告警、分析日志、处置威胁。
主机安全:检测清除恶意病毒木马,拦截部分高危漏洞攻击,及时对攻击事件告警。
腾讯云防火墙:内置虚拟补丁机制,拦截利用高危漏洞发起的攻击活动,阻断横向移动,避免威胁扩散。
腾讯Web应用防火墙:通过对Web流量的实时检测,防护各种形式的网络攻击。
私有云:
腾讯安全运营中心:协调管理企业所有安全防护产品及时检测威胁、响应告警、分析日志、处置威胁。
腾讯高级威胁检测系统(NTA):旁路部署流量分析检测系统,实时检测攻击行为,及时进行告警处置。
腾讯零信任iOA:通过多因子认证,安全策略下发和微隔离能力,阻止威胁横向扩散,同时可实时清除最新病毒木马。
腾讯天幕(NIPS):通过和其他安全产品的实时联动,阻断所有与攻击活动有关的网络连接,同时确保正常服务不受影响。
(3)事后,“消弭于无形”——备份还原及时有效
遭遇勒索病毒攻击后,企业可以借助安全产品或服务快速恢复业务,并对事件进行溯源分析,及时对短板进行修复处理,避免被攻击者重复利用。
公有云:
云安全运营中心(云SOC):对事件进行回溯调查,发现威胁源头,采取针对性的系统加固措施,避免攻击者再次来袭。
云硬盘CBS:通过镜像回滚,快速恢复业务,避免业务系统因黑客攻击而中断。
安全托管服务:为企业提供全方位的应急响应服务。
私有云:
安全运营中心:协调其他安全产品能力,对事件进行溯源分析,发现入侵源头,对发现的弱点、漏洞进行修复治理,避免被攻击者重复使用。
腾讯零信任iOA:分析事件日志,对威胁进行全面调查。通过内置的文档守护者恢复部分失陷系统的受损数据。
高级威胁追溯系统:通过相关威胁情报数据,追查事件源头。
安全专家服务:为企业提供全方位的安全响应服务。
可以看到,对抗勒索攻击“三重防线”涉及到腾讯云及腾讯安全的多款安全产品,而企业实际应用时可根据自身安全能力、安全建设情况适情选用。其标准如在公有云环境下,通过漏洞扫描、主机安全等产品,帮助及时发现系统存在的漏洞,并进行修复,是防范勒索病毒的核心工作;当主机被入侵之后,病毒会主动向外扩散,这个阶段需要防火墙等产品进行检测、识别攻击,阻断横向传播,将损失控制在极小的范围内。
针对私有云环境,安全专家认为零信任是行业公认的解决方案之一,再通过XDR的方式,让企业所有的产品尽可能具备检测和处置能力,也可以达到目的。对安全预算并不充裕的中小企业来说,也可以将重点放在员工安全意识培训及数据备份两方面。前者是成本最低且有效的防范方式;而数据备份可以将被锁定或损坏的数据进行恢复,从而减少损失。
防范勒索攻击没有“特效药” 应做好长期对抗准备
勒索软件攻击之所以会让越来越多的人关注,主要是其最终的勒索结果所致,换言之企业要为低效的网络安全建设买单,付出金钱代价,当然背后的业务中断代价往往可能会更高。勒索软件攻击本质上就是网络安全问题,而网络安全本身又是一个大的系统工程,其威胁面很难系统概括,这也意味着没有“特效药”能解决所有问题。
安全专家一致认为,正是因为勒索攻击本质上是复杂的网络安全问题,对抗勒索攻击需要从多个层面,从国家主管部门、专业队伍、企业自身、安全厂家各个方面全方位协作对抗,要体系化、整体地去应对勒索攻击,才是根本解决之道。攻守之际最终还是人与人在对抗,这个战争可能永远没有尽头,必须做好长期对抗准备。