勒索软件攻击不断升级 企业如何防御才是最优解?

首页 / 业界 / 资讯 /  正文
作者:栗栗
来源:安全419
发布于:2024-09-06
随着数字时代的到来,勒索软件已经成为全球网络安全领域的一大顽疾。近年来,我们目睹了勒索软件攻击的惊人增长,在攻击手法和目标选择上呈现出前所未有的多样性和复杂性。从医疗保健到制造业,从金融服务到政府部门,无一幸免于这场数字瘟疫的威胁。
 
在这场攻防不断升级的网络安全战中,我们该如何构建更坚固的防线,以保护我们宝贵的数据资产不受侵害?本文将跟踪勒索软件的最新发展趋势,从防守方的视角分析风险发生的原因和抵御风险的痛点,并提供有效的防御策略,以助于我们在这场战斗中抢占防守高地。
 
勒索软件紧扼行业咽喉 企业亟需加强防护
 
安全419通过对近半年勒索事件的观察中了解到,纵观全球,2024年上半年活跃的勒索软件团伙数量同比增长了56%,发生了400余起攻击事件,影响范围遍及政府机构、金融、医疗、制造、零售和通信等关键领域。LockBit仍以434名受害者的记录保持了顶级勒索软件组织的地位,自2022年开始运营的Play以178名受害者位居第二,RansomHub是半年内第三活跃的勒索组织,自今年2月出现以来已勒索了171名受害者;BlackBasta和Base分别以130名和124名受害者位居第四第五名。
 
聚焦国内,勒索软件攻击同样猖獗,已经渗透到生活的方方面面且领域日益碎片化。国家计算机病毒应急处理中心联合相关机构发布的《网络空间安全态势分析报告(2024)》指出,近一年来我国受到攻击和勒索的71个机构涉及14个国民经济行业,同比增长100%。我们从图上可以看出,制造业受害情况最为严重,其中从事汽车电子、化工、通信设备、材料、半导体、纺织等细分行业领域的企业占比接近50%,特别是汽车电子占比达到17%,成为面临勒索病毒组织攻击风险的高危行业领域。

摘自 《网络空间安全态势分析报告(2024)》

此外,随着云计算、边缘计算等技术的不断发展,新型信息基础设施也日益成为勒索攻击的新目标。近日发布的《关于推动新型信息基础设施协调发展有关事项的通知》中也强调,要提升网络和数据安全保障能力,强化新技术风险评估和安全管理,加强网络和数据安全监测预警和应急处置手段建设,增强跨行业安全服务赋能。



从甲方用户侧来看,企业主要关注的点在于数据安全和业务连续性。勒索软件通过加密重要数据,使得组织内部无法访问关键信息,严重影响日常运营和决策过程。数据的不可用或导致业务流程的中断,进而影响客户服务、品牌形象和供应链管理,甚至存在合规风险。
 
面对勒索软件的肆虐,无论是国家机构还是企业组织,都迫切需要提升对勒索攻击的防范意识和能力。越来越多的组织愿意选择在安全建设上投入预算,期待通过部署安全防护产品,提升自身防御能力,降本增效实现安全。
 
 
精准把脉企业痛点 安全策略还需优化
 
根据Thales发布的《2024年泰雷兹数据威胁报告(2024 Thales Data Threat Report)》显示,过去一年,遭受勒索软件攻击的企业数量激增了27%以上。尽管这种威胁不断升级,但只有不到一半的企业制定了正式的勒索软件计划,8%的企业不得不为此支付赎金。
 
安全419认为,面对勒索软件的安全威胁,企业通常会遇到几种不同的挑战:一方面,为了降低勒索行为带来的更广泛风险,一些企业可能会选择支付赎金。但同时也向攻击方传达一种信号,即企业有能力也有意愿为迅速缓解危机而妥协,因此也更容易遭受第二次甚至多次勒索;另一方面,尽管许多企业已经意识到风险管理的重要性,但在如何选择和实施恰当的安全措施上仍缺乏明确的指导,或者现有的安全防护体系并不足以抵御日益复杂和先进的攻击手段。

2024年上半年勒索攻击组织TOP5及相关情况

同样以前文提及的五家勒索组织的近期动向来看,攻击者为增加受害方支付勒索赎金的概率和提升赎金金额,从仅恶意加密数据演变为采用“窃取文件+加密数据”双重勒索策略,甚至在双重勒索的基础上增加DDoS攻击和骚扰与受害方有关的第三方等手段,演变为“多重勒索”。
 
目前针对勒索软件攻击的许多单点或个域防护,包括但不限于:终端防护、网络隔离、边界安全加固、数据备份和恢复、加密网络流量的监测、访问控制和权限管理、网络安全保险等,这些措施虽然同样可以阻断攻击,但面对勒索手段的多样化,无法覆盖所有攻击面,缺乏有效的事件响应机制,也很难避免人为因素导致的风险。
 
破解安全困境 多维构建防御体系
 
既然只靠零散的安全产品或技术堆叠无法实现,整合多种防护手段,围绕事前风险防范、事中快速响应、事后整改加固的全流程防护,构建完善的防御体系就成为更可行的解决之道。
 
防范前置,降低风险:帮助用户提前收敛暴露面,并修复已知易被勒索攻击的漏洞,避免脆弱点暴露于攻击者面前。通过防勒索应急演练或实网演练,从人员、流程、技术三个维度验证用户防御策略有效性,并给出优化方案,帮助用户筑高防御屏障。
 
事中监测,快速响应:及时隔离感染源,加固未感染设备,控制事件发展态势,上报攻击事件有关信息,通过边界勒索攻击检测、内网勒索横向移动检测、主机勒索入侵检测,多项技术交叉检测,快速发现并实时阻断勒索攻击。
 
事后复盘,持续优化:应提取勒索软件样本特征,排查攻击痕迹,采取相应的整改加固措施,恢复受影响服务,对勒索事件进行全面复盘总结,进一步提出可落地的防御体系优化方案。
 
基于安全419与业内的交流,有不少综合性的安全解决方案为企业应对勒索攻击指明方向,更好实现了对业务风险从感知到应对的闭环。
 
威努特主机防勒索系统(防病毒),通过行为监测、勒索诱捕(静态+动态)、系统防护、进程防护、数据保护以及备份恢复等六大核心技术支撑,保障“检测、防护、恢复”三大防护能力落地。
 
不依赖传统病毒库概念,可有效针对勒索软件的强变异特性,产品深度结合操作系统内核驱动,以勒索行为监测、勒索诱捕、系统资源保护、关键业务保护、核心数据保护、数据智能备份等多项创新技术,精准识别勒索软件,保护系统资源不被破坏、业务应用免遭中断、业务数据不被篡改以及备份业务数据并恢复,实现事前预防、事中检测/阻断、事后恢复的勒索软件综合防范。
 
安恒信息打造终端安全一体化产品“办公智盾”,在防勒索方案上,产品采用“产品+运营+保险”三重机制,通过对系统弱口令、高危漏洞、风险账号等进行专项评估,针对系统的薄弱点进行快速修复。利用大数据分析海量勒索样本,形成引擎行为库,阻断可疑行为;利用诱饵引擎捕获勒索进程并自动阻断。通过勒索行为分析,在加密前进行智能备份,事后可一键恢复被勒索病毒加密的文件。针对勒索攻击进行全流程链式分析,展示攻击进程树,捕获事件信息,实现勒索事件处理跟踪与溯源。
 
天融信发布面向AI时代的一体化数据安全解决方案,包含天韧、天剑、天权、天盈、天享、天界六大部分。其中,“天韧”数据勒索保障方案融合“网络防护、流量检测、终端防御、保险兜底”四位一体的“天韧数据勒索防护一体机”,实现了事前全面有效预防、事中精准监测阻断、事后高效恢复和保险理赔,有效防范勒索攻击等各类威胁。
 
值得一提的是,在9月5日的外滩大会见解论坛上了解到,有关人士开展了科技助力网络安全保险发展的议题。可以看出,传统保险行业在向网络安全保险领域进军。安全419从会上同步到,在保险服务方面,提出了保前风险评估、保中数据风险监测及保后应急响应等策略。而网安行业的不少厂商也在积极探索与保险服务的结合,包括天融信、绿盟科技等。
 
可见,网络安全保险正逐渐获得业界认可,并展现出其独特的价值和可行性。网络安全保险发展的土壤已经基本存在,未来或将更好规避落地不成熟的情况,有望成为防范勒索软件攻击的一大新趋势。
 
有效的网络安全防护不再是可选的附加项,而是企业战略规划的核心要素。企业需要采取全面、主动和预防性的措施,构建起坚固的安全防线,以抵御勒索软件的侵袭。在这场网络安全的持久战中,只有不断适应和加强防御,才能保护自己免受外界威胁。