关于网络攻击的官方公告
近年来,勒索攻击在众多的网络安全威胁中异军突起,不仅在全球范围内持续高发,而且每次事件一出波及面都十分广泛,造成的经济损失或数据资产泄露后果也非常惨重,引发各界的广泛关注。
虽然媒体多方报道,业界警钟敲响,但勒索攻击似乎还是防不胜防。面对这个顽疾症结,安全419联系到腾讯安全玄武实验室负责人“TK教主”于旸、腾讯安全反病毒实验室负责人马劲松、以及翼盾智能和第五空间研究院创始人朱易翔Coolfrog三位经验颇丰的安全专家,与我们共同探讨当今的勒索攻击到底有多凶猛,哪些组织成为了犯罪团伙眼中的香饽饽,以及面对爆发式增长的勒索攻击我们究竟应该怎么应对。
当今的勒索攻击已经不仅仅是感染病毒了
2017年,WannaCry勒索病毒席卷全球,让大众第一次深刻体会到勒索攻击的威力。当年的这个蠕虫病毒,由犯罪团伙利用NSA泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。
传统的、狭义的勒索攻击的操作模式就是这样,犯罪团伙制作一个病毒软件,通过某个漏洞,病毒可以自动、无限地去感染所有存在该漏洞的系统。对于犯罪团伙来说,这样的模式依赖一个威力巨大的漏洞,但是高价值的0day并非随时能遇到,这让勒索攻击行为缺乏了主动性;同时,这种广撒网式的攻击不一定能够有效定位到高价值的受害者,毕竟经济利益才是犯罪团伙的终极追求,这让勒索攻击的效果过于随机而不可控。
近年来,勒索犯罪团伙的手段一直在不断进化,于旸指出,“如今的勒索攻击在持续向‘APT化’演进”。
他解释道,自动化的病毒感染只是勒索攻击的一部分,犯罪团伙会针对高价值的目标,利用一切渠道、弱点进行入侵。他们通过前期对选定目标相关信息的收集,持续渗透,找出薄弱攻击面,最终实现致命一击。攻击完成后加密数据,用勒索的方式索要经济利益,如果被害者拒绝支付赎金,选择恢复备份,他们将会威胁公开其核心数据资产来进行双重勒索。
在这种演进下,勒索攻击已经走向了产业化,具有更强的组织性、更专业的攻击手法、更多样化的传播途径。同时随着勒索即服务成为新模式,攻击者只需要购买勒索服务就可以发起攻击,门槛极低。未来或有更多新的网络犯罪团伙加入到勒索攻击活动当中,寻求快速获利。
勒索攻击团伙究竟喜欢勒索谁?
RansomEXX攻击CNT并不是勒索犯罪团伙第一次盯上运营商。2020年7月,阿根廷电信公司遭到REVil勒索软件攻击,短短一个周末就造成约18000万台计算机被感;同一时期,法国移动网络运营商子公司被Netfilim勒索软件入侵,敏感数据遭到窃取。
勒索攻击团伙在下手时有特殊的行业偏好吗?马劲松对此表示,勒索犯罪团伙在选择攻击对象时是有一定的针对性的,多集中于信息化程度较高的大中型企业,其共通的特点是业务对计算机系统的依赖程度比较高,被勒索后造成的经济或政治上的负面影响比较严重,这会促使被害者更有动力去支付赎金,让勒索攻击的经济诉求得逞。
在运营商领域有15年工作经验的朱易翔补充解释道,与其说勒索犯罪团伙偏爱运营商,不如说他们偏爱的是偏关键信息技术设施类的、有较高支付能力的机构组织,运营商刚好满足了这些条件。除此之外,能源、金融、公共交通、政府部门等领域都是勒索攻击青睐的对象。另一方面,一些偏民生的、但同时网络安全工作做得不太到位的组织也容易成为被勒索的对象,这将提高勒索攻击成功的可能性。
为何防御勒索攻击这么难?
勒索攻击从诞生至今已经有数年的历史,从认知上来看它并非是什么新鲜事物,用常规的方式看,现在理应有较好的方式去应对这一威胁,但为何当下勒索攻击却愈演愈烈并肆虐全球呢?而根据公开报道看,很多受攻击的企业在安全建设上的投入以及建设水平并不差,但为何仍然无法抵御勒索攻击呢?
针对这个问题,三位专家不约而同地表示,安全建设是一个长期的过程,在这之中,企业的安全能力和攻击者的攻击能力间就会存在一个动态波动,因此,某一时期较强的安全防护能力并不意味着长期的高枕无忧。
于旸表示,在当前整体环境下,网络攻击已经到了一个极其复杂的状态,要想更好的去应对这种威胁,就必然使用更高级的防御手段。“当网络犯罪组织将人工入侵和勒索结合起来并形成一种模式时,任何企业都很难拍着胸脯说自己一定能够防得住勒索攻击,因为攻防从来都不是一个静态的呈现,而是一个持续动态的过程。”
首先,攻与防的技术能力和水平都不是固定不变的,假设某企业将安全建设做到了95分的水平,那么在应对90分水平的攻击者时也许是轻松愉快的,但在网络攻击技术不断演变的当下,把时间拉长,在面对在未来掌握了新的攻击技术的攻击者面前,当前的安全建设是否还能100%做到彻底防住当时只有90分的攻击者呢?恐怕谁也不会有这个信心。
其次,安全体系并非是一个独立的存在,而是一个整体,网络安全建设的技术能力、员工整体的安全意识和素养,都会随着人员的流动而产生波动,这必然会影响到企业最终的安全水平。
在朱易翔看来,攻防两者间不对称性的存在也是导致这一问题的关键所在。
首先,防御本身是一个持续过程,想的是无时无刻都要保证自己的安全,但对攻击而言,只需要在某个时间点发起就足够了。
其次,除了时间之外,防御还要尽可能做到密不透风,任何一个漏洞都有可能会让你的整个防御体系被瓦解,因而要事无巨细的关注每一个安全细节。那么反观攻击者,则只需要找到一个打击点就可以完成入侵。
我们可以扩展开看,由上述不对称性所带来的也是一个不得不面临的问题,那就是攻防两端之间的成本也存在着极大的不对称性。在“百分之百的安全”不存在的情况下,企业能把安全做到95分已是难能可贵,而如果想要再提高哪怕1分,都可能会是一项巨大的投入,企业必然也会权衡投入产出比的问题,但在这背后,风险也许就在此汇集。
由此我们可以看出,攻防双方的博弈永远是一个没有终点的竞赛,在企业对安全建设的重视程度已经全面提升的当前,攻击者也同样不会停下脚步。就像马劲松说的那样,“攻击者在有着明确的目的性和利益取向的情况下,一定会想尽各种办法可用的办法来去达到他的目的,并且不会轻易的停手。”
应如何降低遭遇勒索攻击的风险?
尽管与勒索攻击的对抗是非常难的,但并不意味着就无计可施,那么如何才能尽可能地去降低企业面临勒索攻击的可能性呢?
于旸表示,勒索攻击经过数年的发展,已经很难通过某一种防护方式去应对,这一点至关重要。对于企业而言,仍有很多还抱有传统的安全防御思想,认为做好边界防御就可以了,但是在当前的环境下,任何边界防御措施都无法做到100%有效,哪怕只有一个风险点被暴露,再加上内部安全措施有些许的不到位,那么攻击者就有极大的可能去接触到企业的数据甚至是关键数据,从而实现勒索攻击。
因此,在于旸看来,安全不能再简单的依赖边界防御,而是要积极的拥抱零信任、蜜罐以及SOC等安全措施,建设起更先进的安全体系才是更好的应对勒索攻击威胁之道。
具体到可操作的安全措施层面,马劲松则给出了三点建议:
1、做好数据尤其是关键数据的备份。马劲松表示,根据以往的经验看,数据一旦被加密之后,完全从技术手段恢复的可能性是比较低的。
2、做好对漏洞的管理、补丁的及时更新。前文提到,对漏洞的利用是发起勒索攻击一个重要的途径,做好这方面的工作就相当于斩断这一通路。
3、长期、持续对员工进行安全教育和培训。这一点非常重要,企业内部往往会成为攻击者发起攻击的突破口,如果员工都可以做到对潜在威胁时刻保持高度的警惕,那么也会极大的降低安全风险。
业务上云大趋势下,云端防范勒索攻击或有妙招?
随着国家数字经济的不断发展,无论是各地政府机构还是各个行业,业务上云已经成为一个大趋势。在云环境下,如何防范勒索攻击自然也成为了一个重要的话题。马劲松对此提出“安全之道在云端”的看法,他表示,云的资源集中性和流通性有助于大家更清晰地感知到勒索的威胁,同时可以利用更丰富的手段来应对攻击。
具体到腾讯云上来看,集中部署和管理的云上业务可以更便捷地使用腾讯积累的安全能力,更及时地发现和对抗勒索攻击,基于云端实施的安全防护,交付成本更低,客户使用也更方便。
一方面,当外部有新的漏洞被曝出、新的攻击手法刚露面,腾讯安全团队会在第一时间将针对漏洞攻击的检测机制应用到腾讯云的防护上,云上客户可以及时同步应用。
另一方面,当云上客户自身出现异常行为的时候,比如高负载情况、高CPU占用、高磁盘占用等,腾讯云将会下发提醒和防御措施来保护云上客户不受侵害。
同时,业务上云之后,数据的加密、备份将更加及时和充分,即使不幸遭遇了勒索攻击,更完备的数据恢复也将更有效地弥补勒索攻击造成的重创。
如今,勒索攻击已经成为网络犯罪的主要模式,此次的CNT遭遇攻击事件再次为我们敲响警钟,在高额利润诱惑下,在更低门槛的攻击模式下,可以预见这样的爆发增长趋势还将在全球延续,而针对花样百出的攻击手段的检测、响应、恢复难度却越来越高。面对勒索攻击,事前预防永远好于亡羊补牢,广大的单位和企业务必将安全建设付诸实际行动,以应对不断增长和变化的安全威胁。