全球勒索攻擊創(chuàng)歷史新高,如何建立網(wǎng)絡(luò)安全的防線?

科技云報(bào)道原創(chuàng)。

最簡(jiǎn)單的方式,往往是最有效的,勒索軟件攻擊就屬于這類(lèi)。

近兩年,隨著人類(lèi)社會(huì)加速向數(shù)字世界進(jìn)化,勒索軟件攻擊成為網(wǎng)絡(luò)安全最為嚴(yán)重的威脅之一。今年以來(lái),勒索軟件攻擊在全球范圍內(nèi)呈現(xiàn)快速上升態(tài)勢(shì)。

11月10日,澳大利亞第二大港口運(yùn)營(yíng)商環(huán)球港務(wù)集團(tuán)(DP World Australia)聲稱(chēng),其發(fā)現(xiàn)“系統(tǒng)遭到入侵”,并于下午關(guān)閉港口,采取切斷網(wǎng)絡(luò)等行動(dòng),阻止未經(jīng)授權(quán)的訪問(wèn)。

此舉導(dǎo)致“支持澳大利亞港口運(yùn)營(yíng)的關(guān)鍵系統(tǒng)無(wú)法正常運(yùn)行”,墨爾本、悉尼、布里斯班、弗里曼特爾等地多個(gè)主要城市港口貨物運(yùn)輸停滯。

無(wú)獨(dú)有偶,中國(guó)工商銀行股份有限公司在美全資子公司——工銀金融服務(wù)有限責(zé)任公司(ICBCFS)也于近日在官網(wǎng)發(fā)布聲明稱(chēng),其遭受勒索軟件攻擊,導(dǎo)致部分系統(tǒng)中斷。

據(jù)美媒援引知情人士消息,涉嫌策劃針對(duì)工行美國(guó)分行襲擊的是一個(gè)名為L(zhǎng)ockBit的犯罪團(tuán)伙。作為目前全球最猖獗的黑客組織,LockBit近期已經(jīng)對(duì)波音、英國(guó)金融公司ION Trading和英國(guó)皇家郵政等多個(gè)目標(biāo)進(jìn)行過(guò)襲擊。

安全人員最新的研究顯示,LockBit勒索軟件加密效率驚人,四分鐘內(nèi)就可加密完成10萬(wàn)個(gè)Windows文件,這也意味著一旦病毒程序在組織一側(cè)被執(zhí)行,留給涉事企業(yè)喘息的時(shí)間并不多。

雖然近年來(lái)勒索軟件攻擊在各行各業(yè)都呈上升趨勢(shì),但此前很少擾亂主要金融市場(chǎng)。種種跡象都指向一個(gè)事實(shí):勒索軟件攻擊愈演愈烈,無(wú)論是個(gè)人、企業(yè)還是組織都隨時(shí)可能淪為下一個(gè)受害者。

同時(shí),隨著企業(yè)數(shù)字化轉(zhuǎn)型的推進(jìn),供應(yīng)鏈安全風(fēng)險(xiǎn)日益嚴(yán)峻,勒索攻擊手法持續(xù)進(jìn)化,多重勒索成為常態(tài),勒索攻擊對(duì)產(chǎn)業(yè)安全威脅有增無(wú)減。

勒索軟件攻擊猖獗黑灰產(chǎn)商業(yè)模式日漸成熟

隨著勒索軟件攻擊持續(xù)進(jìn)化,網(wǎng)絡(luò)惡意分子組織起來(lái),勒索攻擊產(chǎn)業(yè)也發(fā)展出類(lèi)似于SaaS的RaaS(Ransomware-as-a-Service,勒索軟件即服務(wù))的黑灰產(chǎn)商業(yè)模式,雙重或三重勒索攻擊成為常態(tài),導(dǎo)致受害者數(shù)量、被索要金額以及攻擊得逞的影響都在飆升。

從模式上看,RaaS模式讓勒索攻擊的門(mén)檻越來(lái)越低,并且攻擊成功的概率越來(lái)越高,數(shù)據(jù)能夠通過(guò)分析解密還原的情況越來(lái)越少。

而且,攻擊者不再單純加密數(shù)據(jù),更多的勒索攻擊開(kāi)始竊取受害者敏感數(shù)據(jù),掛到自己的“官網(wǎng)”上進(jìn)行雙重勒索,獲得更大的收益。

從勒索贖金金額上看,整體趨勢(shì)呈全面上升趨勢(shì),但支付贖金的中位數(shù)明顯處于下降趨勢(shì)。不同的行業(yè)之間繳納的贖金金額差異很大,說(shuō)明勒索病毒的攻擊范圍已滲透到大部分行業(yè)中,攻擊者也會(huì)根據(jù)不同行業(yè)情況來(lái)設(shè)置“合理”收益。

RaaS運(yùn)營(yíng)商負(fù)責(zé)開(kāi)發(fā)底層勒索軟件包、創(chuàng)建控制臺(tái)、建立支付門(mén)戶(hù)、管理泄漏點(diǎn)等,其通過(guò)地下論壇招募的加盟者則主要針對(duì)目標(biāo)對(duì)軟件進(jìn)行配置,執(zhí)行勒索攻擊并負(fù)責(zé)與受害者溝通。

目前,最活躍的勒索軟件組織包括此前提到的LockBit和BlackCat(ALPHV)。LockBit以加密速度快見(jiàn)稱(chēng),BlackCat屬于RaaS,其傭金分成相比其他同類(lèi)服務(wù)較低。

勒索軟件組織會(huì)通過(guò)多種勒索手段,擴(kuò)大攻擊強(qiáng)度,逼迫受害企業(yè)在壓力下快速支付贖金,常見(jiàn)手法包括加密、數(shù)據(jù)竊取、分布式阻斷等。

根據(jù)威瑞森發(fā)布的《2023年數(shù)據(jù)泄露調(diào)查報(bào)告》,勒索軟件攻擊是各種規(guī)模、不同行業(yè)的機(jī)構(gòu)所面臨的主要威脅。

目前,91%的行業(yè)已將勒索軟件列為三大威脅之一。企業(yè)因勒索軟件而遭受的損失也在增加。Cybersecurity Ventures預(yù)測(cè),到2031年,勒索軟件攻擊將給受害者造成2650億美元的損失,與2017年勒索軟件受害者支付的50億美元相比增幅驚人,每2秒就會(huì)發(fā)生一起勒索攻擊事件。

NCC集團(tuán)的全球威脅情報(bào)團(tuán)隊(duì)報(bào)告顯示,2023年7月的勒索軟件攻擊多達(dá)502起,創(chuàng)下紀(jì)錄,比2023年6月的434起攻擊增加了16%,是2022年7月觀察到的勒索軟件攻擊數(shù)量的2倍多。

Malwarebytes的《2023年勒索軟件狀況》報(bào)告發(fā)現(xiàn),勒索軟件的總數(shù)也創(chuàng)下了紀(jì)錄,一年內(nèi)僅在美國(guó)、法國(guó)、德國(guó)和英國(guó)就發(fā)生了1900起攻擊,其中美國(guó)幾乎占了一半。

而金錢(qián)損失只是勒索軟件影響的一部分。除了成本外,企業(yè)組織還面臨業(yè)務(wù)停機(jī)、聲譽(yù)受損以及客戶(hù)信任度下降等風(fēng)險(xiǎn)。

此外,勒索軟件具有下游效應(yīng),影響到最初攻擊甚至沒(méi)有針對(duì)的人員和系統(tǒng)。此外,即使攻擊被公開(kāi)披露,企業(yè)為搶救或恢復(fù)系統(tǒng)而花費(fèi)的實(shí)際金額也并不總是公開(kāi)披露。

傳統(tǒng)安全手段失效無(wú)法應(yīng)對(duì)新型勒索軟件攻擊

瘋狂的增長(zhǎng)速度,和驚人的破壞力,使得勒索軟件攻擊已成為籠罩在全球企業(yè)心頭的一團(tuán)“烏云”。

盡管很多大型企業(yè)都有著嚴(yán)密的安全防控系統(tǒng)和數(shù)據(jù)災(zāi)備系統(tǒng),但仍沒(méi)能防住勒索軟件的攻擊,最終導(dǎo)致數(shù)據(jù)泄露。這是因?yàn)槊鎸?duì)不斷升級(jí)的新型攻擊技術(shù)和勒索方式,傳統(tǒng)安全手段已無(wú)法有效抵御勒索軟件攻擊。

在勒索攻擊造成業(yè)務(wù)停頓、影響經(jīng)營(yíng)的嚴(yán)重后果下,依舊使用傳統(tǒng)安全軟件的企業(yè)受到攻擊風(fēng)險(xiǎn)大增。

此外,設(shè)備難以識(shí)別,導(dǎo)致無(wú)法實(shí)施有針對(duì)性的保護(hù),數(shù)字化轉(zhuǎn)型中產(chǎn)生的大量數(shù)據(jù)存在安全保障問(wèn)題,知識(shí)產(chǎn)權(quán)保護(hù)以及避免核心業(yè)務(wù)中斷等等,都是企業(yè)面臨的挑戰(zhàn)和難題。

從傳統(tǒng)防病毒軟件看,由于其安全策略是基于特征和規(guī)則,應(yīng)對(duì)勒索病毒主要采取“截獲樣本——分析處理——升級(jí)更新”的方式,這種模式會(huì)給勒索病毒的傳播和破壞帶來(lái)一個(gè)“空窗期”。

一方面,特征匹配無(wú)法防御未知或多態(tài)病毒,而靠漏洞修補(bǔ)無(wú)法防御0day漏洞,此外,病毒還可以通過(guò)低可見(jiàn)度慢速攻擊策略,繞過(guò)安全系統(tǒng)的行為分析,進(jìn)行深度潛伏的攻擊行為;另一方面,白名單的規(guī)則設(shè)置也過(guò)于復(fù)雜,難以保證業(yè)務(wù)與安全之間的平衡。

從傳統(tǒng)備份和容災(zāi)系統(tǒng)看,盡管可以很好地實(shí)現(xiàn)數(shù)據(jù)備份和容災(zāi),但卻無(wú)法判斷在遭遇勒索軟件攻擊時(shí),災(zāi)備數(shù)據(jù)的可用性和安全性,例如:備份數(shù)據(jù)是否被感染了、哪些數(shù)據(jù)需要恢復(fù)、備份恢復(fù)的時(shí)間點(diǎn)是什么、是否會(huì)被重復(fù)攻擊、數(shù)據(jù)保存是否完整、能否僅恢復(fù)損毀的數(shù)據(jù)等等一系列問(wèn)題。

如果災(zāi)備系統(tǒng)已被勒索軟件攻擊,存在大量被損毀的文件,卻盲目地完成備份和容災(zāi)任務(wù)、恢復(fù)“臟數(shù)據(jù)”,反而會(huì)加重感染范圍,造成恢復(fù)后的系統(tǒng)仍無(wú)法正常使用,部分企業(yè)即使有備份,仍然被迫支付贖金的后果。

另一方面,傳統(tǒng)災(zāi)備系統(tǒng)需要數(shù)天甚至數(shù)周的恢復(fù)時(shí)間,無(wú)法滿(mǎn)足快速恢復(fù)的應(yīng)急響應(yīng)需求,將業(yè)務(wù)中斷的損失降至最低。

建立網(wǎng)絡(luò)安全的防線

為了更好地應(yīng)對(duì)勒索軟件襲擊,企業(yè)究竟應(yīng)該如何制定有效的應(yīng)對(duì)策略呢?

首先,企業(yè)要識(shí)別企業(yè)的重要數(shù)據(jù)并進(jìn)行分類(lèi)和分級(jí),確定備份的范圍和內(nèi)容,并設(shè)定RTO(恢復(fù)時(shí)間目標(biāo))和RPO(恢復(fù)點(diǎn))指標(biāo)。關(guān)于備份覆蓋范圍,有兩部分?jǐn)?shù)據(jù)常常被忽視:終端設(shè)備和大數(shù)據(jù)系統(tǒng)。

在終端設(shè)備,比如筆記本、臺(tái)式機(jī)上,常常存放著一些重要的記錄和文檔;而對(duì)大數(shù)據(jù)平臺(tái),現(xiàn)在很多企業(yè)已經(jīng)將數(shù)據(jù)分析作為其生產(chǎn)運(yùn)營(yíng)的一部分,一旦數(shù)據(jù)丟失,信息重新生成將耗費(fèi)大量時(shí)間。對(duì)其中的關(guān)鍵數(shù)據(jù),應(yīng)將通過(guò)備份加以保護(hù)。

其次,企業(yè)要根據(jù)不同類(lèi)型、不同級(jí)別數(shù)據(jù)進(jìn)行保護(hù)的要求,制定相應(yīng)的備份計(jì)劃,確定各種數(shù)據(jù)的備份頻率和定義備份窗口,并選用可以滿(mǎn)足需求的備份技術(shù)。

第三,對(duì)常被忽視的備份數(shù)據(jù)進(jìn)行管理。如果備份出來(lái)的數(shù)據(jù)遭到破壞,或者備份數(shù)據(jù)保留期限過(guò)短,當(dāng)真正需要恢復(fù)的時(shí)候,將發(fā)生沒(méi)有可用備份數(shù)據(jù)的情況。

所以一定要保證備份數(shù)據(jù)的安全,包括多份拷貝、離線副本、防篡改、異地存放等等,同時(shí)要設(shè)置合理的數(shù)據(jù)保留策略,足以應(yīng)對(duì)潛伏較長(zhǎng)時(shí)間的勒索軟件的攻擊。

第四,在恢復(fù)方面,企業(yè)應(yīng)基于業(yè)務(wù)需求,對(duì)重要系統(tǒng)及數(shù)據(jù)定期考慮執(zhí)行在線、離線雙重備份,確保網(wǎng)絡(luò)遭受攻擊時(shí)可利用離線備份數(shù)據(jù)恢復(fù)業(yè)務(wù);同時(shí),選擇可以滿(mǎn)足RTO指標(biāo)的數(shù)據(jù)恢復(fù)手段和恢復(fù)策略,定期進(jìn)行備份數(shù)據(jù)的驗(yàn)證和恢復(fù)演練。

并把數(shù)據(jù)恢復(fù)相應(yīng)的應(yīng)急預(yù)案作為企業(yè)災(zāi)難恢復(fù)計(jì)劃的一部分進(jìn)行制定、管理和執(zhí)行。

最后,企業(yè)應(yīng)搭建符合自身業(yè)務(wù)體量和安全要求的新一代安全技術(shù)架構(gòu),精準(zhǔn)分析、精細(xì)部署并精確配置各類(lèi)安全產(chǎn)品,通過(guò)在網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)、環(huán)節(jié)中,對(duì)異常操作、威脅性行為及安全事件進(jìn)行實(shí)時(shí)監(jiān)測(cè)、報(bào)警、攔截和阻斷,為企業(yè)建立網(wǎng)絡(luò)的防線,提升縱深防御的安全技術(shù)能力,最大限度地抵御來(lái)自外部的攻擊。

企業(yè)還要基于其安全架構(gòu)設(shè)計(jì)和成本效益分析的結(jié)果,在品類(lèi)繁多、功能側(cè)重點(diǎn)不同的安全產(chǎn)品中,有效選擇并部署最貼合實(shí)際需求的安全產(chǎn)品組合,改善產(chǎn)品應(yīng)用泛濫但配置粗放的現(xiàn)狀。

勒索軟件攻擊無(wú)處不在,它們是加密綁匪、是數(shù)據(jù)盜賊、是狡詐騙徒,時(shí)刻算計(jì)企業(yè)的金錢(qián)和數(shù)據(jù)。近六年來(lái),勒索軟件攻擊一路狂飆,“勒索病毒+供應(yīng)鏈漏洞”的結(jié)合等新型攻擊方式已然出現(xiàn)。

在不斷的進(jìn)化中,勒索軟件攻擊已成為無(wú)法單防的數(shù)據(jù)疾病,需要眾多勒索軟件防護(hù)技術(shù)合縱聯(lián)合應(yīng)用,共同提升企業(yè)勒索防護(hù)能力。

這也啟示著各行各業(yè)的安全從業(yè)者,要不斷修煉技術(shù)與能力,以找到合適的應(yīng)對(duì)方案,企業(yè)與安全廠商需要攜手從源頭把安全縱深防御的基線筑牢、構(gòu)筑內(nèi)生免疫能力,并通過(guò)勒索病毒防治方案“加強(qiáng)針”實(shí)現(xiàn)對(duì)勒索攻擊的免疫。

【關(guān)于科技云報(bào)道】

專(zhuān)注于原創(chuàng)的企業(yè)級(jí)內(nèi)容行家——科技云報(bào)道。成立于2015年,是前沿企業(yè)級(jí)IT領(lǐng)域Top10媒體。獲工信部權(quán)威認(rèn)可,可信云、全球云計(jì)算大會(huì)官方指定傳播媒體之一。深入原創(chuàng)報(bào)道云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等領(lǐng)域。

免責(zé)聲明:此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章,所有文字和圖片版權(quán)歸作者所有,且僅代表作者個(gè)人觀點(diǎn),與極客網(wǎng)無(wú)關(guān)。文章僅供讀者參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱:editor@fromgeek.com。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

2023-11-20
全球勒索攻擊創(chuàng)歷史新高,如何建立網(wǎng)絡(luò)安全的防線?
科技云報(bào)道原創(chuàng)。最簡(jiǎn)單的方式,往往是最有效的,勒索軟件攻擊就屬于這類(lèi)。近兩年,隨著人類(lèi)社會(huì)加速向數(shù)字世界進(jìn)化,勒索軟件攻擊成為網(wǎng)絡(luò)...

長(zhǎng)按掃碼 閱讀全文