美國科洛尼爾管道運輸公司遭遇勒索病毒攻擊事件,在過去三個多月里引發了業界廣泛討論。同時,類似事件依然在世界范圍內接連上演,就連曾經當選全球年度安全業務頭名的世界IT巨頭埃森哲,也未能幸免。勒索攻擊今后發展趨勢如何?有哪些行之有效的防護手段?我國頻繁出臺政策法規加強網絡安全建設,對防范勒索病毒有什么積極作用?
圍繞上述話題,8月30日,北京賽博英杰科技有限公司創始人兼董事長譚曉生、中國石油網絡安全專家中心主任劉磊、騰訊安全技術中心專家李鐵軍、騰訊研究院產業安全中心主任翟尤四位行業專家齊聚“話說安全”節目,深入剖析了勒索病毒未來攻防之道。
勒索攻擊全面升級 短期內不會減弱
勒索病毒自2017年大規模爆發以來,始終未能得到有效遏制。李鐵軍表示:“由于虛擬幣市場的成熟,導致勒索攻擊行為越發難以追溯以及攻擊者受利益驅動,不斷升級攻擊手段等原因,勒索攻擊短期內難以看到減弱的趨勢。“
而針對勒索攻擊的未來發展,各位專家一致認為。相比之前WannaCry之類的勒索軟件無差別攻擊,勒索病毒呈現出非常明顯的APT趨勢,犯罪團伙往往以特大型、高價值的企業為目標。另外,SaaS化的服務進一步降低了勒索攻擊門檻,攻擊者正在通過供應鏈的形式合作起來,有人專門制作爆破工具,有人專門做傳播,有人專門負責收錢,形成了明顯的產業化趨勢;最后,除了勒索贖金,威脅曝光數據成了新的勒索手段。
此外,翟尤在研究勒索攻擊的時候發現,近期勒索攻擊開始瞄準網絡安全保險保額高的企業。而上了保險的企業,往往愿意把贖金通過保費的形式交付出去,容易導致惡性循環,這也從側面說明了勒索攻擊的威力,已經讓企業難以承受。
(左起分別為:騰訊研究院產業安全中心主任翟尤、騰訊安全技術中心專家李鐵軍、中國石油網絡安全專家中心主任劉磊及北京賽博英杰科技有限公司創始人兼董事長譚曉生)
勒索攻擊防御關鍵詞:備份、培訓、上云、安全前置
不斷強化的勒索攻擊,對安全防御能力提出了新的要求。劉磊從企業自身安全建設的角度分享了幾點經驗。首先,不論是對一般用戶還是關鍵崗位,都應該提出相應的安全意識要求。其次,在建設重要信息系統時,核心功能在設計階段就應該考慮彈性,比如數據備份、數據規范業務的連續性等。最后,對于最重要的系統要做好隔離,美國科洛尼爾公司之所以遭受嚴重損失,一個重要的原因就是信息系統和工控系統未實現隔離。
從網絡安全服務商的角度出發,李鐵軍認為上云是有效的防護手段。首先,目前絕大部分勒索病毒,都是針對Windows系統,公有云上的系統以Linux為主,雖不排除未來公有云勒索軟件暴增的可能,但現階段相對安全。
其次,公有云系統有專業安全團隊7*24小時監控云上攻擊活動,往往可以在攻擊的初始階段及時處置,從而大幅減少了發生系統癱瘓等災難性事件的概率。李鐵軍表示:“在公有云環境下,通過漏洞掃描、主機安全等產品,幫助用戶及時發現系統存在的漏洞,并進行修復,是防范勒索病毒的最核心工作;而當主機被入侵之后,病毒會主動向外擴散,這個階段需要防火墻等產品進行檢測、識別攻擊,阻斷橫向傳播,將損失控制在極小的范圍內。“
針對私有云環境,零信任是行業公認的解決方案之一;通過XDR的方式,讓企業所有的產品盡可能具備檢測和處置能力,也可以達到目的。但上述方案都需要很高的成本投入。“對中小企業來說,數據公開造成影響相對較小,應將重點放在員工安全意識的培訓以及數據備份兩方面。前者是成本最低且有效的防范方式;而數據備份可以將被鎖定或損壞的數據進行恢復,從而減少損失。“李鐵軍說道。
最后,從產業安全研究的角度出發,翟尤表示:“防范勒索病毒沒有特效藥,除了做好安全培訓和備份之外,也需要安全能力前置,把安全專家的能力量化、標準化,在信息系統建設規劃前期,就統籌考慮安全能力建設,再加上云或者零信任做補全手段,形成應對勒索攻擊的有效解決方案。“
加強網絡安全建設 體系化應對勒索攻擊
隨著網絡信息技術不斷向社會生產、生活滲透,包括勒索病毒在內的網絡安全問題帶來的風險也越來越嚴重。國家在維護網絡、數據安全方面也不斷有新法出臺。近日,國務院發布《關鍵信息基礎設施安全保護條例》更是對我國關鍵信息基礎設施安全保護工作提出了細致、明確的要求。
對此李鐵軍表示:“我國安全信息立法走在前面,倒逼企業做好安全工作,將有利于我國網絡安全水平的迅速提升。“翟尤也表達了類似的觀點,他認為企業提高數據安全和網絡安全的意識,可以使自身得到更好發展。“
此外,劉磊從防護體系建設的角度指出,《條例》頒布將促使國家網信部門、行業主管部門、運營者以及網絡安全服務商共同形成體系化作戰的態勢。“不管是關基保護,還是對抗勒索軟件攻擊,單一個產品能起多少作用,或者具備多長時間的生命力,都很難說,只有全方位的協同合作,才是根本的解決之道。”
勒索攻擊和普通的病毒入侵工具沒有明顯差別。從本質上來說,防御勒索攻擊是人與人之間的攻防對抗,這種對抗很可能是沒有盡頭。從相關執政部門到安全服務商再到企業自身,只有在對抗中不斷進化,才能建設全面、完善的安全防護體系。
