集體啞火的網(wǎng)絡(luò)安全服務(wù)商

網(wǎng)絡(luò)安全廠商幾乎掃平了電腦病毒,但面對勒索軟件往往無可奈何。

一方面,“人”是勒索軟件的幫兇。

勒索軟件入侵電腦的途徑主要有四種:系統(tǒng)漏洞、釣魚郵件、垃圾廣告和U盤病毒,后三種都需要人為介入——企業(yè)員工打開來源不明的郵件、點擊不安全的鏈接,或是把被感染的U盤插入公司電腦,都會幫助勒索團隊越過安防系統(tǒng),入侵公司[17]。

其中,利用“社工”原理郵件釣魚,是最常見的入侵途徑。

如果你是一名企業(yè)助理,那你一定收到這種郵件——它假裝成你的老板,用命令的口吻要求你向這個郵箱發(fā)送機密文件,或者向指定賬戶匯款,即便老板此時可能就在你工位對面。這就是社工釣魚郵件。

幾封顯而易見的釣魚郵件

亞信安全數(shù)據(jù)顯示,91%的定向攻擊始于社工釣魚郵件。這些郵件通常偽裝成訂單、工資單、發(fā)票等,讓人防不勝防[18]。企業(yè)員工眾多,但凡有一名員工疏忽,勒索團伙就會通過橫向感染,接管整個企業(yè)的系統(tǒng)[19]。

網(wǎng)絡(luò)安全廠商能夠應(yīng)付來自外部的破壞,卻沒法控制每一位員工的鼠標(biāo)。騰訊安全玄武實驗室負責(zé)人于旸認為,“企業(yè)的人員是流動的,一些安全意識弱的新員工可能會打破原本的安全體系。”[20]

因此,“人”成了企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中最薄弱的環(huán)節(jié)。

另一方面,病毒的攻擊方式不斷變化,傳統(tǒng)反入侵工具收效甚微。

網(wǎng)絡(luò)攻防不是靜態(tài)的。于旸舉例解釋,“可能今天企業(yè)把安全做到了95分,攻擊者那邊是90分,他便攻不進來,但對方不可能永遠是90分。”每個月甚至每天有新的攻擊技術(shù)、有新的漏洞出現(xiàn),這些都會讓分數(shù)向攻擊者傾斜。

比如,2020年新出現(xiàn)的勒索軟件,大多采用無文件攻擊策略。攻擊者在利用這種技術(shù)實施攻擊時,無需在磁盤上寫入惡意文件,可以避免傳統(tǒng)安全軟件的檢測,讓大多數(shù)安全軟件“啞火”[21]。

微步在線木馬研究團隊負責(zé)人也告訴放大燈團隊,最新的勒索軟件采用了一些提升權(quán)限的技術(shù),能夠加密重要的系統(tǒng)文件,還會利用Windows系統(tǒng)中某些特殊端口,提高加密文件的速度,增加了防控難度。

該負責(zé)人表示,目前業(yè)界對于勒索軟件的防護更多地體現(xiàn)在預(yù)防和緩解上,如排查暴露在公網(wǎng)的資產(chǎn),提升相關(guān)人員安全意識等進行預(yù)防,一旦發(fā)現(xiàn)主機被勒索,可對相關(guān)主機進行隔離,防止勒索軟件通過內(nèi)網(wǎng)橫移,攻陷更多主機。

近年,網(wǎng)絡(luò)安全公司也在加強檢測和響應(yīng)能力,以應(yīng)對勒索軟件。

瑞星、奇安信、微步在線等公司用于防御勒索軟件的產(chǎn)品,都能起到較好的事前防御作用,但這仍無法根治勒索軟件。

終端響應(yīng)技術(shù)有望改變這種局面。終端響應(yīng)即在終端通過威脅情報、文件檢測引擎與全攻擊鏈路行為分析等技術(shù)手段,能夠精準(zhǔn)發(fā)現(xiàn)并及時告警、阻斷入侵行為。但是目前業(yè)界在勒索軟件“運行時”的檢測及響應(yīng)上,尚缺乏完善的方案,才讓人有了‘安全軟件不行’的印象。”微步在線木馬研究團隊負責(zé)人解釋。

但勒索團伙為什么偏愛美國呢?

感謝央行、感謝內(nèi)網(wǎng)

美國的互聯(lián)網(wǎng)行業(yè)在全球首屈一指,但受勒索軟件攻擊也最嚴重。

根據(jù)SonicWall在2021年的調(diào)查,全球勒索軟件受災(zāi)國Top 10中,美國位居第一,是其他九個國家的總和[22]。

一名前安全行業(yè)從業(yè)者告訴放大燈團隊(ID:guokr233),美國互聯(lián)網(wǎng)公司技術(shù)發(fā)達,但傳統(tǒng)企業(yè)的代碼老化嚴重,而且只能跑就不改,導(dǎo)致多年前的漏洞一直存在。

美國的市政部門也有同樣的缺陷,包括舊金山在內(nèi)的美國大量市政府,至今仍在用上世紀(jì)80年代的軟件控制交通燈、車輛登記、法庭記錄和財產(chǎn)稅,極易遭黑客入侵[23]。另外,大多數(shù)美國關(guān)鍵基礎(chǔ)設(shè)施都歸私人企業(yè)所有,而國家沒有相應(yīng)鼓勵措施,多數(shù)公共事業(yè)公司也都沒有實施網(wǎng)絡(luò)安全監(jiān)控。一旦發(fā)生危機,私人公司無力應(yīng)對[24]。

中國同樣是勒索軟件攻擊的重災(zāi)地。根據(jù)卡巴斯基的統(tǒng)計,2020年下半年,中國大陸有48．4%的工業(yè)控制系統(tǒng)計算機遭到攻擊,位居全球第九[25]。但為什么很少聽說國內(nèi)有大型勒索事件?

國內(nèi)外企業(yè)數(shù)字化水平的差異是一個重要原因。翼盾智能和第五空間研究院創(chuàng)始人朱易翔認為,國外總體數(shù)字化程度更高,對互聯(lián)網(wǎng)的依賴性更大[20]。

雖然國內(nèi)傳統(tǒng)企業(yè)因數(shù)字化水平偏弱躲過一劫,但也不能心存僥幸。實際上,國內(nèi)數(shù)字化水平較高的企業(yè),也有應(yīng)對之法。

首先,國內(nèi)企業(yè)的安全意識相當(dāng)高。

國內(nèi)中大型企業(yè),都有自己的安全中心,安全策略跟進速度快,能夠把大部分勒索攻擊拒之門外。而一般小公司若無機密數(shù)據(jù),出了事也不在乎。數(shù)字化轉(zhuǎn)型后的企業(yè),會定期備份數(shù)據(jù),一旦遭遇勒索,只要從云端恢復(fù)即可。

備份能夠幫助企業(yè)免于支付贖金| 圖源:[26]

另外,國內(nèi)加密貨幣支付困難,成了勒索團伙的掣肘。

加密貨幣交易的安全性和匿名性,給司法部門追查帶來很大難度,這助長了勒索軟件的氣焰[27]。區(qū)塊鏈數(shù)據(jù)平臺ChainAlysis數(shù)據(jù)顯示,2021年勒索軟件受害者支付的加密貨幣總金額增加了 311%,約合近 3．5 億美元,占加密貨幣總交易金額的 7% 左右[28]。

而國內(nèi)加密貨幣交易一直受到有關(guān)部門監(jiān)管、監(jiān)控加密貨幣最近流向[29],甚至在近年5月,中國央行聯(lián)合中國互聯(lián)網(wǎng)金融協(xié)會、中國銀行業(yè)協(xié)會等部門“封殺”加密貨幣。這些本為打擊炒作活動的政策,無意中遏制了勒索軟件對中國企業(yè)的影響。

最后,國內(nèi)政府、政企的內(nèi)外網(wǎng)分離方案。

這些企業(yè)為了防止內(nèi)部核心數(shù)據(jù)泄露,會將企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離,把內(nèi)部數(shù)據(jù)“困在”內(nèi)部網(wǎng)絡(luò),同時還能屏蔽來自外部網(wǎng)絡(luò)的攻擊[30]。

即便如此,勒索軟件仍不可小覷。

隨著技術(shù)發(fā)展,互聯(lián)網(wǎng)已不再是單純用于娛樂和生產(chǎn)的工具。利用IoT等技術(shù),用戶可以通過互聯(lián)網(wǎng)控制各種電子設(shè)備。這也意味著,如果你的手機、電腦被黑客入侵,他也同樣可以控制你家里的電子門鎖或者窗鎖,用你的人身安全威脅你支付巨額贖金。

如果你有一些特殊癖好,用上了增進情趣的IoT“小玩具”,那也有危險,你很可能已被不懷好意的黑客盯上,這事兒可是有先例——

圖源:[31]

如果這些還只算是少數(shù)人的小愛好,那么請設(shè)想一下,影響未來大多數(shù)人生活的自動駕駛被黑,會是怎么驚悚場面——你正坐在時速120km的自動駕駛車上,收到了勒索軟件的信息:支付100萬,否則汽車會沖下高速。

這時候,除了付錢,你還有得選嗎?

References:

[1] Reuters Staff． 白宮警告企業(yè)加強網(wǎng)絡(luò)安全措施,防范勒索軟件攻擊 2021．6．3 

[2] Carrie Mihalcik, Richard Nieva． Google, Amazon, Microsoft unveil massive cybersecurity initiatives after White House meeting 2021．8．25 

[3] Andrea Shalal． U．S． to work with Big Tech, finance sector on new cybersecurity guidelines 2021．8．26 

[4] 獵影實驗室． 2021年上半年全球勒索軟件趨勢報告 2021．6．25 

[5] The State of Ransomware 2021 

[6] AIDS(Trojan horse) 

[7] 專題|勒索軟件簡史 2017．5．19 

[8] nana． 勒索軟件新常態(tài) 2019．3．25 

[9] Ghosh, Agamoni． 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools． International Business Times UK． April 9, 2017

[10] Unit 42勒索軟件威脅報告:2020年勒索軟件的平均贖金增加近兩倍達31萬2493美元 2021．3．18 

[11] Richard Lawler． Kaseya ransomware attackers demand $70 million, claim they infected over a million devices 2021．7．5 

[12] Further_eye． 2020上半年勒索軟件洞察報告 2020．9．21 

[13] 張瑩． 新聞分析:勒索軟件威脅有何新特點 2021．7．8 

[14] Internet Organised Crime Threat Assessment (IOCTA) 2020 

[15] 小二郎． “大流行”中的“大流行”:勒索軟件即服務(wù)(RaaS)犯罪團伙大起底 2020．12．19

[16] Check Point 研究顯示:與 2020 年初相比,今年全球遭受勒索軟件攻擊的組織增加 102% 2021．5．17

[17] Kriston． 企業(yè)組織易受勒索軟件攻擊的10大原因 2019．11．25 

[18] 郵件安全 | 商業(yè)電子郵件詐騙(BEC),真假難辨又屢屢得手?2021．7．30 

[19] 網(wǎng)絡(luò)攻擊最佳CP!勒索軟件聯(lián)手網(wǎng)絡(luò)釣魚再“奪冠” 2021．8．3

[20] 騰訊勒索病毒媒體溝通會

[21] Alpha_h4ck． 技術(shù)分析 | 淺析無文件攻擊 2018．12．18 

[22] 2021年上半年3億多次勒索軟件攻擊量創(chuàng)紀(jì)錄,已超2020全年數(shù)據(jù)——青少年網(wǎng)絡(luò)安全教育 

[23] 舊金山等一些美國城市仍在使用老化的軟件來滿足市政需求 2019．3．4 

[24] 宋欣儀． 醫(yī)療郵政銀行癱瘓三周后,佛羅里達兩城市接連向黑客屈服,支付超百萬比特幣贖金 2019．6．27

[25] Threat landscape for industrial automation systems． Statistics for H2 2020 2021．3．25 

[26] 面對勒索軟件,除了交贖金,還能怎么辦?——我們有11個建議給你 2016．12．1 

[27] 網(wǎng)絡(luò)安全專家稱加密貨幣助長了勒索軟件攻擊 2021．6．11 

[28] Ransomware Skyrocketed in 2020, But There May Be Fewer Culprits Than You Think 

[29] Wolfie Zhao． 中國央行開始監(jiān)控虛擬貨幣資金流向 2018．2．28 

[30] 顧娟． 企業(yè)內(nèi)外網(wǎng)分離方案是什么?2020．4．27 

[31] Lorenzo Franceschi-Bicchierai． ‘Your Cock Is Mine Now:’ Hacker Locks Internet-Connected Chastity Cage, Demands Ransom 2021．1．11