集體啞火的網(wǎng)絡(luò)安全服務(wù)商

網(wǎng)絡(luò)安全廠商幾乎掃平了電腦病毒,但面對(duì)勒索軟件往往無(wú)可奈何。

一方面,“人”是勒索軟件的幫兇。

勒索軟件入侵電腦的途徑主要有四種:系統(tǒng)漏洞、釣魚郵件、垃圾廣告和U盤病毒,后三種都需要人為介入——企業(yè)員工打開來(lái)源不明的郵件、點(diǎn)擊不安全的鏈接,或是把被感染的U盤插入公司電腦,都會(huì)幫助勒索團(tuán)隊(duì)越過(guò)安防系統(tǒng),入侵公司[17]。

其中,利用“社工”原理郵件釣魚,是最常見(jiàn)的入侵途徑。

如果你是一名企業(yè)助理,那你一定收到這種郵件——它假裝成你的老板,用命令的口吻要求你向這個(gè)郵箱發(fā)送機(jī)密文件,或者向指定賬戶匯款,即便老板此時(shí)可能就在你工位對(duì)面。這就是社工釣魚郵件。

幾封顯而易見(jiàn)的釣魚郵件

亞信安全數(shù)據(jù)顯示,91%的定向攻擊始于社工釣魚郵件。這些郵件通常偽裝成訂單、工資單、發(fā)票等,讓人防不勝防[18]。企業(yè)員工眾多,但凡有一名員工疏忽,勒索團(tuán)伙就會(huì)通過(guò)橫向感染,接管整個(gè)企業(yè)的系統(tǒng)[19]。

網(wǎng)絡(luò)安全廠商能夠應(yīng)付來(lái)自外部的破壞,卻沒(méi)法控制每一位員工的鼠標(biāo)。騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸認(rèn)為,“企業(yè)的人員是流動(dòng)的,一些安全意識(shí)弱的新員工可能會(huì)打破原本的安全體系�！盵20]

因此,“人”成了企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中最薄弱的環(huán)節(jié)。

另一方面,病毒的攻擊方式不斷變化,傳統(tǒng)反入侵工具收效甚微。

網(wǎng)絡(luò)攻防不是靜態(tài)的。于旸舉例解釋,“可能今天企業(yè)把安全做到了95分,攻擊者那邊是90分,他便攻不進(jìn)來(lái),但對(duì)方不可能永遠(yuǎn)是90分�！泵總�(gè)月甚至每天有新的攻擊技術(shù)、有新的漏洞出現(xiàn),這些都會(huì)讓分?jǐn)?shù)向攻擊者傾斜。

比如,2020年新出現(xiàn)的勒索軟件,大多采用無(wú)文件攻擊策略。攻擊者在利用這種技術(shù)實(shí)施攻擊時(shí),無(wú)需在磁盤上寫入惡意文件,可以避免傳統(tǒng)安全軟件的檢測(cè),讓大多數(shù)安全軟件“啞火”[21]。

微步在線木馬研究團(tuán)隊(duì)負(fù)責(zé)人也告訴放大燈團(tuán)隊(duì),最新的勒索軟件采用了一些提升權(quán)限的技術(shù),能夠加密重要的系統(tǒng)文件,還會(huì)利用Windows系統(tǒng)中某些特殊端口,提高加密文件的速度,增加了防控難度。

該負(fù)責(zé)人表示,目前業(yè)界對(duì)于勒索軟件的防護(hù)更多地體現(xiàn)在預(yù)防和緩解上,如排查暴露在公網(wǎng)的資產(chǎn),提升相關(guān)人員安全意識(shí)等進(jìn)行預(yù)防,一旦發(fā)現(xiàn)主機(jī)被勒索,可對(duì)相關(guān)主機(jī)進(jìn)行隔離,防止勒索軟件通過(guò)內(nèi)網(wǎng)橫移,攻陷更多主機(jī)。

近年,網(wǎng)絡(luò)安全公司也在加強(qiáng)檢測(cè)和響應(yīng)能力,以應(yīng)對(duì)勒索軟件。

瑞星、奇安信、微步在線等公司用于防御勒索軟件的產(chǎn)品,都能起到較好的事前防御作用,但這仍無(wú)法根治勒索軟件。

終端響應(yīng)技術(shù)有望改變這種局面。終端響應(yīng)即在終端通過(guò)威脅情報(bào)、文件檢測(cè)引擎與全攻擊鏈路行為分析等技術(shù)手段,能夠精準(zhǔn)發(fā)現(xiàn)并及時(shí)告警、阻斷入侵行為。但是目前業(yè)界在勒索軟件“運(yùn)行時(shí)”的檢測(cè)及響應(yīng)上,尚缺乏完善的方案,才讓人有了‘安全軟件不行’的印象�！蔽⒉皆诰�木馬研究團(tuán)隊(duì)負(fù)責(zé)人解釋。

但勒索團(tuán)伙為什么偏愛(ài)美國(guó)呢?

感謝央行、感謝內(nèi)網(wǎng)

美國(guó)的互聯(lián)網(wǎng)行業(yè)在全球首屈一指,但受勒索軟件攻擊也最嚴(yán)重。

根據(jù)SonicWall在2021年的調(diào)查,全球勒索軟件受災(zāi)國(guó)Top 10中,美國(guó)位居第一,是其他九個(gè)國(guó)家的總和[22]。

一名前安全行業(yè)從業(yè)者告訴放大燈團(tuán)隊(duì)(ID:guokr233),美國(guó)互聯(lián)網(wǎng)公司技術(shù)發(fā)達(dá),但傳統(tǒng)企業(yè)的代碼老化嚴(yán)重,而且只能跑就不改,導(dǎo)致多年前的漏洞一直存在。

美國(guó)的市政部門也有同樣的缺陷,包括舊金山在內(nèi)的美國(guó)大量市政府,至今仍在用上世紀(jì)80年代的軟件控制交通燈、車輛登記、法庭記錄和財(cái)產(chǎn)稅,極易遭黑客入侵[23]。另外,大多數(shù)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施都?xì)w私人企業(yè)所有,而國(guó)家沒(méi)有相應(yīng)鼓勵(lì)措施,多數(shù)公共事業(yè)公司也都沒(méi)有實(shí)施網(wǎng)絡(luò)安全監(jiān)控。一旦發(fā)生危機(jī),私人公司無(wú)力應(yīng)對(duì)[24]。

中國(guó)同樣是勒索軟件攻擊的重災(zāi)地。根據(jù)卡巴斯基的統(tǒng)計(jì),2020年下半年,中國(guó)大陸有48．4%的工業(yè)控制系統(tǒng)計(jì)算機(jī)遭到攻擊,位居全球第九[25]。但為什么很少聽說(shuō)國(guó)內(nèi)有大型勒索事件?

國(guó)內(nèi)外企業(yè)數(shù)字化水平的差異是一個(gè)重要原因。翼盾智能和第五空間研究院創(chuàng)始人朱易翔認(rèn)為,國(guó)外總體數(shù)字化程度更高,對(duì)互聯(lián)網(wǎng)的依賴性更大[20]。

雖然國(guó)內(nèi)傳統(tǒng)企業(yè)因數(shù)字化水平偏弱躲過(guò)一劫,但也不能心存僥幸。實(shí)際上,國(guó)內(nèi)數(shù)字化水平較高的企業(yè),也有應(yīng)對(duì)之法。

首先,國(guó)內(nèi)企業(yè)的安全意識(shí)相當(dāng)高。

國(guó)內(nèi)中大型企業(yè),都有自己的安全中心,安全策略跟進(jìn)速度快,能夠把大部分勒索攻擊拒之門外。而一般小公司若無(wú)機(jī)密數(shù)據(jù),出了事也不在乎。數(shù)字化轉(zhuǎn)型后的企業(yè),會(huì)定期備份數(shù)據(jù),一旦遭遇勒索,只要從云端恢復(fù)即可。

備份能夠幫助企業(yè)免于支付贖金| 圖源:[26]

另外,國(guó)內(nèi)加密貨幣支付困難,成了勒索團(tuán)伙的掣肘。

加密貨幣交易的安全性和匿名性,給司法部門追查帶來(lái)很大難度,這助長(zhǎng)了勒索軟件的氣焰[27]。區(qū)塊鏈數(shù)據(jù)平臺(tái)ChainAlysis數(shù)據(jù)顯示,2021年勒索軟件受害者支付的加密貨幣總金額增加了 311%,約合近 3．5 億美元,占加密貨幣總交易金額的 7% 左右[28]。

而國(guó)內(nèi)加密貨幣交易一直受到有關(guān)部門監(jiān)管、監(jiān)控加密貨幣最近流向[29],甚至在近年5月,中國(guó)央行聯(lián)合中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)、中國(guó)銀行業(yè)協(xié)會(huì)等部門“封殺”加密貨幣。這些本為打擊炒作活動(dòng)的政策,無(wú)意中遏制了勒索軟件對(duì)中國(guó)企業(yè)的影響。

最后,國(guó)內(nèi)政府、政企的內(nèi)外網(wǎng)分離方案。

這些企業(yè)為了防止內(nèi)部核心數(shù)據(jù)泄露,會(huì)將企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離,把內(nèi)部數(shù)據(jù)“困在”內(nèi)部網(wǎng)絡(luò),同時(shí)還能屏蔽來(lái)自外部網(wǎng)絡(luò)的攻擊[30]。

即便如此,勒索軟件仍不可小覷。

隨著技術(shù)發(fā)展,互聯(lián)網(wǎng)已不再是單純用于娛樂(lè)和生產(chǎn)的工具。利用IoT等技術(shù),用戶可以通過(guò)互聯(lián)網(wǎng)控制各種電子設(shè)備。這也意味著,如果你的手機(jī)、電腦被黑客入侵,他也同樣可以控制你家里的電子門鎖或者窗鎖,用你的人身安全威脅你支付巨額贖金。

如果你有一些特殊癖好,用上了增進(jìn)情趣的IoT“小玩具”,那也有危險(xiǎn),你很可能已被不懷好意的黑客盯上,這事兒可是有先例——

圖源:[31]

如果這些還只算是少數(shù)人的小愛(ài)好,那么請(qǐng)?jiān)O(shè)想一下,影響未來(lái)大多數(shù)人生活的自動(dòng)駕駛被黑,會(huì)是怎么驚悚場(chǎng)面——你正坐在時(shí)速120km的自動(dòng)駕駛車上,收到了勒索軟件的信息:支付100萬(wàn),否則汽車會(huì)沖下高速。

這時(shí)候,除了付錢,你還有得選嗎?

References:

[1] Reuters Staff． 白宮警告企業(yè)加強(qiáng)網(wǎng)絡(luò)安全措施,防范勒索軟件攻擊 2021．6．3 

[2] Carrie Mihalcik, Richard Nieva． Google, Amazon, Microsoft unveil massive cybersecurity initiatives after White House meeting 2021．8．25 

[3] Andrea Shalal． U．S． to work with Big Tech, finance sector on new cybersecurity guidelines 2021．8．26 

[4] 獵影實(shí)驗(yàn)室． 2021年上半年全球勒索軟件趨勢(shì)報(bào)告 2021．6．25 

[5] The State of Ransomware 2021 

[6] AIDS(Trojan horse) 

[7] 專題|勒索軟件簡(jiǎn)史 2017．5．19 

[8] nana． 勒索軟件新常態(tài) 2019．3．25 

[9] Ghosh, Agamoni． 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools． International Business Times UK． April 9, 2017

[10] Unit 42勒索軟件威脅報(bào)告:2020年勒索軟件的平均贖金增加近兩倍達(dá)31萬(wàn)2493美元 2021．3．18 

[11] Richard Lawler． Kaseya ransomware attackers demand $70 million, claim they infected over a million devices 2021．7．5 

[12] Further_eye． 2020上半年勒索軟件洞察報(bào)告 2020．9．21 

[13] 張瑩． 新聞分析:勒索軟件威脅有何新特點(diǎn) 2021．7．8 

[14] Internet Organised Crime Threat Assessment (IOCTA) 2020 

[15] 小二郎． “大流行”中的“大流行”:勒索軟件即服務(wù)(RaaS)犯罪團(tuán)伙大起底 2020．12．19

[16] Check Point 研究顯示:與 2020 年初相比,今年全球遭受勒索軟件攻擊的組織增加 102% 2021．5．17

[17] Kriston． 企業(yè)組織易受勒索軟件攻擊的10大原因 2019．11．25 

[18] 郵件安全 | 商業(yè)電子郵件詐騙(BEC),真假難辨又屢屢得手?2021．7．30 

[19] 網(wǎng)絡(luò)攻擊最佳CP!勒索軟件聯(lián)手網(wǎng)絡(luò)釣魚再“奪冠” 2021．8．3

[20] 騰訊勒索病毒媒體溝通會(huì)

[21] Alpha_h4ck． 技術(shù)分析 | 淺析無(wú)文件攻擊 2018．12．18 

[22] 2021年上半年3億多次勒索軟件攻擊量創(chuàng)紀(jì)錄,已超2020全年數(shù)據(jù)——青少年網(wǎng)絡(luò)安全教育 

[23] 舊金山等一些美國(guó)城市仍在使用老化的軟件來(lái)滿足市政需求 2019．3．4 

[24] 宋欣儀． 醫(yī)療郵政銀行癱瘓三周后,佛羅里達(dá)兩城市接連向黑客屈服,支付超百萬(wàn)比特幣贖金 2019．6．27

[25] Threat landscape for industrial automation systems． Statistics for H2 2020 2021．3．25 

[26] 面對(duì)勒索軟件,除了交贖金,還能怎么辦?——我們有11個(gè)建議給你 2016．12．1 

[27] 網(wǎng)絡(luò)安全專家稱加密貨幣助長(zhǎng)了勒索軟件攻擊 2021．6．11 

[28] Ransomware Skyrocketed in 2020, But There May Be Fewer Culprits Than You Think 

[29] Wolfie Zhao． 中國(guó)央行開始監(jiān)控虛擬貨幣資金流向 2018．2．28 

[30] 顧娟． 企業(yè)內(nèi)外網(wǎng)分離方案是什么?2020．4．27 

[31] Lorenzo Franceschi-Bicchierai． ‘Your Cock Is Mine Now:’ Hacker Locks Internet-Connected Chastity Cage, Demands Ransom 2021．1．11