[[399394]]

安全事件

5月9日，美國交通部發(fā)布一份“區(qū)域緊急狀態(tài)聲明”，美國最大燃油管道運營商Colonial Pipeline因受勒索軟件攻擊，被迫臨時關(guān)閉其美國東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò)。此次勒索攻擊使美國三個區(qū)域受到了斷油的影響，共涉及17個州。這是美國首次因網(wǎng)絡(luò)攻擊事件而進入國家緊急狀態(tài)，這次事件也敲響了關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的警鐘。

起因探尋

5月7日，美國最大燃油管道商Colonial Pipeline遭到網(wǎng)絡(luò)勒索軟件攻擊。

之后，Colonial Pipeline發(fā)表聲明、已經(jīng)對關(guān)鍵系統(tǒng)作了斷網(wǎng)處理，關(guān)閉所有的管道作業(yè)及部分的IT系統(tǒng)，以避免勒索軟件的感染范圍持續(xù)蔓延，并聘請第三方專家來調(diào)查此次事件牽涉的范圍，同時知會相關(guān)機關(guān)請求幫助。

5月10日，黑客組織DarkSide在其官網(wǎng)發(fā)布聲明，承認攻擊了Colonial Pipeline。據(jù)BBC進一步的報道，DarkSide不僅滲透了Colonial Pipeline網(wǎng)絡(luò)、加密了系統(tǒng)檔案，還下載了近100GB的資料作為威脅。

DarkSide是一個新的組織，但是它在勒索業(yè)務(wù)上早已輕車熟路。去年8月，DarkSide發(fā)布了勒索軟件Ransomware。該軟件不僅勒索了大筆的贖金，還通過設(shè)置外泄資料系統(tǒng)向受害者展示所竊取的資料，造成受害者的恐慌。

類似的事件

近年來，針對關(guān)鍵基礎(chǔ)設(shè)施的勒索攻擊層出不窮，勒索金額越發(fā)龐大，造成的危害日益嚴重，影響更為廣泛深遠。

2020年4月，葡萄牙跨國能源公司EDP遭到勒索軟件攻擊。EDP集團是歐洲能源行業(yè)(天然氣和電力)最大的運營商之一，也是世界第四大風(fēng)能生產(chǎn)商，在全球四個大洲的19個國家/地區(qū)擁有業(yè)務(wù)。勒索軟件的攻擊者聲稱，已獲取EDP公司10TB的敏感數(shù)據(jù)文件，向EDP公司索要了約1090萬美元。

此外，2020年七月中旬，阿根廷電信被REvil勒索750萬美元贖金，REvil短短一周內(nèi)便感染超過18000臺計算機，REvil稱如果阿根廷電信公司三天內(nèi)不支付贖金，價格便會翻倍。

有報告稱：“勒索軟件攻擊者明白被攻擊后的時間對于企業(yè)來說有多寶貴，他們一直在想辦法讓勒索攻擊的獲利最大化。”在未來很長一段時間內(nèi)，勒索病毒仍會是企業(yè)安全的頭號敵人。

勒索病毒具有極強的隱蔽性。攻擊者很多都是利用未知漏洞、自定義工具、或者社工、釣魚等方式獲取系統(tǒng)管理員賬號和權(quán)限，憑借合法身份、正常操作實施入侵，使得傳統(tǒng)的安全防御手段失效，企業(yè)無法及時發(fā)現(xiàn)并有效應(yīng)對威脅。目前，該攻擊具有以下特點：

(1) 攻擊對象精準化

攻擊對象可定位到具體的政府、企業(yè)和個人，控制的數(shù)據(jù)對象從普通的用戶數(shù)據(jù)、計算機文件到與稅務(wù)、金融相關(guān)的文件。

(2) 感染方式多樣化

勒索軟件主要利用操作系統(tǒng)、智能終端系統(tǒng)的固有漏洞或計算機設(shè)備后門等為通道，進行大范圍感染傳播。

(3) 勒索模式服務(wù)化

勒索軟件的使用者由最初的編寫者變?yōu)槿缃竦牡谌剑撮_發(fā)者為第三方提供勒索軟件，后者支付一定費用或者將勒索所得的一部分返回來變現(xiàn)?，F(xiàn)在這種勒索軟件 DIY 套件在地下黑市和論壇中隨處可見，所以即使不懂技術(shù)的犯罪分子也可以使用勒索軟件進行網(wǎng)絡(luò)勒索。

針對勒索軟件的攻擊我們能做什么

勒索病毒的攻擊雖然強勢，然而并不是攻無不克。面對勒索軟件，企業(yè)需要強化互聯(lián)網(wǎng)內(nèi)部環(huán)境，向整體化防御和智能化響應(yīng)轉(zhuǎn)變，實現(xiàn)“安全防御-監(jiān)測預(yù)警-威脅感知-聯(lián)動處置”的安全運營閉環(huán)。以下是一些參考建議：

(1) 加強網(wǎng)絡(luò)邊界防護力度

深度聚合零信任框架，在互聯(lián)網(wǎng)環(huán)境內(nèi)部署身份認證管理系統(tǒng)，對所有訪問請求進行持續(xù)性加密、認證和強制授權(quán)，實現(xiàn)基于身份的動態(tài)管控，提升安全防護，由被動防御轉(zhuǎn)為主動防御。

(2) 采用基于行為的攻擊檢測解決方案

采用部署蜜罐等基于行為的攻擊檢測解決方案，通過在內(nèi)外網(wǎng)中一鍵署高仿真蜜標、蜜罐和自定義蜜網(wǎng)，實時監(jiān)測惡意代碼、APT等網(wǎng)絡(luò)攻擊，及時感知勒索病毒的入侵、擴散、執(zhí)行等各個環(huán)節(jié)，并及時告警，不斷地提升網(wǎng)絡(luò)邊界的防護功能;

(3) 建立應(yīng)急機制建設(shè)

企業(yè)需建設(shè)緊急事件的防范和處置體系，定期開展預(yù)案演練，推進突發(fā)事件預(yù)測預(yù)警、信息報告、應(yīng)急響應(yīng)、應(yīng)急處置和調(diào)查評估機制的實戰(zhàn)能力。在系統(tǒng)上建立威脅情報，依托于大數(shù)據(jù)分析和機器學(xué)習(xí)技術(shù)對攻擊行為進行關(guān)聯(lián)分析，聯(lián)動用戶的其他安全設(shè)備對攻擊者進行聯(lián)動阻斷，形成協(xié)同的安全監(jiān)控響應(yīng)一體防御方案，防止勒索軟件的擴散。

(4) 建設(shè)專業(yè)安全服務(wù)團隊，強化網(wǎng)絡(luò)安全人才隊伍建設(shè)

建設(shè)一支專業(yè)化安全服務(wù)團隊，面向企業(yè)領(lǐng)導(dǎo)、相關(guān)部門主要負責(zé)人和企業(yè)員工，定期組織開展網(wǎng)絡(luò)安全防護培訓(xùn)，提高全員網(wǎng)絡(luò)安全防范意識。