勒索软件攻击威胁和零信任解决之道
日期:2022年05月27日 阅:30
Covid-19疫情仍然在全球范围内肆虐,各行业除了应对疫情的持续冲击外,还面临着一种形态多样、高频化的“病毒”— 勒索软件,作为目前最具破坏力的恶意软件之一,勒索软件已经对全球制造、金融、能源、医疗、政府组织等关键领域造成严重影响。在某些事件中,攻击者挟持关键基础设施进而索要高额赎金,如2021年Darkside对燃油管道运营商科洛尼尔的勒索攻击导致美国于5月9日宣布18个州进入国家紧急状态,最终以支付赎金了结,而就在2022年5月8日,受到Conti勒索攻击的哥斯达黎加政府多个机构陷入瘫痪,新当选总统宣布全国进入紧急状态。勒索软件对现实世界的威胁加剧,已经成为全球广泛关注的网络安全难题。
勒索软件是一种极具传播性、破坏性的恶意软件,黑客用来劫持用户资产或资源,旨在加密和盗窃数据以勒索钱财。对于企业而言,被勒索的内容包括专有信息、客户信息、账户和支付详细信息或其他有价值的企业机密数据,一旦加密造成业务无法运行,数据泄露公布,将对企业造成巨大伤害。企业受到网络勒索攻击会遭受各个方面的损失,其中运营中断是最大的影响,平均停工时长为21天。
2021年,在所有网络攻击中,勒索软件是数量占比最多的威胁类型,占比量虽然从2020年的23%下降到2021年的21%,但是超过3年来仍然稳居第一。
勒索软件攻击处于所有网络攻击中的第一位,并且攻击总量逐年上升,2021年已达6.233亿,自2019年以来上升比率达到232%。
勒索攻击在2015年后进入高发期,由于2017年WannaCry勒索攻击全球大爆发而广为人知,该次攻击事件至少有150个国家的30万名用户受害,共计造成超过80亿美元的损失,如今,随着暗网、虚拟加密货币的兴起,受害者通常需要支付无法追踪的加密货币,攻击者的行踪更加隐匿,使得这种网络犯罪更加猖獗,而制造业和金融业仍然受到最多比例的攻击。
勒索软件导致的数据泄露规模、攻击破坏效果均呈现扩大趋势,且在多数情况下直接攻击受害者关键设施组件致其业务中断,赎金动辄在几百、数千万美元。除不可预测的赎金费用外,平均估算,受到勒索软件攻击的企业还需要付出462万美元成本用于支付检测评估、多方通告、业务损失和响应成本,尽管近年来,许多企业采购了网络安全保险,但仅能覆盖很小部分的损失。
2021年以来,勒索软件攻击持续活跃,有组织的勒索软件攻击愈发频繁,造成巨大的金钱损失和负面影响,以下将盘点近期全球发生的勒索软件攻击事件:
•2022年3月8日,三星证实源代码被窃取,黑客组织声称对芯片制造巨头英伟达进行了网络攻击,表示已窃取近1TB数据,并公开索要赎金。由于英伟达未满足其勒索要求,入侵者公布了包含英伟达GPU驱动、挖矿锁算力软件源代码等高度机密数据。
•2022年3月1日,日本丰田汽车公司因零部件供应商受到“勒索软件”攻击,决定停止日本全国所有工厂运行,此次攻击导致丰田中断了约三分之一的全球生产。
•2021年9月,苏格兰跨国工程企业伟尔集团(Weir Group)遭受一起高复杂度的勒索软件攻击。次攻击使集团的出货、制造和工程系统发生中断,仅9月份由于开销不足和收入延后造成的间接损失就高达5000万英镑,并且预计还会影响第四季度的正常运营。
•2021年7月,瑞典连锁超市巨头Coop因勒索攻击关闭800多家商店服务。REvil勒索软件攻击团伙声称在此次事件中锁定大量系统,并胁迫感染勒索软件的受害者支付价值约7000万美元的比特币赎金。
•2021年5月,巴西肉类制造巨头企业JBS遭受REvil病毒勒索攻击,导致其位于美国和加拿大地区的部分工厂暂停作业,澳大利亚所有JBS肉类工厂停产。6月9日,JBS美国分部同意支付1100万美元比特币赎金,以防止黑客泄露公司数据。
•2021年3月,CAN保险公司遭勒索软件攻击,支付高额勒索赎金。美国最大的保险公司之一CNA Financial遭Phoenix勒索软件攻击,因无法自行恢复数据,CNA支付4000万美元(约合人民币2.57亿元)高额赎金。
攻击者采用各种手段和方法,渗透进世界各地的组织和企业中,勒索软件攻击技术呈现快速升级趋势,手法趋于多样化。
传统勒索软件攻击者使用广撒网无差别攻击,如今,定向精准攻击的趋势愈发明显,主要针对掌握大量数据的企业组织发起定向攻击,采用嗅探网络发现攻击入口、利用漏洞攻击入侵、精心设计的社会工程入侵等专业化APT攻击手段。
勒索攻击使用的加密手段越来越复杂多样化,通常采用多种加密算法加密用户数据,一旦感染,极难进行数据恢复,暴力解密往往需要上百年的时间,其时间成本已经使得破解失去意义。许多企业为了避免业务中断,往往选择支付巨额赎金。
双重/多重勒索成为犯罪分子胁迫受害用户屈服的有效手段,一半以上的勒索软件采用双重勒索手段。勒索攻击从单纯的支付赎金即可恢复被加密的数据,逐渐演变成先窃取商业信息和内部机密,攻击者通过甄别和窃取用户重要数据,以公开重要数据胁迫用户支付勒索赎金,这种新模式也被称为“双重勒索”,此外包括如植入DDOS攻击的附加勒索。
不同于攻击单一目标,供应链攻击指数级扩大入侵范围,通过入侵上游供应商入侵到众多使用该软件的企业IT设施内部,对于企业而言,其网络节点和上下游关联企业、供应商都成为潜在的攻击漏洞,产业链中安全薄弱环节均成为攻击者实现突破的关键点。
不断扩大的市场规模触发了新的盈利模式,部分勒索软件攻击组织开发了RaaS(勒索软件即服务)平台,面向“会员”提供开箱即用的勒索软件攻击服务。依赖这种平台化模式,攻击者甚至不需要任何编程技术就可以开展违法犯罪活动,网络攻击的门槛大幅降低。
典型网络勒索攻击典型流程包括探测侦察、攻击入侵、病毒植入、实施勒索4个阶段。
1.探测侦察阶段:收集基础信息、找到攻击入口并建立内部立足点。
2.攻击入侵阶段:部署攻击资源、侦查网络资产并提升访问权限。
3.病毒植入阶段:植入勒索软件、破坏检测防御机制并扩展感染范围。
4.实施勒索阶段:窃取机密数据、加密关键数据后加载勒索信息。
一旦攻击得手,攻击者加载勒索信息,威胁攻击目标支付勒索赎金。通常勒索信息包括通过暗网论坛与攻击者的联系方式、以加密货币支付赎金的支付方式、支付赎金后获取解密工具的方式、警告受害者不要自行解密或修改数据名称等。
勒索软件有许多可行的途径入侵企业内部,其主要的传播方式包括钓鱼邮件传播、水坑网站挂马传播、垃圾邮件、漏洞入侵、远程登录入侵传播、供应链传播和移动介质传播等,诱导受害者下载运行勒索软件。
其中,利用网络钓鱼(包括钓鱼邮件、钓鱼网站、诱饵文档或程序伪装等)获得初始访问权限的攻击的占比达41%,成为2021年勒索软件攻击最主要的入侵途径。
面对愈演愈烈的网络勒索攻击,部署零信任(Zero Trust)已然成为企业和组织IT安全架构转型中重要一环,在实施过程中,它能有效应对边界模糊的网络生态系统,且认为组织架构内每个组件都有弱点,每一层设施均需要保护。零信任不仅仅是一种技术修复,它是一套相互交织、洞悉敌对活动及相关业务风险、并致力于消减风险的方案集合。
网宿安达SecureLink产品打破传统网络安全的固化边界概念,引导安全架构从网络中心化转向身份中心化,通过对用户、设备、网络、应用、数据的动态连接访问控制,建立应用层可视化、自动化、智能化的安全防护体系。
勒索软件快速进化演变,新的变种和攻击策略层出不穷,勒索软件适应性强,经过精心设计,可避免被安全软件检测到。即使是很小的延迟检测,也可以为潜在的不可逆文件加密提供足够的时间。对于企业组织而言,事前预防尤为重要,零信任通过提供在网络层面的暴露面收敛隐藏、身份MFA校验、密码加固、恶意访问威胁检测和设备环境安全感知、行为异常识别等能力,能够在勒索攻击的探测、远程连接阶段就进行安全防护和及时干预。
利用网络隐身技术构建一张隐形的网络,只对认证授权的可信任用户可见,对其他人完全不可见,并且该用户访问应用的行为可以进行严格控制和记录。由于网络资产被隐藏,攻击者无法嗅探、扫描到企业内部的服务,无法利用内部服务的漏洞,有效保护企业内部网络、业务的脆弱性,遏制漏洞利用。
通过支持多因子认证(MFA)方式增强用户身份鉴定能力,实施 MFA实际上改变了威胁态势,迫使威胁实施者寻找新的网络入侵方式,仅仅利用被盗的登录密码凭证无法攻破防线。MFA降低了多种不同攻击类型的风险,包括勒索软件、数据盗窃、BEC 和服务器访问等。
基于网络流量中DNS信令解析,对组织内部访问“风险网站”进行响应和阻断,降低由于下载和安装恶意软件,导致感染勒索软件的可能。勒索软件攻击中本地软件进程连接C&C服务器时,需要使用DNS解析其域名,此时平台实时进行识别和拦截,阻断勒索软件的攻击行动,从而降低遭遇网站挂马、网站钓鱼等安全风险的可能。
目前,网宿平台具备的威胁情报库日常量级达3000多万条目,可帮助企业屏蔽各类恶意域名和IP ,识别、检测、阻断、告警及审计网络流量,防止勒索软件的攻击。
NTA流量分析,通过流量解析识别勒索软件攻击并处置告警,平台根据告警封禁攻击 IP 地址,通过还原流量中传播的勒索软件样本,联动威胁情报识别和阻断投递过程中的勒索软件,从而检测和拦截各类通过邮件、网站传播的勒索软件。
平台提供端侧沙箱,是与宿主机隔离的安全工作空间,由于空间与宿主机的系统、网络、存储上进行隔离,数据加密存储,有效阻止宿主机中恶意勒索程序识别到其中的文件进行加密,也无法进入安全空间连接到企业敏感应用系统进行攻击传播。
网宿安达SecureLink产品只允许应用级访问,不暴露内网。即使员工电脑上被安装了恶意软件也无法扫描,窃取内网上的资源。限制勒索软件的入侵和传播,降低由于单一设备感染勒索软件,导致勒索软件在内部网络进一步传播的可能。
目前,65%的企业允许员工使用未受控的个人BYOD设备接入内部应用系统,端点安全建设至关重要,根据安全基线实时监测用户终端设备的健康状态,判断终端是否授信准入,保护用户设备安全性,防止攻击者利用作为内网入侵的入口。
支持联动流安全产品终端防御能力,对用户终端进行全面安全防护。终端防护产品集病毒查杀、实时防护、勒索软件、挖矿病毒防护、漏洞检测与修复、终端管理、主机防火墙、外设管控、EDR、资产管理、主机加固、文件分析、威胁处置等。
平台对用户的每条访问和操作行为需要实时检测,对终端及用户行为进行持续验证,对检测到的异常行为、越权行为、威胁检测、终端环境等进行信任评分,根据检测结果动态调整用户的访问权限。使用UEBA智能模型机制来检测用户、设备的异常活动,自动化响应其威胁,告警和阻断。
基于用户行为检测、终端检测、入侵检测等各种要素洞悉客户网络安全风险。网宿SecureLink平台对用户的异常访问和操作行为进行记录,通过平台安全风险感知对大量数据进行统计分析,对可能的入侵行为进行分析、识别、检测、告警及追溯审计,为管理员提供安全运维的决策依据。
受全球数字化进程加快驱动,数以百万计的远程办公需求快速激增,随之而来的就是网络暴露面大大增加,但企业往往很少甚至没有时间考虑安全问题。零信任因应当前云、大数据、物联网、移动化的网络架构演化趋势,针对各类网络威胁构建多层面立体资产防御,将风险持续评估能力、动态访问控制、实时审查能力集成于复杂的安全架构。
很多企业已经有意或无意地走上了“零信任”之旅,所采用方法因企业所处IT架构阶段而不同,其战略的选取也相应不同,任何零信任之旅都将面临各种阻碍,需要整个企业给予强有力的领导层支持、投资和认同才能确保成功。
零信任不仅仅是一项技术解决方案,也是一次企业文化变革,充分的沟通、员工专业培训等因素是取得转型成功的必要措施。同时需要充分考量企业的业务驱动、现有的支撑流程和关键场景,从而确保企业的业务创新、演进战略、数字化转型建基在安全的IT架构上。
基于全球广泛分布的边缘节点,依托10余年安全运营和海量攻防数据,「网宿安全」构建从边缘到云的智能安全防护体系,提供DDoS防护、Web应用防护、爬虫管理、远程访问安全接入、安全SD-WAN、主机安全等全方位的安全产品及服务,覆盖云安全、企业安全和安全服务等领域,助力企业构筑基于零信任和安全访问服务边缘(SASE)模型的全新安全架构,护航网络安全,为数字时代保驾护航。 网宿科技(300017)成立于2000年,2009年于创业板首批上市,是全球领先的边缘计算及安全服务商,业务遍及全球70多个国家和地区。公司始终致力于提升用户的数字化体验,满足用户随时随地、安全、可靠的数据处理及交互需求。