勒索軟件,是備受矚目的數據安全威脅之一。知名投資咨詢公司Cybersecurity Ventures報告顯示,2021年,每11秒就有一個組織遭到勒索軟件攻擊,預計到2031年,每2秒就會有一起攻擊發生。2021年全球因勒索攻擊造成的損失高達200億美金,高于2015年3.25億美元的61倍。
可能大多數人對數據安全的感知微乎其微,但試想一下:假如一家企業、一個國家遭到勒索攻擊後,對個人的危害性究竟有多大?
2021年5月,全球最大的肉類供應商JBS遭到勒索病毒攻擊,部分牛羊屠宰加工廠停擺,導緻美國肉類批發價格上漲,使得本就受到疫情沖擊的全球食品供應鍊雪上加霜。
2022年5月,哥斯達黎加遭遇迄今為止最嚴重的“國家勒索”。兩波重大的勒索軟件攻擊使得該國進入“網絡安全緊急狀态”,多項基本服務陷入癱瘓,國際貿易陷入停頓狀态,超過3萬次醫療預約被迫重新安排,稅務服務也被迫中斷等等。
事實證明,數據安全對國家的正常運轉,人們的正常生活帶來諸多挑戰。正因此,從個人、企業到國家都必須直面數據安全問題,以及如何做好“防勒索”策略也成為數字時代下的熱門話題。
近年來,勒索攻擊活動呈指數上升态勢,勒索軟件攻擊手段隐秘強勢,一旦中招,難以解密。這就使得許多受害企業不得不選擇支付巨額贖金,以此贖回數據恢複生産活動,迄今為止,全球最高的一筆贖金高達7000萬美元。
然而,現實情況是,據統計80%支付了贖金的組織會遭到二次勒索,49%的組織隻拿回了部分數據甚至沒有拿回數據。事件之後,部分企業還會導緻業務停擺、違約金、聲譽等一系列損失,高出贖金的23倍以上。
2022年10月31日晚,以“大咖聊安全——揭秘勒索軟件攻擊”為主題,今日頭條頭部大V奧卡姆剃刀直播連線信息安全專家劉鵬和浙江大學數據安全張秉晟教授,解讀勒索軟件攻擊相關知識,直播期間吸引了數百位觀衆參與“防勒索”話題讨論,讓大家更加全面地認識勒索病毒并了解防範小技巧。
以下為直播現場精彩節選:
一、勒索攻擊呈爆發态勢:防勒索不是一陣風
奧卡姆剃刀:據媒體報道,現在勒索攻擊事件呈現爆發的态勢,對此,兩位老師怎麼看?
劉鵬:勒索攻擊事件在今天變得越來越頻繁,是因為人類世界的核心商業流程越來越多地跑到線上,它的好處是效率提高了,但同時也帶來了數據被别人掏走的風險,甚至是企業系統直接癱瘓,無論是達到哪種效果,對方都可以找你索要贖金。
實際上,很多人可能對勒索的危害程度不太有所體會。舉個例子,假設一家電商公司的數據被拿走了,對方可能不會給你打電話,也不做惡行行騙,對方隻要做一件事就可以掙到很多錢。如果對方拿到10萬人的家庭住址和電話,就可以直接往這10萬人的住址發送一個成本價僅為一塊錢的物件快遞,然後選擇貨到付款,收取二三十元,恰巧家裡的老人稀裡糊塗地付錢把貨收了,這就是一個高額利潤的行為。你可能覺得自己隻是損失了幾十塊錢,但積沙成塔,整個社會因此損失的代價太高了。
正因此,全社會都需要對勒索攻擊有所重視,因為當下真正的核心資産都在數字世界裡,如何保護好它?怎樣防止别人來勒索?在未來,這件事的重要性絕不是一陣風,隻會越來越重要。
奧卡姆剃刀:勒索到底是什麼?具體有哪些形式?
劉鵬:從廣義上來講,自從有了“病毒”就開始出現數據勒索了。到了互聯網普及以後,開始通過釣魚、暴力破解等手段進入你的數據系統,沉寂之後爆發再索要贖金。尤其是現在社會數字化程度越來越高,讓數據價值變大,過去可能勒索個人電腦信息,如果贖金過大,大不了不要這台電腦,但現在大家都把許多信息存儲在電腦上,一旦被勒索就不太可能輕易舍棄了。如今,加密數字貨币普及之後,勒索方做事就變得更加肆無忌憚了,連資金轉賬都難以追蹤。
在應用層面上,一種是讓系統停止運轉,另外一種是将數據扣下索要金錢,如果不交贖金,要麼将數據公布于衆,要麼拿數據變現,比如前面提及的發空包裹快遞等黑灰産變現手段。在這個過程中,加密數字貨币起到很大的推波助瀾的作用,使得勒索方繞過正常的資金監管,便捷程度大大提高。
張秉晟:勒索病毒本質還是病毒。它既然是病毒,那麼,通過常規病毒的傳播方式就能擴散,比如基于系統漏洞等。據我了解,現在勒索大部分還是通過員工點擊釣魚網站或是垃圾郵件中的鍊接,電腦就會中病毒。至于這個病毒的表現形式是什麼?像勒索病毒,它一般會先沉寂一段時間,等你下班回家後,再開始行動,到了第二天上班,打開電腦就會出現彈窗顯示,“硬盤上的所有文件已被加密,要想拿回數據則需支付相應贖金。”
二、數字化程度越深的企業,勒索價值就越高
奧卡姆剃刀:勒索對哪些行業威脅性最大?還是說企業規模越大、公共服務型企業越應當防範?
劉鵬:現在很難存在哪個行業不會被勒索,因為所有行業的核心調度流程都已經數字化了。一個極端的例子,過去餐飲行業算是線下行業,但現在開一家餐飲店,首先就得有一套ERP,然後上線外賣平台進行獲客,當客人到店後,直接用手機掃碼點餐,前台收到信息進行制作,一整套流程全在服務器上,隻要公域能訪問那就可能存在勒索風險。因此,當一家企業越依賴數字化,被盯上的可能性也會越大,因為勒索方知道你沒法承受數據勒索所帶來的損失。
張秉晟:越大型的企業攻擊價值就越高。現在勒索軟件攻擊已經RaaS(勒索即服務)化,一些勒索組織會通過通過會員、訂閱或定制,向其他“攻擊者”售賣勒索攻擊相關服務,使得勒索軟件攻擊的成本和門檻下降。所以說,現在勒索軟件事件十分頻繁,攻擊對象大部分是中小微企業,而這些企業往往數據防護做得不是很好。
奧卡姆剃刀:随着勒索軟件攻擊越來越頻繁,那麼,今後勒索攻擊的主流趨勢是什麼?
張秉晟:未來,勒索攻擊将會呈現頻繁化、小型化的趨勢。比如說,小型化是勒索方可能隻索要500美金贖金,因為價格高,被勒索方不一定支付得起;頻繁化則是因為我們鼓勵中小微企業創業,而這些企業的網絡安全防護較差,自己開發一套防範軟件成本又非常高,因此它們遭受勒索病毒攻擊的概率相對較高。
但現實情況是許多中小微企業并不想出錢購買一套防勒索解決方案,因為當勒索沒有發揮作用的情況下,購買的防勒索服務就是一個負的支出,産出為0,這就跟買保險是一個概念,相當于給企業數據上了“保險”,一旦中招勒索病毒,這套解決方案就能幫助企業化解勒索難題。
對于大型企業來說,防範勒索攻擊有多層防護,首先就是網絡防護,比如過濾企業内部的垃圾郵件,如果有員工點擊了垃圾郵件,被釣魚網站釣出去之後,就要有惡意URL 識别;其次就是對員工安全培訓;那麼,在一些前期防範措施都沒辦法解決之後,就需要有一些專業存儲的應對措施,在病毒開始加密數據時能夠快速地檢測并及時中斷攻擊。
劉鵬:大家需要放棄一個幻想,就是你一定能防住勒索病毒的入侵。一方面系統漏洞層出不窮,一方面是釣魚軟件或是内部員工操作不規範,這就意味着徹底擋住勒索病毒的入侵很難,但是如果在存儲層做好了,就能極大程度地減少因勒索帶來的損失,在短時間内恢複數據開展業務。
三、存儲是企業防勒索的最後一道防線
劉鵬:那麼,一家或大或小的公司如何防範數據勒索?一定要有底線思維。簡單來講,就是說原來我們把勒索等同于是防攻擊,不讓别人攻破你的網絡或主機,但還要考慮一個問題,如果擋不住,怎麼辦?因為很多勒索形式是通過非對稱加密的方式把數據鎖住,這就要求你在存儲層能不能把數據靈活且随時地恢複,同時又稍微隐秘而不容易被對方直接攻擊到。
存儲是數據的一層保護傘,是許多企業需要認真思考的一個問題。當然,我不建議大家自行自建,畢竟專業存儲對穩健性和可靠性要求非常高,不然你測試半天覺得挺好的,當人家一攻擊,結果掉鍊子就得不償失了。因此,我更傾向于企業求助比較成熟的工業界産品和系統,畢竟專業存儲本身是一個體系化的東西,将數據從生産到備份嚴絲合縫地運轉起來才能起到保護底線思維的作用。在國内,比較成熟的像華為存儲防勒索解決方案,就能在生産存儲與備份存儲實現雙重保護,通過勒索檢測、數據防篡改、AirGap複制和端到端數據加密等技術手段,幫助企業打造完整的防勒索防線,讓病毒藏不住、改不了,數據看不到、帶不走。
張秉晟:防勒索主要還是在存儲方面做好數據備份,且要離線備份。如果是個人可以時不時地離線備份數據,但作為一家企業最好有一套完整的存儲防勒索解決方案,兼具軟件、硬件設備,而不是一個簡單的軟件。專業存儲不僅有自動化的離線存儲設備,将生産存儲與備份存儲的數據複制到隔離區,非複制期間,複制鍊路斷開,副本處于“離線狀态”,還會基于勒索病毒會在短時間内大量加密數據的行為特征進行檢測。
四、未來可能每個人至少面臨一次小型勒索攻擊,防勒索需要未雨綢缪
奧卡姆剃刀:專家預計到2025年,75%的企業将面臨一次或多次的勒索攻擊。但我覺得建立起防勒索意識的用戶恐怕連5%都不到,甚至于,很多人可能對防勒索這件事有誤區,覺得這件事和我有什麼關系?其實關系非常大。首先,我們每個人作為企業的一份子,都有義務去保護好企業的數據安全。其次,企業遭遇勒索攻擊一旦遭遇用戶數據洩露,那麼最終受損的還是客戶,也就是普通百姓。
所以說,勒索攻擊已成為國家、企業和個人數據安全的頭号公敵,而技術帶來的問題,終歸要用更新的技術去解決,用魔法打敗魔法!
劉鵬:未來可能每個人至少面臨一次小型勒索攻擊,那麼,未雨綢缪去建立防勒索的底線思維,特别是從網絡防護和存儲備份兩個方面共同發力,才能夠建立比較紮實的數據安全網絡。
張秉晟:現在勒索病毒呈現爆發增長的态勢,尤其是比特币等加密數字貨币的出現,使得勒索攻擊直接有了金融收益。現在勒索病毒隐蔽性強、破壞性高,且持續化發生,建議企業主要從四個方面進勒索防護,第一是假設絕大多數病毒主要從網絡端進行攻擊就要提高網絡防火牆;第二是實時更新系統軟件;第三是做好員工網絡安全培訓;第四就是在終端安裝防勒索軟件,比如專業存儲等等。
我們建議中小微企業購買一套防勒索解決方案作為兜底方案,而非自行建立,一是成本高,二是基礎硬件要求高。同時,許多中小企業可能使用的是華為雲等廠商提供的雲存儲服務,本身就具備防勒索能力,那中小微企業基本上不用擔心勒索攻擊的問題。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!