本文来自企鹅号财经故事会,采写/何惜金。
周末,凌晨,万物沉睡。
然而虚拟世界里,一场无硝烟战争刚刚打响。
黑客驱动的一批“木马”悄悄出动,撬开云端服务器。此前,它们“忍辱负重”,伪装成正常文件,潜伏了数月之久。
今晚,是决定黑客团伙吃肉还是吃土的关键时刻,如果勒索成功,可能获得上千万的“回报”。过程相当顺利,各端口的防病毒“警卫”们还未反应,就已经被俘虏。
短短几分钟内,数千台云服务器被加密,终端警报声此起彼伏,停工,停产,停止运营,工厂瞬间停摆,每分钟损失上万。
“亚信安全吗?我们被勒索软件攻击了,该怎么办呀?”电话里的声音惊魂未定。
安全专家们立刻出动,分析出漏洞所在,紧急修补封锁,避免“毒情”进一步扩散,入侵病毒顺利“落网”,遣送沙箱观察,有关该病毒的威胁情报被同步发送至云、管、端各节点,专家们再度巡逻,确认所有雷点被清除干净,通过备份还原,镜像重置等应急措施,数千台云服务器被成功“解救”。
短短二十分钟,演完了一部《长安十二时辰》。
这不是电影,而是数月前,亚信安全帮助客户对抗现代勒索攻击的真实案例。
类似的勒索几乎每天都在发生,但并非每个企业都能幸免于难。
网络安全机构Resecurity预测,到2031年,全球勒索病毒的勒索活动将造成2650亿美元的直接损失,对全球企业造成的潜在总损失或达到10.5万亿美元。
全球知名威胁情报公司RiskIQ的报告则显示,在全球,每分钟就有6家企业遭受勒索攻击,每分钟损失高达180万美元,全年315万家企业被勒索,金额约为6万亿人民币。
而随着云、大数据、AI、5G等技术的广泛运用,攻击的影响还会扩散到物理世界。
去年5月7日,勒索攻击团伙DarkSide攻击了美国最大燃油管道公司科洛尼尔,导致近9000公里长的输油“大动脉”被迫掐断,殃及美国17个州和华盛顿特区进入紧急状态,超千家加油站无油可加,一度陷入“抢油慌”。强势如科洛尼尔这样的大企业,为了恢复运营,也只能乖乖支付500万美元赎金。
这也恰恰说明,数字时代,当企业在云上攻城略地,构建城池时,如何保障网络安全,成为了共同挑战。
流水线上的黑客,数字化转型的黑产
招募黑客,需要掌握哪些技能?
如果你在1989年提出这个问题,得到的回答大概率是:学习开源操作系统、编程语言、密码技术、入侵技术等等。
彼时,网络病毒尚处于蛮荒时代,生物研究员约瑟夫·L·波普博士利用简单的对称密码,创造出艾滋病特洛伊木马软件,通过软盘传播,要挟每个受害者支付189美元的解锁赎金,就此开启了勒索软件的历史。
那个时期的勒索软件,无论是传播方式还是欺诈手段,多是散兵游勇,势单力薄。三十年后的今天,情况发生了翻天覆地的变化,黑客行业高度内卷、专业分工,完成了“产业大升级”。
近日,亚信安全在“全面勒索治理即方舟计划”发布会上,首度提出了“勒索病毒进入2.0时代”的断言,即勒索团伙APT化(Advanced Persistent Threat,高级可持续威胁攻击),表现出专业化、针对性、持续性、隐秘性的特点,危害性极强。亚信安全在暗网监控和病毒治理的过程中发现,勒索病毒呈现了三大升级趋势:
其一,勒索病毒即服务RaaS(Ransomware-as-a-Service)模式兴起。勒索软件作战模式,从单兵作战,升级为模块化、产业化、专业化的大型团伙作战,勒索攻击覆盖面更广,危害程度显著增加。一条完整的产业链若隐若现。
勒索病毒开发商授人以渔,在暗网招募加盟渠道商,不仅向入局者出售勒索工具包,还提供特定产品漏洞的定制化服务。当加盟的渠道商们通过勒索软件,成功入侵企业后,开发商们还会派出专业的谈判专家,估算赎金,进行谈判,从中分成。
产业链完善之下,勒索病毒攻击急剧增多。SonicWall在最新的网络威胁报告中称,2021年全球勒索病毒攻击达到6.233亿次,比2020年增长105%。与2019年相比,增长了232%。
其二,勒索目标从“粗放式”转向“集约式”,追求高效益,定向攻击增多。
过去,勒索团伙“守株待兔”,大规模发送垃圾钓鱼文件,广撒网,碰运气,等待猎物送上门来。
现在,勒索团伙不再满足于此,瞄准了具有勒索兑现能力的大型政企,实行定向攻击,有组织有预谋,分工明确,有人负责侦查信息,有人负责制定方案,有人负责招安“内鬼”。俗话说,不怕贼偷,就怕贼惦记,被勒索团伙暗中盯上、持续攻击的企业,实在防不胜防。
其三,勒索方式多样化,出现双重勒索、甚至三重勒索,增加了基于泄露隐私数据勒索以及DDoS的攻击勒索。过去,勒索团伙的行动,和线下绑票并无太大差异,只要缴纳赎金,就能够释放“人质”——恢复企业数据。
现在,勒索团伙的“职业道德”滑坡明显。他们会先收集企业的核心敏感数据,外泄到黑客专用站点后,然后再加密重要文件和数据,要求企业缴纳一笔解密赎金;如果企业拒绝支付,还会继续威胁,比如声称要在暗网公开或者售卖公司核心数据等;有时甚至“不讲武德”,威胁该企业的客户或合作伙伴等。
浪潮奔涌的工业4.0,防护薄弱的制造行业
当暗网内掀起“产业大变革”、大批网络海盗集结成军时,互联网“海域”驶来了新的“货轮”——步入工业4.0时代的传统企业。
相较于“努力内卷”的黑客,传统企业应对网络安全的新变化,尚有些准备不足。尤其是高端制造业,更成为了勒索软件团伙钟爱的“肉票”,攻击事件频发。
Akamai最近的调查表明,全球最大的勒索软件团伙Conti发起的全球勒索软件攻击中,有近30%以制造业为目标。去年5月30日,全球最大的肉类生产商JBS SA遭遇网络攻击,导致工厂瘫痪,影响了全美20%的肉类供应,最终JBS不得不向罪犯低头,支付了总价值达1100万美元的比特币。
今年3月1日,丰田汽车零部件供应商受到勒索病毒攻击,导致系统全面瘫痪,丰田位于日本的14家工厂总计28条生产线暂停运营,汽车因此减产1.3万辆,相当于损失月产能的5%。制造业成为网络勒索重灾区,背后有着多重共性原因。
其一,传统制造业工控系统陈旧,安全漏洞多,易被攻破。不少工厂的流水线设备,可能依旧是上世纪90年代开发的老机器,过去的工控系统,无法适应工业4.0时代万物互联的需求,安全漏洞多。
根据工业互联网产业联盟2021年底发布的《中国工业互联网安全态势报告(2020)》,收录的804个工控系统安全漏洞中,就有708个漏洞涉及到制造业。加之制造业端口设备多、节点多、数据量大,涉及的系统通讯协议、系统整体架构更加复杂,一旦暴露在网上,就如同行走的“鲜美肉票”,吸引黑客攻击。
其二,制造业自身防护意识薄弱,也导致了制造业的感染风险提升。据观察,“很多制造企业在安全上的投入,只有IT预算的2%-3%左右,安全运营建设还相当薄弱。”
一些制造商还认为,网络攻击离自己很遥远,然而随着大量设备联网、上云,没有一个制造商能够独善其身。制造业的网络安全,已经是事关供应链上下游的系统性问题。即便上游大制造商防控滴水不漏,勒索团伙依旧可以从下游小制造商处,寻找到突破口,以它们为“后门”,渗透进大制造商的网络系统。
其三:制造业供应链复杂,无法承受停工危机,只能缴纳赎金。制造业供应链复杂,牵一发而动全身。某一环节停摆,影响的是整个行业上下游的生存处境。
停工意味着:生产排期推后、难以按时交付、合同违约、回款速度慢、资金链断裂风险……为了尽可能减少损失,制造业只能乖乖支付赎金,息事宁人。赎金可以换回生产重启,却无法消弭关键信息被盗带来的潜在风险。
知识产权、核心科技关系着制造企业的发展命脉,一旦被盗,可能意味着多年积累化为泡影;交付延迟、客户数据暴露,也会影响客户对制造商的信任度,声誉受损,因此,很多制造业企业即使被勒索,也只能打碎牙齿和血吞,独自咽下苦果。
其四:传统的EDR(终端检测与响应系统)安防模式,单点设备各自为战,孤掌难鸣,警报多,效率低。工业4.0时代,暗网强盗鸟枪换炮,从游牧草原式的单兵作战,变成了现代的集团化作战,但不少企业的网络安全模式,却依旧停留在传统的EDR模式,无法适应新变化。
传统的EDR模式,侧重于终端安全防护,包括了台式电脑、笔记本电脑、移动手机、服务器和任何网络的入口点,相当于每个端口都配备了一个“警卫”,可以根据来访者的行为,判断对方是否存在威胁,是否需要被紧急隔离。
但是这些负责终端设备安全的“警卫”,成了信息孤岛,和负责流量侧安排隐患排查的“同事”NDR(网络威胁检测与响应)各自为战,缺乏交流,数据集成能力弱,导致系统警报不断,但对真正的威胁情报,却预警不够及时不够敏感。
运维人员需要应付大量“狼来了”的“假警报”,工作压力大,效率低,还有可能导致倦怠和松懈,等“狼真的来了”,反而无法及时应对。
因此,数字化时代,企业若要提升自己的网安能力,对抗无孔不入的勒索攻击,急需一次“头脑”和“武力”的全面升级,整合云、网、边、端的安全方案,从而打造立体防御体系。
方舟护航,立体攻防全域作战,打赢黑产暗战
数字化转型一体两面,既需要通过新技术的应用,高速发展经济,提升效率,与此同时也需要保障安全。
而互联网安全的底座基石,正是平台化的安全体系,XDR的解决方案也就由此诞生。所谓XDR,可以理解为是对传统EDR模式的扩展与增强,它能够横跨云、网、边、端多个安全层,收集关联信息,发现威胁事件,从而调整端口EDR或NDR的产品状态,响应威胁。
可以说,XDR模式让安全系统拥有了统一的“头脑”,全面清晰的视野,及时精准的告警,解放了运维人员的工作。近日,亚信安全推出的方舟计划,就是以主动防范理念为指引,以XDR立体化防护的产品技术为根基,以安全服务为支撑,实现了三位一体的勒索治理新模式,形成全链条、立体化的勒索治理合力。
从发现威胁到清除漏洞,避免二次勒索,亚信安全有能力快速响应并打赢勒索攻击阻击战,最大化降低客户的风险和损失。
效率如此之高,打击如此精准,得益于亚信安全构建的立体防御体系。
其一,洞悉全局,远瞩高瞻的情报体系。
一封疑似钓鱼邮件从被网关发现到送沙箱甄别检测需要多久?亚信安全的答案是十分钟以内。
效率如此之高,在于亚信安全积累深厚,拥有“火眼金睛”。亚信安全自身的威胁情报优势,并与多个国际知名的网络安全威胁情报公司建立合作关系,从而建设了一套国际化的威胁情报系统,能够及时获得第一手情报资料,掌握勒索团伙新动向。
这套先进的情报系统,相当于“勒索攻击团伙”的“全球通缉库”。
当亚信安全的保卫团队开始参与包围企业建立的数字孪生环境时,勒索体检中心会率先开展一次全面清查,部署端点及网络探针EDR(终端安全响应系统)、TDA(360度网络安保巡查系统)巡视“孪生环境”,排查分析,发现可疑分子时,及时上报统一威胁运营平台,通过比对画像,将勒索攻击前置工具、伴生木马和勒索病毒等一举擒获。
依托于此,亚信安全能够为客户提供分行业、场景和需求的定制化专项体检服务,全面评估、预判潜藏的隐秘威胁,并且针对勒索事件制定相应预案,避免因突遇勒索陷入混乱。
除了定期体检,治理漏洞,亚信安全的防护保卫军还会定期进行专项风险排查,开展攻防演练,发现新的风险点,不断提升作战能力。
其二,协同运作,高效联动的XDR立体防护保卫军。传统的EDR模式,终端侧和流量侧的警卫们各自守卫“一亩三分地”,而方舟计划聚沙成塔,把零散的“警卫”们,组成了一支战斗力强悍的铁军。
亚信安全的专家们凭借着多年和黑客斗智斗勇积累起来的技术经验,打造了一个睿智的指挥部“XDR平台”,全面覆盖勒索团伙的攻击链,通过“事前预防、事中处理、事后扫雷”三大手段,构建立体化、平台级的运营防护能力。在事前风险排查阶段,XDR平台通过勒索体检、提前部署、预案机制等手段解决蠢蠢欲动的暗网强盗,对他们起到了一定的震慑。
在事中应急处置阶段,XDR平台通过本地+云端威胁情报研判,快速精准分析威胁事隐患,实现全网联动,以虚拟补丁及时封堵漏洞,避免病毒进一步扩散。在事后扫除威胁阶段,成功捕获勒索威胁后,XDR平台会再次进行体检。通过TDA这辆“巡逻车”,沿流量侧巡逻,察觉异常流量,检测二次攻击行为,并和终端的EDR、云端的威胁情报共同联动,定期,持续,扫清城市周围的威胁“雷点”,避免黑客的多次攻击。
其三,人机配合,24小时贴身服务的专家团队。
亚信安全发现,传统企业在网络安全运维上的人才缺口,达到上百万之多。因此,除了提供覆盖全流程的解决方案之外,亚信安全还组建了一支3000人的专家“智囊团”,覆盖全国31个省市,7×24小时在线,确保企业发生勒索攻击风险后,能够第一时间找到可靠“军师”精明决策。
如此一来,亚信安全的方舟计划,彻底打破了传统安全产品无法高效联动的困局,以统一的XDR平台,将碎片化安全能力融为一体,变为系统性、能够全局联动的远程免疫系统,化繁为简,实现了企业网络安全的一次全面升级。随着大数据、云计算、人工智能等新兴技术不断发展,新应用、新场景层出不穷,美丽的云上世界徐徐展开,但危险与暗礁也无处不在,传统企业面临着严峻的安全挑战。
而亚信安全之所以能够护航企业,依赖于其多年的专业经验、全栈的技术优势,“懂网、懂云,懂安全”,才能实现“天下无贼”的美好愿景。面对内卷的黑客和犯罪手法,独木难成林,唯有平台化的防御体系,百川聚江海,实现云网边端协同一体化运作,才能护航千里,把来势汹汹的暗网海盗们挡在门外。