從佳能被勒索10GB資料事件,談企業如何做好資料全生命週期保護

騰訊安全發表於2020-08-12

近日,著名數碼攝像機廠商佳能被曝疑似遭受Maze團伙勒索攻擊,其中影響包含電子郵件、微軟團隊、美國網站以及其他內部應用程式。


據外媒報導稱,佳能image.canon雲照片和影片儲存服務的可疑中斷,導致其免費10GB儲存功能的使用者資料丟失。由BleepingComputer訊息稱,佳能正在經歷“影響多個應用程式、團隊、電子郵件和其他系統的廣泛傳播的系統問題,目前可能不可用”。


這樣的勒索攻擊事件是否似曾相識?這簡直神復原佳明 Garmin不久前遭受的惡意勒索病毒攻擊事件。面對頻發的勒索黑產攻擊事件,企業如何轉後手為先手,讓安全變得更主動、更前置?而隨著數字化時代全面到來,企業又該如何從零開始建立資料安全防護能力?

進擊的Maze,從“業務創新”到“商業化運作”


作為一款直接將受害者資料釋出到網站並進行勒索的元祖,Maze團伙也叫ChaCha勒索病毒,國內安全廠商稱其為“迷宮”。


在2019年5月被發現之初,Maze團伙使用創新的加密技能就給安全廠商留下了深刻的印象。當時的Maze團伙受同行啟發,加密模式採用RSA+Salsa20結合方式加密, 並且加密針對每個檔案隨機生成不同的字尾名,這給安全專家破解帶來了極大的難度。


從佳能被勒索10GB資料事件,談企業如何做好資料全生命週期保護


同時,該團伙擅長使用FalloutEK漏洞利用工具透過網頁掛馬等方式傳播。而被掛馬的網頁,多見於黃賭毒相關頁面,通常會逐步擴大到盜版軟體、遊戲外掛、盜版影視作品下載,以及某些軟體內嵌的廣告頁面。


儘管Maze團伙不是最早從事網路勒索勾當的,但絕對是最快實現商業化運作的團伙。該團伙在網上創辦了一個專用網站,用於公佈一些受害者的資訊要挾贖金。去年12月,Maze團伙就向北美最領先的電纜製造商之一Southwire勒索了600萬元美金。如果Southwire不交贖金,Maze勒索病毒團伙會在網站上公佈該公司的資料,試圖利用這種方法,逼迫Southwire交贖金。


此後,雄心勃勃的Maze團伙頻頻被爆新動作,不斷重新整理人們的認知。今年6月,該團伙聲稱其已經竊取了涉及LG與美國大公司的專案專有資訊,包括LG為美國大型公司開發的40GB Python程式碼。值得留意的是,該勒索軟體還會校驗計算機語言,如果匹配上就不會進行檔案加密。


不斷革新的加密技能、規範化的商業運作、再創天價的解密贖金……使之名聲大噪的Maze團伙成功吸引了Ragnar Locker和LockBit兩個規模不小的勒索團伙入夥,雙方協作釋出受害者資料,共同邁向了“互惠互利、和諧發展”的道路。

勒索病毒乘勢來襲,防禦入侵才是解決之道


對於大型企業而言,資料洩露帶來的不止有經濟上的損失,還會嚴重影響企業形象,使自身失去公眾信任。因此,面對這種以洩露資料為手段的勒索攻擊,就算企業有資料備份,也只能被迫選擇支付贖金。


據《騰訊安全2020上半年勒索病毒報告》顯示,整個上半年全球企業遭受勒索病毒打擊的事件依然高頻發生。而老牌勒索家族的攻擊物件已由過去的廣撒網、無差別模式轉變為具有勒索潛力的企業,這一轉變也讓勒索攻擊的收益轉化更為高效。


基於過去從企業中收穫的豐厚利益,勒索病毒攻擊將目標更多投向企業使用者。從勒索病毒影響的行業看,傳統企業、教育、醫療、政府機構遭受攻擊最為嚴重,佔比依次為42%、18%、15%、15%。同時網際網路、金融、能源也遭到勒索病毒攻擊不同程度的影響。


從佳能被勒索10GB資料事件,談企業如何做好資料全生命週期保護


對於個人使用者而言,面對勒索病毒的恐怖之處在於無法破解,一旦中招更多時候會選擇重灌系統,致使資料丟失帶來無法估量的損失。甚至可以說,勒索病毒如同一顆無法被完全切除的毒瘤,事先預防比事後處理更為關鍵。


騰訊安全根據多年與勒索病毒戰鬥的經驗,總結了“三不三要”思路。

l 不上鉤:標題吸引人的未知郵件不要點開

l 不開啟:不隨便開啟電子郵件附件

l 不點選:不隨意點選電子郵件中附帶網址

l 要備份:重要資料要備份

l 要確認:開啟電子郵件前確認發件人可信

l 要更新:系統補丁/安全軟體病毒庫保持實時更新


騰訊安全專家預測,勒索病毒未來攻擊將呈現傳播場景多樣化、攻擊目標轉向企業、更新迭代加快、勒索贖金定製化、病毒開發門檻降低、勒索病毒產業化、病毒多平臺擴散等趨勢。

從戰略視角切入,構建全生命週期資料安全防護能力


從2017年WannaCry勒索病毒全球範圍內大爆發,到近期B站百大UP主黨妹被勒索,再到近期佳明被勒索1000萬美元贖金事件,來勢洶洶的勒索病毒事件不斷引發社會各界對於資料安全和隱私保護的關注。


尤其在雲時代下,隨著企業產業網際網路的升級,企業資料開始參與到企業的生產當中,成為企業的重要生產資料甚至是核心資產。也因此,資料所面臨的風險與日俱增,資料洩露給企業造成的損失也越來越大。


“核心資料流的所有環節都是重點,而這個重點也是難點。”騰訊安全資料安全負責人彭思翔表示:因為要將資料流的所有環節進行梳理,包括人的管理、行為的控制、程式碼的健壯性等一系列問題囊括到資料安全的防護措施中是非常困難的。


面對全新的安全挑戰,騰訊安全綜合運用資料安全管理經驗和資料保護技術打造了資料安全治理中心、資料加密服務、金鑰管理系統、憑據管理系統、資料安全審計、堡壘機、敏感資料處理等七大產品體系,針對性地在資料全生命週期每個階段提供保護,幫助使用者克服資料安全防護的“四大難”問題。


在雲資料時代,安全不僅是企業生存問題,更是發展問題。對於企業而言,資料全生命週期防護是一種深入資料流的防護手段,其從資料的產生、傳輸、儲存、處理、共享、使用、銷燬等環節入手,建立了一套全生命週期的防護措施。這種貫穿始終的防護模式能夠避免木桶原理,防止一個短板導致企業資料安全全盤崩潰。


相關文章