安全事件

5月9日，美國交通部發布一份“區域緊急狀態宣告”，美國最大燃油管道運營商Colonial Pipeline因受勒索軟體攻擊，被迫臨時關閉其美國東部沿海各州供油的關鍵燃油網路。此次勒索攻擊使美國三個區域受到了斷油的影響，共涉及17個州。這是美國首次因網路攻擊事件而進入國家緊急狀態，這次事件也敲響了關鍵基礎設施網路安全的警鐘。

起因探尋

5月7日，美國最大燃油管道商Colonial Pipeline遭到網路勒索軟體攻擊。

之後，Colonial Pipeline發表宣告、已經對關鍵系統作了斷網處理，關閉所有的管道作業及部分的IT系統，以避免勒索軟體的感染範圍持續蔓延，並聘請第三方專家來調查此次事件牽涉的範圍，同時知會相關機關請求幫助。

5月10日，駭客組織DarkSide在其官網釋出宣告，承認攻擊了Colonial Pipeline。據BBC進一步的報導，DarkSide不僅滲透了Colonial Pipeline網路、加密了系統檔案，還下載了近100GB的資料作為威脅。

DarkSide是一個新的組織，但是它在勒索業務上早已輕車熟路。去年8月，DarkSide釋出了勒索軟體Ransomware。該軟體不僅勒索了大筆的贖金，還透過設定外洩資料系統向受害者展示所竊取的資料，造成受害者的恐慌。

類似的事件

近年來，針對關鍵基礎設施的勒索攻擊層出不窮，勒索金額越發龐大，造成的危害日益嚴重，影響更為廣泛深遠。

2020年4月，葡萄牙跨國能源公司EDP遭到勒索軟體攻擊。EDP集團是歐洲能源行業（天然氣和電力）最大的運營商之一，也是世界第四大風能生產商，在全球四個大洲的19個國家/地區擁有業務。勒索軟體的攻擊者聲稱，已獲取EDP公司10TB的敏感資料檔案，向EDP公司索要了約1090萬美元。

此外，2020年七月中旬，阿根廷電信被REvil勒索750萬美元贖金，REvil短短一週內便感染超過18000臺計算機，REvil稱如果阿根廷電信公司三天內不支付贖金，價格便會翻倍。

有報告稱：“勒索軟體攻擊者明白被攻擊後的時間對於企業來說有多寶貴，他們一直在想辦法讓勒索攻擊的獲利最大化。”在未來很長一段時間內，勒索病毒仍會是企業安全的頭號敵人。

勒索病毒具有極強的隱蔽性。攻擊者很多都是利用未知漏洞、自定義工具、或者社工、釣魚等方式獲取系統管理員賬號和許可權，憑藉合法身份、正常操作實施入侵，使得傳統的安全防禦手段失效，企業無法及時發現並有效應對威脅。目前，該攻擊具有以下特點：

1. 攻擊物件精準化

攻擊物件可定位到具體的政府、企業和個人，控制的資料物件從普通的使用者資料、計算機檔案到與稅務、金融相關的檔案。

2. 感染方式多樣化

勒索軟體主要利用作業系統、智慧終端系統的固有漏洞或計算機裝置後門等為通道，進行大範圍感染傳播。

3. 勒索模式服務化

勒索軟體的使用者由最初的編寫者變為如今的第三方，即開發者為第三方提供勒索軟體，後者支付一定費用或者將勒索所得的一部分返回來變現。現在這種勒索軟體 DIY 套件在地下黑市和論壇中隨處可見，所以即使不懂技術的犯罪分子也可以使用勒索軟體進行網路勒索。

針對勒索軟體的攻擊我們能做什麼

勒索病毒的攻擊雖然強勢，然而並不是攻無不克。面對勒索軟體，企業需要強化網際網路內部環境，向整體化防禦和智慧化響應轉變，實現“安全防禦-監測預警-威脅感知-聯動處置”的安全運營閉環。以下是一些參考建議：

1. 加強網路邊界防護力度

深度聚合零信任框架，在網際網路環境內部署身份認證管理系統，對所有訪問請求進行持續性加密、認證和強制授權，實現基於身份的動態管控，提升安全防護，由被動防禦轉為主動防禦。

2. 採用基於行為的攻擊檢測解決方案

採用部署蜜罐等基於行為的攻擊檢測解決方案，透過在內外網中一鍵署高模擬蜜標、蜜罐和自定義蜜網，實時監測惡意程式碼、APT等網路攻擊，及時感知勒索病毒的入侵、擴散、執行等各個環節，並及時告警，不斷地提升網路邊界的防護功能。

3. 建立應急機制建設

企業需建設緊急事件的防範和處置體系，定期開展預案演練，推進突發事件預測預警、資訊報告、應急響應、應急處置和調查評估機制的實戰能力。在系統上建立威脅情報，依託於大資料分析和機器學習技術對攻擊行為進行關聯分析，聯動使用者的其他安全裝置對攻擊者進行聯動阻斷，形成協同的安全監控響應一體防禦方案，防止勒索軟體的擴散。

4. 建設專業安全服務團隊，強化網路安全人才隊伍建設

建設一支專業化安全服務團隊，面向企業領導、相關部門主要負責人和企業員工，定期組織開展網路安全防護培訓，提高全員網路安全防範意識。