安全事件
5月9日,美國交通部發布一份“區域緊急狀態宣告”,美國最大燃油管道運營商Colonial Pipeline因受勒索軟體攻擊,被迫臨時關閉其美國東部沿海各州供油的關鍵燃油網路。此次勒索攻擊使美國三個區域受到了斷油的影響,共涉及17個州。這是美國首次因網路攻擊事件而進入國家緊急狀態,這次事件也敲響了關鍵基礎設施網路安全的警鐘。
起因探尋
5月7日,美國最大燃油管道商Colonial Pipeline遭到網路勒索軟體攻擊。
之後,Colonial Pipeline發表宣告、已經對關鍵系統作了斷網處理,關閉所有的管道作業及部分的IT系統,以避免勒索軟體的感染範圍持續蔓延,並聘請第三方專家來調查此次事件牽涉的範圍,同時知會相關機關請求幫助。
5月10日,駭客組織DarkSide在其官網釋出宣告,承認攻擊了Colonial Pipeline。據BBC進一步的報導,DarkSide不僅滲透了Colonial Pipeline網路、加密了系統檔案,還下載了近100GB的資料作為威脅。
DarkSide是一個新的組織,但是它在勒索業務上早已輕車熟路。去年8月,DarkSide釋出了勒索軟體Ransomware。該軟體不僅勒索了大筆的贖金,還透過設定外洩資料系統向受害者展示所竊取的資料,造成受害者的恐慌。
類似的事件
近年來,針對關鍵基礎設施的勒索攻擊層出不窮,勒索金額越發龐大,造成的危害日益嚴重,影響更為廣泛深遠。
2020年4月,葡萄牙跨國能源公司EDP遭到勒索軟體攻擊。EDP集團是歐洲能源行業(天然氣和電力)最大的運營商之一,也是世界第四大風能生產商,在全球四個大洲的19個國家/地區擁有業務。勒索軟體的攻擊者聲稱,已獲取EDP公司10TB的敏感資料檔案,向EDP公司索要了約1090萬美元。
此外,2020年七月中旬,阿根廷電信被REvil勒索750萬美元贖金,REvil短短一週內便感染超過18000臺計算機,REvil稱如果阿根廷電信公司三天內不支付贖金,價格便會翻倍。
有報告稱:“勒索軟體攻擊者明白被攻擊後的時間對於企業來說有多寶貴,他們一直在想辦法讓勒索攻擊的獲利最大化。”在未來很長一段時間內,勒索病毒仍會是企業安全的頭號敵人。
勒索病毒具有極強的隱蔽性。攻擊者很多都是利用未知漏洞、自定義工具、或者社工、釣魚等方式獲取系統管理員賬號和許可權,憑藉合法身份、正常操作實施入侵,使得傳統的安全防禦手段失效,企業無法及時發現並有效應對威脅。目前,該攻擊具有以下特點:
1. 攻擊物件精準化
攻擊物件可定位到具體的政府、企業和個人,控制的資料物件從普通的使用者資料、計算機檔案到與稅務、金融相關的檔案。
2. 感染方式多樣化
勒索軟體主要利用作業系統、智慧終端系統的固有漏洞或計算機裝置後門等為通道,進行大範圍感染傳播。
3. 勒索模式服務化
勒索軟體的使用者由最初的編寫者變為如今的第三方,即開發者為第三方提供勒索軟體,後者支付一定費用或者將勒索所得的一部分返回來變現。現在這種勒索軟體 DIY 套件在地下黑市和論壇中隨處可見,所以即使不懂技術的犯罪分子也可以使用勒索軟體進行網路勒索。
針對勒索軟體的攻擊我們能做什麼
勒索病毒的攻擊雖然強勢,然而並不是攻無不克。面對勒索軟體,企業需要強化網際網路內部環境,向整體化防禦和智慧化響應轉變,實現“安全防禦-監測預警-威脅感知-聯動處置”的安全運營閉環。以下是一些參考建議:
1. 加強網路邊界防護力度
深度聚合零信任框架,在網際網路環境內部署身份認證管理系統,對所有訪問請求進行持續性加密、認證和強制授權,實現基於身份的動態管控,提升安全防護,由被動防禦轉為主動防禦。
2. 採用基於行為的攻擊檢測解決方案
採用部署蜜罐等基於行為的攻擊檢測解決方案,透過在內外網中一鍵署高模擬蜜標、蜜罐和自定義蜜網,實時監測惡意程式碼、APT等網路攻擊,及時感知勒索病毒的入侵、擴散、執行等各個環節,並及時告警,不斷地提升網路邊界的防護功能。
3. 建立應急機制建設
企業需建設緊急事件的防範和處置體系,定期開展預案演練,推進突發事件預測預警、資訊報告、應急響應、應急處置和調查評估機制的實戰能力。在系統上建立威脅情報,依託於大資料分析和機器學習技術對攻擊行為進行關聯分析,聯動使用者的其他安全裝置對攻擊者進行聯動阻斷,形成協同的安全監控響應一體防禦方案,防止勒索軟體的擴散。
4. 建設專業安全服務團隊,強化網路安全人才隊伍建設
建設一支專業化安全服務團隊,面向企業領導、相關部門主要負責人和企業員工,定期組織開展網路安全防護培訓,提高全員網路安全防範意識。