勒索病毒與一起命案相距多遠?

騰訊安全發表於2020-10-16
疫情之下,被“帶火”的醫療網路攻擊仍在繼續並再次重新整理破壞紀錄。近日,為全球製藥公司提供臨床試驗(包括COVID-19疫苗試驗)工具的美國醫療軟體公司ERT(eResearchTechnology)被曝遭受勒索軟體攻擊,對包括美國知名製藥公司昆泰、施貴寶及阿斯利康等在內的多個新冠疫苗研究專案造成潛在威脅。據外媒報導,受長達兩週的勒索攻擊影響,ERT客戶的研究人員被迫改用“紙+筆”的原始做法繼續跟蹤患者資料,從而導致COVID-19新冠疫苗的臨床測試放緩,或將延誤新冠疫苗的研製程式。據ERT市場營銷副總裁Drew Bustos稱,公司正在全力恢復系統正常執行,安全威脅已“得到控制”。

值得注意的是,雖然ERT系統已處恢復模式,但並未披露勒索攻擊軟體與受影響使用者數量和類別等威脅確切資訊資料,這意味著該勒索軟體對醫療系統的安全威脅或仍會出現。


01

新“攻擊”之下

需要被重新審視的安全危機

隨著疫情的發展,如此針對相關醫療機構系統的網路攻擊事件已非個案,並大有規模化“跑火”的演進趨勢。而從由之帶來的連鎖影響上看,也不再僅限於資料丟失、財產損益,而是向間接引發公眾生命安全危機“延伸”。

9月10日,德國杜塞爾多夫大學醫院遭受到了勒索軟體攻擊,並經由商業軟體漏洞感染30多臺內部伺服器。受IT系統逐步中斷、崩潰,關鍵入院和病人記錄系統被離線的影響,醫院無法接收急需治療的患者,導致其因被迫轉移至32公里外的另一家醫院而錯過最佳搶救時間不幸身亡,成為人類史上首例因勒索病毒攻擊致死的“醫療事故”。而這一“勒索攻擊”也由此升級為“謀殺案”。

事實上,遭遇預想不到連鎖安全危機的並不只醫療機構。IT系統與產業架構及客戶黏連度的關聯牽制,重新定義了“安全危機”的範疇。早先,駭客襲擊造成的龍捲風警報異響和30餘個錯誤警報的觸發,迫使美國兩個德克薩斯州城市局不得不在會有風暴和龍捲風襲擊的情況下關閉了緊急警報系統。這一事件的發生使得當地局面陷入“災難未知”的恐慌與不安,由之帶來的負面影響也從虛擬網路空間延展到了物理世界。

而諸如近日披露的微軟旗下搜尋引擎Bing高達6.5TB+的移動應用程式資料被公開洩露等大規模資料洩露事件的頻發,更是讓企業和使用者因電子郵件地址、身份資訊、支付密碼等各類個人可識別資訊的暴露,陷入惡意攻擊者帶來的資訊、財產甚至是人身安全威脅。

大量事實證明,相比以往,新“攻擊”下的網路安全威脅已跳脫某一領域侷限,而呈現出多領域滲透、多元手段切入的新特點。而在這個過程中,因數字化系統關聯度所帶來的連鎖故障反應範圍也逐步擴大,且不確定性更加明顯。

新“攻擊”事件往往能夠透過對虛擬資料和系統的攻擊,擴大對被攻擊物件的牽制與影響,在造成資訊、財產、信譽等損失之外,也會公眾人身甚至生命安全帶來不可逆轉的威脅。面對更易引發的“雪崩效應”,安全威脅所帶來的間接效應以及聚焦“如何應對”的安全思維都亟需重新審視。
02

新舊威脅“組團”來襲

“被動應對”已成“過去式”

儘管觸發新攻擊連鎖反應的具體原因各有不同,所造成影響的確定性和危害程度也無法一概而論。但透過對諸多事件的細節分析可知,產業上雲和各行業數字化速度與僅聚焦於“被動應對”安全體系之間的差距,是加劇攻擊事件危害程度和破壞力的重要因素。伴隨著企業持續上雲程式的深入,傳統勒索病毒、挖礦木馬、高危漏洞、資訊洩露等和雲上影子IT風險、雲安全配置管理、自動化響應機制等新舊安全威脅向雲端的“組團擴張”,使得身處雲環境下的企業面臨更為嚴峻、複雜的安全域性勢。騰訊安全的情報資料顯示,雲資源作為攻擊源的比例已佔國內所有攻擊源的45.55%,約2/3的網路DDoS攻擊事件都以雲平臺IP作為攻擊目標;一旦發生安全事件,給企業帶來損失或將是致命性的。
勒索病毒與一起命案相距多遠?
然而,受黑灰產探 測利用和攻擊技術的“進化”以及公有云高度開放的“天然基因”等的雙重作用,相較於破壞力持續增大的雲安全威脅來說,傳統被動、靜態、單點、粗放和孤立的的企業安全體系顯然已無法承載對雲上安全威脅的高效感知和攻防需求。

在2020騰訊全球數字生態大會“未來經濟峰會”上,騰訊副總裁丁珂就指出,面對大多數企業雲安全體系與成倍增加的安全威脅之間的差距,在生產流程中把安全前置,是減少雲端安全攻擊面、降低安全連鎖危害覆蓋面的關鍵路徑。也就是說,相比“如何應對”,“未攻先防”的安全思路在雲安全領域顯得更為有效。


03

站位“安全前置”

構築安全運營新體系


刨除攻擊方手段精進等外部因素來看,本次勒索軟體攻擊事件影響之大,很大程度上也歸因於ERT公司在業務系統威脅感知、檢測和響應等安全方面預防策略的缺失。面對更加彈性的雲環境和成倍增加的安全告警,騰訊安全高階工程師耿琛曾表示:“想要安全地運營雲,就要以雲原生為中心,結合安全左移、資料驅動、自動化三個基本點來構建新的雲安全體系”。其中,以事前感知安全威脅和配置風險檢查能力為核心的安全前置可以說對企業夯實安全攻防“最前線”至關重要。為更好地幫助數字化轉型企業做好安全前置部署,騰訊安全結合多年黑產對抗經驗和雲環境下的網路安全需求,全面開放威脅情報中心及安全運營中心能力,作為企業應對新安全挑戰的重要支撐。一方面,透過威脅情報中心,實現對高危病毒和APT攻擊的識別、風險的預估評測、未知威脅防禦以及攻擊溯源分析,一定程度上賦予企業“未攻先防”先機策略,為其攻防第一關卡布下堅固防線;另一方面,則藉助騰訊安全運營中心的能力,簡單明瞭地幫助搭建從事前全預防、事中威脅檢測到事後響應處置的全生命週期防護部署,並實現雲上安全態勢的可視可感知。

具體到勒索病毒這類依然高頻發生的威脅,應對從資料及資訊資產損失到研究延誤乃至人員傷亡的超越一個級別危害等級的提升,安全威脅感知前置與響應預防顯然是“最優解法”。企業可以透過騰訊安全總結的“三不三要”思路從源頭上斬斷勒索病毒的攻擊危害。

不上鉤:標題吸引人的未知郵件不要點開

不開啟:不隨便開啟電子郵件附件

不點選:不隨意點選電子郵件中附帶網址

要備份:重要資料要備份            

要確認:開啟電子郵件前確認發件人可信

要更新:系統補丁/安全軟體病毒庫保持實時更新

安全性是雲端計算出現以來面臨的最大挑戰,也是產業數字化發展的底座。針對企業雲安全運營體系自行搭建門檻高、成本大、適配更新難等現狀,藉助安全廠商及其產品的安全能力成為企業搭建雲上安全運營新體系的高效之選。事實證明,這種安全協作思路能夠快速提升企業安全運營安全值,助力構建更具場景和環境適配的安全防護體系。

相關文章