500萬的勒索贖金預算，批還是不批？

又到了一年一度做企業預算的時刻，今年，小W遇到了一個難題。作為一家大型製造企業的IT負責人，小W在2021年的預算表中增加了一項500萬元的“勒索諮詢服務費”，用途備註是勒索贖金。以往，這筆這項預算從來沒有過。領導怎麼想，會不會被駁回，小W心裡打鼓。

 

設定這筆預算費的是有背景原因的：2020年，公司遇到了勒索事件，生產線癱瘓了2周，並且為此支付了400萬。雖然勒索事件發生後，做了簡單的加固，但是生產線上的工業控制主機，並沒有完全升級，還有被攻擊的風險。這筆預算的目的，是為了再次遇到勒索事件時有所準備。

 

據綠盟科技釋出的《2020網際網路安全事件觀察報告》中指出，2020年安全事件主要有如下幾類：漏洞類、勒索軟體、資訊洩露、工控攻擊事件及惡意軟體。其中，勒索軟體事件佔全年網路攻擊的四分之一，最高勒索贖金超4000w美金。

 

勒索軟體發展趨勢

勒索軟體有三個發展趨勢。第一個趨勢是勒索軟體的APT化。APT是高階持續性威脅的英文縮寫，高階是指攻擊手法高階，持續指的是攻擊時間長。三年前，WannaCry大規模的蠕蟲勒索軟體，只是透過微軟作業系統的漏洞傳播，並未體現出高階持續性的特點。近年來，勒索軟體有針對性的找攻擊目標，花費更長的時間攻擊滲透，不達目標不罷休。

 

圖中是微軟對幾種勒索軟體的一個分析圖，可見整個勒索軟體攻擊過程包括初始探測、獲取密碼、橫向移動、持續保留、釋放惡意程式碼、實現對檔案的加密。此圖可以和ATT&CK的攻擊手段做對映，側面反映了勒索軟體攻擊的複雜性，永續性。

圖：微軟-勒索軟體攻擊鏈

 

第二個趨勢，在加密勒索基礎上，資料洩漏勒索增加。原來勒索軟體加密檔案，不給贖金，勒索不給解密金鑰。現在的勒索軟體團伙，不僅僅是加密資料，還會盜竊資料。勒索團伙的目的很明確，就是索取贖金。如果不給贖金，他會利用把資料放到暗網售賣的方式進行威脅，資料洩漏勒索方式逐漸增加。

 

第三個趨勢，勒索軟體對製造企業的攻擊成增長趨勢。其中原因包括兩點：一是製造型企業的安全防護不到位，很多工業控制主機的系統，比較老舊，容易擊破；二是製造型企業支付贖金的意願比其他行業高。製造型企業的生產線一旦受到影響，日均損失將相當嚴重。為了減少停工停產的影響，製造企業不得已選擇支付贖金，儘快恢復生產，減少損失。

 

勒索軟體入侵途徑

 

勒索軟體的入侵有多個途徑，以RDP暴力破解、釣魚郵件和軟體漏洞為主要方式。2020年初，由於新冠疫情原因，遠端辦公成為主要的辦公方式，遠端桌面和VPN的廣泛使用，讓眾多裝置暴露在網際網路上。系統如果未採用雙因素認證（2FA），就有可能被暴力破解攻擊。

圖：COVEWARE-勒索軟體攻擊方式

 

第二大型別是釣魚郵件，也叫做魚叉攻擊。郵件中有URL連結，或者附件存在惡意程式碼，一旦不小心開啟裝置就會感染。

 

第三大型別是網際網路上開放的系統或者軟體存在漏洞。攻擊者透過定向掃描，或者查詢公開的網路威脅情報進行踩點，發現存在漏洞的系統，嘗試攻擊，進入後再橫向移動，逐步控制整個系統，再展開資料竊取和勒索加密的操作。

 

勒索軟體安全解決方案

針對勒索軟體的入侵方式，單一的產品不能阻止勒索軟體的入侵。需要綜合的系統的解決方案。綠盟科技推出“三階六步”的解決方案對抗勒索軟體。“三階”是指事前、事中、事後三個階段，“六步”指的是事前做好準備、備份和防護，事中做檢測和緩解，事後做響應和還原六個步驟。

 

事前：準備和防護

事前的準備和防護是最重要的步驟。防護需要圍繞著勒索軟體的初始進入來展開。在終端、網路、郵件等系統上，部署防護和過濾安全措施。並且，在提高員工意識培訓，資料備份，應急響應等角度做充分的準備工作。

1）減少網際網路暴露面，定期安全漏洞檢查和加固，及時更新系統和應用補丁。需要檢查暴露在網際網路上裝置清單，這些系統開放埠和應用的漏洞情況，做到非必要不開放，開放的服務需要多因素認證（MFA），並且保證系統和應用的版本最新。對於遠端辦公場景，在家辦工的員工，需要訪問公司或者雲端的應用，可以考慮零信任安全解決方案；

2）部署終端安全產品。終端防病毒系統，EDR軟體等；

3）部署郵件過濾產品。過濾垃圾郵件，釣魚郵件，對於高階持續威脅，考慮部署郵件沙箱產品，檢測和過濾魚叉郵件，過濾偽裝的未知威脅的附件；

4）企業定期組織安全意識培訓；

5）準備勒索應急響應流程，提前規劃一旦出現勒索病毒事件的緩解措施和業務恢復流程；

6）資料備份。備份堅持“3-2-1”原則，即有3份備份，分佈在2個地方，並且1個是離線的備份。線上的備份系統，避免使用CIFS或者NFS等簡單網路共享協議，避免勒索軟體加密備份系統上的資料。對備份系統也需要格外保護，防止攻擊者刪除備份資料。

 

事中：檢測和緩解

事中階段指的是，一旦勒索軟體進入企業網路系統，如果能在第一時間發現，也可以避免更大的損失。對感染的主機，需要及時隔離，避免勒索軟體感染更多的主機。這個階段利用終端部署EDR，網路層面部署NDR、NTA等檢測系統，加上威脅情報輸入，能夠及時發現入侵的蛛絲馬跡，隔離受影響主機。同時，SOAR的方案，在威脅分析的基礎上自動的執行隔離切斷操作。

 

事後：響應和還原

在事後階段，要進行應急響應和業務恢復。根據事前做的應急響應流程，按照步驟開展工作。調研“零號病人”，即最初被感染的是哪臺裝置，遭到什麼方式入侵，感染的是哪種型別的勒索軟體以及感染的範圍等。事後調查的目的，是為了不再出現勒索事件。

 

當下的勒索軟體，與之前的WannaCry勒索相比，有了很大的變化。勒索軟體威脅，利用了系統漏洞、密碼偷竊、資料洩漏等高階持續性的特點。這要求企業網路安全負責人，轉變思維，重視勒索軟體風險。參考綠盟科技“三階六步”的整體防禦、縱深防禦思路，在事前階段，圍繞阻斷勒索軟體的初始滲透路徑上做好防護，以“3-2-1”原則進行資料備份，防範於未然，有效消除勒索軟體風險。

 

 

參考文章：

1. 《2020網際網路安全事件觀察報告》--綠盟科技

2. 微軟：減少勒索軟體的風險

https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/

3. COVEWARE：2020年Q3勒索軟體統計報告

https://www.coveware.com/blog/q3-2020-ransomware-marketplace-report