醫療行業防禦勒索病毒的三原則 ——美創醫療資料安全11

本文透過深入的介紹和分析勒索病毒威脅的規律,旨在強調:在設計應對勒索病毒攻擊的方案時，必須注重嚴密性、可落地性，應遵循 “減少接觸、及時阻斷、底線防禦”這三條原則，設計部署防禦勒索病毒攻擊的有效防禦解決方案。

勒索病毒威脅只增不減

自2016年底席捲全球的網際網路資料庫勒索風潮起，到2017年5月12日爆發的WannaCry勒索，勒索病毒正式被大眾熟知，成為全球範圍內主流的網路安全威脅力量，醫療行業則是受勒索病毒威脅最為嚴重的行業之一。據美國電信巨頭Verizon統計，2017年勒索病毒在全網所有的惡意軟體攻擊中的佔比高達39%，令人驚訝的是，其在醫療行業中的佔比遠高於平均值，飆升到了85%，2017年之後，勒索病毒威脅更是保持只增不減的趨勢，一直維持在高位。

在這個過程中，勒索病毒不斷在發展和變化。從攻擊物件上，其從廣譜式無差別勒索攻擊迅速過渡至面對企業和政府的集中式攻擊。從攻擊金額上，其贖金訴求從幾百美金上漲至幾百萬美元……短短三年時間，勒索病毒透過各種傳播方式和演進措施，已經在全球形成完全成熟的勒索產業鏈，影響甚廣。面對勒索病毒的爆發式上漲，我們必須改變過往的認知，將勒索病毒作為獨立的網路安全場景進行防範，充分思考其帶來的各類危害。

下圖是lumu公司釋出的勒索威脅情報情況，主要闡述了勒索事件帶來的影響和受害者在被勒索時所採取的措施：

❖ 36%的受害者在遭受勒索病毒入侵後選擇支付了贖金，而其中17%的受害者支付了贖金卻依然無法恢復資料；

❖  勒索病毒給企業帶來了巨大的困擾，如北美69%，亞太55%的企業曾報告其受到了勒索病毒的影響。

勒索威脅情報情況

醫療行業是受勒索病毒入侵感受較為直觀、頻繁的行業，也是受影響最深刻、廣泛的行業。面對頻繁發生的勒索事件以及時時刻刻存在的勒索威脅，醫院需要思考和選擇，勒索後是否需要迫於無奈交付鉅額贖金？是否需要能夠承擔業務戛然而止帶來的損失？是否在遭受勒索病毒前提前做好事前防範……面對全球形勢下的勒索威脅，通常醫院的決策決定了其在遭受勒索病毒攻擊後的生存能力。

 

下圖為美創科技在8、9月釋出的勒索月報，闡述了勒索病毒在當月入侵的行業佔比：

美創科技8月、9月勒索月報

 

可以直觀地看到，醫療行業在眾多受影響的行業中佔比還是相對較大，是勒索病毒威脅的重災區，除此之外，像教育、網際網路企業、政府機構、金融、能源等行業也都受到不同程度的影響，總而言之，各類報告、資料、事實都在印證：勒索病毒威脅廣泛存在，是否被勒索只是機率問題。

勒索病毒威脅為何會成為網路安全主流威脅

2016年為勒索病毒元年，2017年，WannaCry成為了網路安全史上影響最大的安全事件之一，大眾真正開始為其帶來的危害與影響感到恐慌，勒索病毒至此成為網路安全主流威脅之一。

事實上，勒索病毒成為網路安全主流的威脅，還有更為隱秘的原因：勒索軟體/服務是黑色產業鏈的顛覆性創新。在勒索病毒出現之前，黑色產業鏈的盈利模式主要還是靠資料買賣、攻擊服務等方式，意味著駭客（即賣家）在交易關係中，首先需要找到合適的買家，而受買賣關係渠道（如只能在暗網中交易）、買家低價求助等條件的限制，駭客的收益、興趣也都會有所折損，例如部分駭客在嚐到微小收益的甜頭後選擇收手。

但勒索病毒突破了以往黑色產業鏈的模式，解決了尋找買家變現的問題，即：透過加密檔案，讓被勒索者被迫成為買家，讓被勒索者自己迫於資料破壞和業務終止帶來無奈，逼迫其支付贖金。由於勒索病毒的門檻較低，勒索入侵事件在短時間內成為了一個人人可參與、易參與的高回報產業，這種低門檻、高收益的高階商業模式從本質上決定了勒索攻擊必然會成為網路安全最主流的威脅。

以上特徵決定了只要勒索攻擊如此來錢快的商業模式不被摧毀/破解，如果沒有更好的黑產商業模式可顛覆式地替代勒索攻擊的盈利模式，那麼駭客的野心會一直存在，也意味著透過勒索病毒進行入侵的事件會不斷蔓延生產，每個人、每個單位組織都會有更大的機率親眼目睹、感受勒索攻擊帶來的危害。

當前勒索病毒攻擊防禦的困境

從入侵的技術手段來看，勒索病毒與傳統的網路攻擊方式相比，並沒有特別出彩的內容，但是從影響的後果來看，其簡單粗暴的入侵方式（即加密檔案）讓受害者無法從以“檢測和響應”為基礎的傳統網路安全架構中找到合適的方式應對，尤其是大多數受害者目前主要還是以“人工響應”為主，事前檢測不到、事中缺少機制攔截管控、事後響應速度慢等問題，讓現有的機制紕漏無所遁形。

這是因為，傳統的網路攻擊往往伴隨著複雜的攻擊工程，如需要透過埠掃描、網路嗅探、伺服器密碼爆po、SQL隱碼攻擊嘗試等一系列工作進行步步滲透，這一複雜的探索過程給以“檢測和響應”為主的安全架構留下了相對充足的響應時間，允許有一定程度的響應時間延遲以讓防禦者及時做出響應。

但勒索病毒攻擊並不需要如此複雜的環境檢測，其通常利用既有的漏洞特徵，如0DAY漏洞進行全網掃描，做無目標/既定目標的破壞性操作，使響應時間趨於零，讓受害者無法及時應對。這種對於響應方式進行改變的攻擊使得勒索防禦異常困難，對此，通常有三種選擇可以有效應對：

❖ 不讓惡意軟體到達目標，即無法接觸目標、無法執行；

❖ 在勒索病毒啟動破壞動作（加密）的時候，立即阻止其行為；

❖ 破壞後，透過已有備份進行資料恢復，以輔助業務恢復正常。

 

但從實用性而言，第1條几乎是不可能完成的任務。讓病毒無法進入系統一直以來都是棘手的問題，透過網路、隨身碟、內部人員等行為都有可能讓惡意軟體有機可乘，目前尚無100%完美無暇的方案。這就決定了這條應對措施依然只能依賴機率，但顯然，求助於機率使得問題永遠無法被完美解決，即這條措施變得不可信賴。

而第3條，在被勒索後，受害者需要面臨長期的業務中斷和資料丟失問題，想要找回資料，需要確保備份和生產環境分離，如異地備份、離線備份，保證生產庫和備份庫不被同時勒索。

綜合以上，在設計應對勒索病毒攻擊的方案時，必須注重嚴密性、可落地性，因此較為周全的解決方案應當做到以下三條原則：

• 減少接觸

透過減少惡意軟體接觸目標（如辦公PC、伺服器、終端等）的機會，來減少被勒索的機率。

• 及時阻斷

透過及時阻斷勒索病毒入侵行為，避免勒索病毒帶來進一步的傷害，讓攻擊失效。

• 底線防禦

透過備份、容災等備用方案，保證被勒索後依然有資料可以恢復。

應對勒索病毒攻擊的有效防禦解決方案

當前，常見的勒索病毒解決方案還是以防毒軟體為主，即：透過將靜態檔案特徵、惡意軟體行為特徵加入至黑名單，透過檢測和攔截進行防禦。但勒索病毒的變異特徵較為明顯，會透過更新/修改自身程式碼以繞過防毒軟體的查殺，因此，面對變種病毒，這些以黑名單為主的產品需要頻繁地更新特徵庫，以適應病毒的變化，而分析病毒、更新病毒庫等操作無形中拉長了響應時間，為病毒提供了充足的執行時間視窗，這也使得這種防禦模式更為被動。

針對以上困境，美創科技始終將目標聚焦于勒索病毒最本質的特點：即駭客主要以加密資料檔案為手段，向受害者所要贖金。那麼無論勒索病毒特徵如何變化，它始終需要對資料檔案進行加密操作，這其中就包括讀取檔案、寫入檔案、刪除檔案、複製檔案等操作，相對於上文所述的勒索病毒動態變化，這裡提到的讀寫操作可以被認為是靜態不變、固定的特徵。從以上特徵來看，結合美創多年來倡導的零信任理念，可對檔案、檔案的操作行為進行細粒度的許可權控制，目前這一方式已在美創諾亞防勒索產品中得到落地，其中主要的防禦功能有：

1 ）檔案控制：對操作不同檔案型別的應用進行識別、控制。勒索病毒在加密時，有一個較為明顯的特徵：即同一個勒索病毒應用程式會對多種檔案型別進行加密操作。針對這一特徵，我們設定特定的檔案型別只能由特點的應用進行操作。舉個例子，資料庫檔案只能由資料庫相關的合法應用進行操作，如果勒索病毒/其它未經授權的應用（無論是否正版，只要是未經授權的）進行操作時便會進行攔截。

2 ）應用授權：設定特定的應用對特定檔案的操作許可權。主要是為了防止勒索病毒假冒正常應用對檔案進行加密。當我們對不同應用都設定了不同的檔案控制許可權時，即使勒索病毒假冒成功，我們也能夠透過細粒度的檔案操作許可權進行控制，如防刪除等，將影響縮小至可控範圍內。

3 ）應用控制：透過部分特徵來描述應用，建立應用信任白名單和黑名單，對於黑名單應用進行直接攔截，這一部分吸取傳統的勒索病毒解決方案的優點，可快速精確地識別勒索病毒。

4 ）誘餌檔案：設定特定的誘餌檔案並對其進行監控，當出現應用對誘餌檔案進行操作時，觸發相關安全響應，如隔離病毒、查殺病毒程式、郵件簡訊告警等。

除以上防禦策略外，針對伺服器上執行的較為固定應用程式的重要資料庫伺服器，勒索病毒入侵後，病毒的應用程式區別於固定執行的合規程式。因此，可設定相關策略，對所有新增的應用進行隔離，實現對其餘應用的“零信任”，從而在勒索病毒到達之前實現防禦效果。

提升資料安全以應對勒索病毒新套路

但根據勒索病毒手段攻擊的演變，當前已有部分使用者拒絕支付贖金，駭客惱怒進而選擇直接進行資料公開的案例，預計未來也是勒索病毒發展的方向之一。

美創醫療資料安全解決方案

同時，勒索病毒攻擊也意味著受害者資料環境存在不同程度的漏洞，帶來更嚴重的趨勢，如內部人員利用核心資料進行勒索，建議及時進行資料安全建設，以保障核心資產的安全。美創作為資料安全行業的領導者，已有豐富的實戰應對經驗，可提供全方位的解決方案，幫助使用者提升整體資料安全水平。