從美核武承包商被REvil勒索推斷，資料安全將成為網路攻擊重點

事件：

據稱，美國核武器承包商Sol Oriens遭REvil勒索軟體團伙網路攻擊，該團伙聲稱正在拍賣在攻擊期間竊取的資料。作為盜取資料證明，REvil釋出了招聘概述檔案、工資檔案和工資報告的圖片，同時威脅若Sol Oriens不支付贖金，他們會將相關檔案和資料分享給其他軍事機構。

Sol Oriens是一個和美國國防部、能源部組織、航空航天等合作的承包商，目前他們似乎正與國家核安全管理局 (NNSA)合作專案。在Sol Oriens釋出的一則招聘啟示中顯示，Sol Oriens LLC目前需要一個在W80-4等核武器方面擁有20多年經驗的專家，負責規劃和管理核武器壽命延長計劃和相關管理工作。

REvil聲稱從Sol Oriens竊取了資料

儘管REvil在叫囂，但據調查，REvil竊取到的資料似乎不涉及高度機密檔案或原始碼，只包括了2020年9月的公司工資單，少數員工的姓名、社會保障號碼和季度工資。還有一個公司合同賬本，以及工人培訓計劃的備忘錄(備忘錄頂部有能源部和NNSA國防計劃的標誌)的一部分。但是否得到了美國核武器的更敏感、更秘密的資訊還有待進一步觀察。

網路攻擊從5月份即開始

Sols Oriens證實了2021年5月的一次網路攻擊影響了他們的網路。儘管目前還在調查此事件，但可以確定有未經授權的使用者從系統中獲取了某些檔案。這些檔案還在審查中，目前正與第三方技術取證公司合作，以確定可能涉及的潛在資料的範圍。但未發現跡象表明此事件涉及客戶機密或與原始碼安全相關的關鍵資訊。

勒索軟體團伙REvil

最近幾年REvil勒索軟體團伙不絕於耳，今年早些時候REvil攻擊宏碁(acer)公司並勒索5000萬美元，此後在蘋果新產品上線前勒索並威脅要洩露產品藍圖，最終獲得5000萬美元，就在前幾天，全球最大的肉類加工企業JBS Foods被勒索並支付價值1100萬美元的贖金，同時美國和澳洲業務受影響。

有研究顯示，REvil勒索團伙的攻擊手法隨著科技發展也在進步。比起大多數只靠RDP暴力破解進行攻擊的團伙，REvil 更願意嘗試不同的攻擊技術，從暴力破解到釣魚郵件，從利用殭屍網路分發到利用高危漏洞進行攻擊，從單純的檔案加密到透過竊取資料及原始碼等增加勒索籌碼，這給網路安全防禦增加一定難度。

並且不難發現，REvil一直以國內外中大型企業為攻擊目標，每次攻擊索要的贖金金額巨大，並且威脅若不支付贖金將會公開盜取的資料。

勒索軟體攻擊策略轉變

不同於從前針對中小企業或個人的勒索，目前網路犯罪分子開始針對那些可以賺取數百萬的“有錢”公司和工業部門、關鍵基礎設施等。這一點從美國Colonial Pipeline管道系統被DarkSide攻擊就可以看出。這些國家關鍵基礎及政務部門擁有大量敏感核心資料，同時受攻擊後造成的影響巨大，這些敏感資料成了網路攻擊者手中換取贖金的籌碼。

數字經濟背景下更要資料安全

隨著越來越多的企業、政府部門逐漸實現數字轉型，資料安全關係到整個社會經濟發展。加強資料安全更需要從以下幾點著手：

1、加強企業資料安全意識，制定網路安全應急流程及防範措施;

2、建立安全的資料管理策略，加大對敏感資料隱私保護，對資料分級分類進行加密;

3、政務部門透過自主可控的信創產品建立相對獨立的安全防護系統。

資料安全從軟體開發做起

今年RSAC中重點提到DevsecOps，過去安全話題是在軟體開發結束之後才體現，隨著敏捷開發逐漸成為趨勢，加之安全成為普遍關注問題，現在企業關注點已經從傳統的網路安全轉移到程式碼安全上來，因為絕大多數執行時出現的漏洞缺陷透過 靜態程式碼檢測工具（SAST）就能發現，這將節省修復程式碼的時間和成本。因此在DevsecOps中，靜態程式碼檢測是軟體安全的第一道關卡。針對開發過程中不同節點，利用SCA、DAST等檢測方式對軟體進行安全檢測，實現軟體開發生命週期全流程安全把控，這將為系統安全打下良好基礎從而更好的保障資料安全。