2021年5月美國東部輸油管道公司遭遇勒索軟件攻擊，進(jìn)而引發(fā)美國東海岸大面積燃料短缺后，全球范圍內(nèi)勒索軟件攻擊一直屢禁不止。

　　6月，全球最大肉類供應(yīng)廠商之一JBS遭遇勒索病毒攻擊，被迫支付了價(jià)值1100萬美元的比特幣贖金。7月3日，美國技術(shù)管理軟件供應(yīng)商Kaseya遭遇勒索攻擊。

　　網(wǎng)絡(luò)犯罪事件日益增加，給企業(yè)網(wǎng)絡(luò)安全造成巨大威脅。勒索軟件門檻低、“效果”顯著，尤其受到網(wǎng)絡(luò)黑客青睞。勒索病毒是怎么發(fā)生的，企業(yè)又該如何防范?南方日報(bào)、南方+記者采訪相關(guān)行業(yè)人士對此進(jìn)行解讀。

　　比特幣加劇攻擊全球化?

　　勒索攻擊，是怎么發(fā)展到現(xiàn)在的?

　　騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸介紹，早期的勒索還是以一種“偷數(shù)據(jù)、賣數(shù)據(jù)”的模式進(jìn)行，就如同偷竊之后銷贓，不同的是，其它偷來的東西總能找到買家，數(shù)據(jù)卻很難，買家也不多。

　　此后，勒索攻擊逐步APT化。所謂APT攻擊，即定向威脅攻擊。早些時(shí)候，勒索攻擊就是一個(gè)病毒，例如Wannacry，攻擊者把惡意軟件做出來并投放出去，傳播方式上勒索病毒與傳統(tǒng)病毒并無二致，這一招收割了不少目標(biāo)。

　　“但是，這種模式會(huì)有很大一個(gè)問題，即它依賴威力很大的漏洞，且漏洞的價(jià)值要非常高，可能一年出不了一個(gè)，因此很難持續(xù)。”于旸說，后面逐漸演變成病毒自動(dòng)攻擊的模式。

　　更重要的是，數(shù)據(jù)黑產(chǎn)的全產(chǎn)業(yè)鏈的成熟運(yùn)作。過去，通過銀行轉(zhuǎn)賬這條線可以抓住黑手，但在比特幣等虛擬貨幣便捷的支付方式之下，敲詐勒索的“全球化方案”得以普及，不再會(huì)遭遇外匯管制的問題，轉(zhuǎn)賬也很難再被鎖定賬戶，因?yàn)楸忍貛攀悄涿模y以被追溯。

　　“對勒索攻擊來說，通過虛擬貨幣交易方式找到了一種更好的途徑，推動(dòng)勒索病毒火爆起來了。”翼盾智能CEO朱易翔說。

　　朱易翔印象比較深的一個(gè)案例是，一企業(yè)遭遇勒索，一些與合同相關(guān)的資料被加密。專家診斷認(rèn)為，想要恢復(fù)難度極大。這家企業(yè)也嘗試支付贖金，不過無法在財(cái)務(wù)流程上購買虛擬貨幣。最后企業(yè)只好通過過往的備份資料慢慢恢復(fù)，也造成了一定的損失。

　　“既然是奔著錢來的，說明整個(gè)鏈條已經(jīng)高度產(chǎn)業(yè)化了。”朱易翔說。

　　企業(yè)信息化程度高反而易遭攻擊?

　　那么，怎樣的企業(yè)最容易被攻擊?

　　騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松介紹，勒索對象基本上都是大中型企業(yè)，這些企業(yè)做了大量信息化工作，但也對計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)依賴程度高，反而成為被攻擊對象。

　　通信運(yùn)營商就是一個(gè)非常典型的例子，它們對信息化、網(wǎng)絡(luò)化依賴程度高，且影響力較大，一旦被勒索病毒攻擊得逞后，造成的影響也巨大大。

　　朱易翔也發(fā)現(xiàn)，勒索攻擊的對象偏基礎(chǔ)設(shè)施類，在最近幾年的案例中，越來越多涉及能源、通信運(yùn)營商、公共交通、金融以及政府等機(jī)構(gòu)，面臨勒索的挑戰(zhàn)。

　　按理，這些企業(yè)更有資金實(shí)力來構(gòu)筑安全防線，但為何依然受到勒索病毒的攻擊?

　　馬勁松說，安全問題不是一勞永逸的手段，而是一個(gè)動(dòng)態(tài)演進(jìn)的過程，需要持續(xù)的投入、運(yùn)營、升級。比如企業(yè)認(rèn)為買了殺毒軟件、買了邊界防護(hù)設(shè)備、請了一些安全服務(wù)就到位了，其實(shí)還有對員工的培訓(xùn)，對日常行為的管理。

　　他總結(jié)道，從攻擊者的角度來看，這種勒索攻擊是有明確的目的性和利益取向，一定會(huì)想盡各種辦法達(dá)到目的，不會(huì)輕易停手;從防御者的角度，數(shù)字化程度不斷加深，信息化建設(shè)的發(fā)展大大增加了被攻擊者的暴露面、攻擊面。

　　“不怕賊偷，就怕賊惦記。”朱易翔也說，攻防具有不對稱性，一方面是時(shí)間上的不對稱性，攻，可在某個(gè)時(shí)間點(diǎn)上進(jìn)行，防，則要無時(shí)無刻進(jìn)行;另一方面，攻只需要找到一個(gè)精確的打擊點(diǎn)，而防則要密不透風(fēng)沒有遺漏。

　　于旸也提到，勒索攻擊已經(jīng)到了一個(gè)非常復(fù)雜、高級的形態(tài)，相應(yīng)的防御也要不斷升級，“新的攻擊技術(shù)每個(gè)月甚至每天都在產(chǎn)生，而新的漏洞也不斷出現(xiàn)，企業(yè)人員也是流動(dòng)的，此前建立好的安全體系，可能會(huì)隨著人員流動(dòng)、新招員工的變動(dòng)而變動(dòng)”。

　　安全更是一項(xiàng)重要的成本考慮。朱易翔說，企業(yè)要考慮投入產(chǎn)出比，比如安全做到了95分，再提高1分，投入大但邊際效應(yīng)遞減。怎么投入，在哪里投入，都需要仔細(xì)衡量。

　　如何織密安全這張大網(wǎng)?

　　嚴(yán)峻的安全形勢，讓企業(yè)無法掉以輕心。如何織密這張安全大網(wǎng)?

　　于旸說，傳統(tǒng)的安全防御，更多是一種邊界防御，通過防火墻、IPS(入侵防御系統(tǒng))，把攻擊者擋在外面。而在今天，任何邊界防御措施都不能100%有效，一旦攻擊者有一個(gè)小口進(jìn)來，就可以接觸到內(nèi)部數(shù)據(jù)，甚至對這些數(shù)據(jù)進(jìn)行加密。

　　“不能再簡單的依賴邊界防御了，可以引入一些新的安全思維比如‘零信任’。”于旸說。

　　馬勁松也建議，首先，對關(guān)鍵數(shù)據(jù)及時(shí)備份，從過往經(jīng)驗(yàn)來看，數(shù)據(jù)一旦被損壞，技術(shù)手段恢復(fù)的可能性較低。

　　其次，在信息化日常的建設(shè)中，要把漏洞管理、補(bǔ)丁及時(shí)更新提到非常重要的地位。目前，勒索攻擊一個(gè)重要的途徑是通過攻擊漏洞方式打開缺口。

　　再次，人也要提高警惕，加強(qiáng)從業(yè)人員的安全教育、提高安全素養(yǎng)，例如收到莫名的電子郵件，看到社交網(wǎng)絡(luò)上的奇怪鏈接，拾到可疑的優(yōu)盤，都要保持高度警惕。

　　但并非有充分的備份措施就能高枕無憂。還有一種威脅，則是數(shù)據(jù)公開。朱易翔認(rèn)為，一些關(guān)鍵數(shù)據(jù)要自己先進(jìn)行加密，這樣對勒索攻擊來說，不至于拿到很重要的隱私數(shù)據(jù)。(邯鄲微信托管)