媒體報(bào)道

首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2021 > 正文

全文下載 | 三萬字《防數(shù)據(jù)勒索解決方案》讓關(guān)基保護(hù)實(shí)現(xiàn)真實(shí)場(chǎng)景落地

閱讀量：次

天下苦“勒索軟件攻擊”久矣。

近日，美國政府宣布懸賞高達(dá)1000萬美元，以獲取幫助識(shí)別或追蹤臭名昭著的“黑暗面”（DarkSide）黑客組織頭目的信息。美國執(zhí)法部門此前宣稱，該黑客組織是5月份導(dǎo)致美國燃油管道公司Colonial Pipeline癱瘓的勒索軟件攻擊的幕后黑手。那次襲擊導(dǎo)致一條5500英里長的向美國東海岸提供燃料的管道關(guān)閉，造成汽油短缺。Colonial最終以加密貨幣的形式向黑客支付近500萬美元的贖金。美國燃油管道事件被不少美媒定性為 “美國有史以來最具破壞性的數(shù)字勒索事件之一”。

勒索軟件對(duì)關(guān)基危害巨大

勒索軟件是目前網(wǎng)絡(luò)空間中最具破壞性且傳播廣泛的一種惡意軟件，近年來持續(xù)肆虐，已成為威脅網(wǎng)絡(luò)安全的主要“殺手”。

2016年3月，網(wǎng)絡(luò)攻擊導(dǎo)致孟加拉國央行8100萬美元被竊；2017年，Petya勒索病毒暴發(fā)，歐洲多個(gè)國家被大規(guī)模攻擊，尤其烏克蘭的政府機(jī)構(gòu)、銀行、企業(yè)等均遭大規(guī)模攻擊，甚至烏克蘭副總理的電腦也遭受攻擊；2019年6月，世界最大飛機(jī)零件供應(yīng)商之一ASCO遭遇勒索病毒攻擊，生產(chǎn)環(huán)境系統(tǒng)癱瘓，千名員工被迫帶薪休假；2019年10月，全球最大的助聽器制造商之一Demant遭受勒索病毒入侵，損失高達(dá)9500萬美元；2019年12月，一個(gè)名為Maze的黑客組織攻擊了佛羅里達(dá)州彭薩科拉市，該市電話、市政熱線、電子郵件服務(wù)器和賬單支付系統(tǒng)遭到破壞；2020年底，電子巨頭富士康在在墨西哥的一家工廠遭遇數(shù)據(jù)勒索攻擊，一度造成這家工廠停工減產(chǎn)；2021年，美輸油管道運(yùn)營商、華盛頓警局接連“中招”，被索高額贖金，國家一度進(jìn)入緊急狀態(tài)。

有研究表明，在未來國際網(wǎng)絡(luò)空間戰(zhàn)場(chǎng)上，攻擊者對(duì)勒索軟件的利用將不再局限于經(jīng)濟(jì)牟利，而更多轉(zhuǎn)向純粹的國家級(jí)破壞活動(dòng)。一言以蔽之，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊可能會(huì)對(duì)國家的運(yùn)作能力造成“破壞性影響”。

抽絲剝繭分析勒索攻擊作案路徑

安恒信息董事長范淵曾在接受央視采訪時(shí)曾表示，勒索病毒以及它的變種是一種非常典型的網(wǎng)絡(luò)安全的例子。面對(duì)勒索攻擊，如果提前預(yù)防，成本可能是事后的百分之一、甚至千分之一。下一步很有必要針對(duì)關(guān)鍵、敏感的新型關(guān)鍵性基礎(chǔ)設(shè)施快速做好對(duì)勒索病毒變種為代表的網(wǎng)絡(luò)安全防范工作。

面對(duì)現(xiàn)代勒索軟件攻擊甚囂塵上的現(xiàn)狀和挑戰(zhàn)，安恒信息在實(shí)踐基礎(chǔ)上輸出多達(dá)三萬字的全面體系化《防數(shù)據(jù)勒索解決方案》。方案從具體案例切入：

舉個(gè)例子：富士康被勒索事件

2020年底，電子巨頭富士康在在墨西哥的一家工廠遭遇數(shù)據(jù)勒索攻擊，攻擊者聲稱，加密了超過1,000臺(tái)服務(wù)器，竊取了100 GB的未加密文件，并刪除了20-30 TB的備份，勒索者還在數(shù)據(jù)泄露站點(diǎn)上發(fā)布部分?jǐn)?shù)據(jù)。數(shù)據(jù)勒索者索要1804.0955 BTC贖金，約為35,000,000美元（約合2億人民幣），一度造成這家工廠停工減產(chǎn)。

以此事件為例，勒索組織并不是僅僅將數(shù)據(jù)加密，而是滲透、竊取、泄露、破壞、加密相結(jié)合，由此可見，在實(shí)施企業(yè)數(shù)據(jù)勒索的過程中，勒索組織又有進(jìn)一步的精細(xì)化分工。在對(duì)企業(yè)進(jìn)行數(shù)據(jù)勒索時(shí)，勒索病毒反而成為最后實(shí)現(xiàn)勒索的工具，數(shù)據(jù)勒索過程與APT攻擊有相似的攻擊鏈，描述如下：

入侵內(nèi)網(wǎng)：通過網(wǎng)站掛馬、垃圾郵件、病毒、木馬、社會(huì)工程等方式，甚至是APT攻擊，勒索組織進(jìn)入用戶內(nèi)網(wǎng);?
內(nèi)網(wǎng)踩點(diǎn)：獲取一部分資源的控制權(quán)限后，勒索組織會(huì)建立隱蔽通信通道進(jìn)行遠(yuǎn)程控制，也為竊取數(shù)據(jù)建立數(shù)據(jù)傳輸通道；
勒索組織會(huì)通過掃描探查、數(shù)據(jù)監(jiān)聽、記錄分析等方式，了解用戶內(nèi)網(wǎng)的資源分布情況，到薄弱環(huán)節(jié)和有漏洞的系統(tǒng)，重點(diǎn)探查數(shù)據(jù)庫服務(wù)器、備份服務(wù)器的數(shù)據(jù)較為集中的系統(tǒng)。
橫向滲透：通過系統(tǒng)漏洞、口令攻擊等方式獲取更多系統(tǒng)的控制權(quán)，尤其是獲取數(shù)據(jù)庫權(quán)限，為竊取數(shù)據(jù)和實(shí)施勒索做準(zhǔn)備；
竊取數(shù)據(jù)：將數(shù)據(jù)庫中存儲(chǔ)的數(shù)據(jù)復(fù)制或者外發(fā)到黑客控制的服務(wù)器，分析實(shí)施勒索的定價(jià)，勒索不成也可以賣到暗網(wǎng)上。
刪除備份：數(shù)據(jù)備份是能否成功勒索的最大障礙，勒索者會(huì)找到數(shù)據(jù)備份系統(tǒng)，并刪除備份數(shù)據(jù)，破壞備份機(jī)制，防止受害者因?yàn)榭梢岳脗浞莼謴?fù)數(shù)據(jù)，不付贖金造成勒索失?。?
加密數(shù)據(jù)：對(duì)數(shù)據(jù)進(jìn)行加密，造成業(yè)務(wù)系統(tǒng)崩潰或者數(shù)據(jù)庫宕機(jī)，一般選在晚上和周末，等用戶發(fā)現(xiàn)系統(tǒng)異常時(shí)，已經(jīng)來不及做響應(yīng)；
實(shí)施勒索：從多個(gè)維度進(jìn)行勒索，包括數(shù)據(jù)加密造成的生產(chǎn)停頓或者經(jīng)營困難，威脅將下載的數(shù)據(jù)對(duì)媒體公開、出售給競(jìng)爭對(duì)手、對(duì)企業(yè)高管進(jìn)行人身攻擊，逼迫受害人就范。如果勒索不成，被下載的數(shù)據(jù)會(huì)被在暗網(wǎng)出售，彌補(bǔ)勒索組織的損失。

結(jié)論：即便支付了贖金還有可能由于技術(shù)原因數(shù)據(jù)恢復(fù)失敗，泄露的數(shù)據(jù)也可能重新包裝后進(jìn)入暗網(wǎng)。

堅(jiān)守積極防御之道

沿著數(shù)據(jù)勒索攻擊鏈：入侵內(nèi)網(wǎng)→內(nèi)網(wǎng)踩點(diǎn)→橫向滲透→竊取數(shù)據(jù)→刪除備份→加密數(shù)據(jù)→實(shí)施勒索的每個(gè)步驟，《防數(shù)據(jù)勒索解決方案》提出要建立涵蓋事前檢測(cè)預(yù)防、事中監(jiān)測(cè)防御、事后恢復(fù)溯源的縱深防御體系，將數(shù)據(jù)勒索風(fēng)險(xiǎn)降到最低。

事前檢測(cè)預(yù)防覆蓋的場(chǎng)景主要包含：主機(jī)安全及管理（EDR）、防垃圾郵件、關(guān)鍵數(shù)據(jù)識(shí)別、安全評(píng)估檢查、安全意識(shí)、應(yīng)急演練等。

事中檢測(cè)防御采取的安全措施包括：數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫蜜罐、APT攻擊預(yù)警、用戶行為分析（UEBA）、數(shù)據(jù)分析處置等。

事后恢復(fù)溯源的舉措方法主要包括：數(shù)據(jù)備份與恢復(fù)、備份物理保護(hù)、應(yīng)急響應(yīng)、談判專家、網(wǎng)絡(luò)保險(xiǎn)等。

結(jié)合客戶真實(shí)業(yè)務(wù)場(chǎng)景的痛點(diǎn)、需求，為客戶量身定制的防勒索體系詳細(xì)設(shè)計(jì)，可以通過下載解決方案全文獲取。

安恒信息《防數(shù)據(jù)勒索解決方案》

掃描二維碼下載

關(guān)閉

云安全>

態(tài)勢(shì)感知>

物聯(lián)網(wǎng)安全>

工業(yè)互聯(lián)網(wǎng)安全>

>

>

新一代安全服務(wù)>

偵測(cè)服務(wù)>

保護(hù)檢測(cè)服務(wù)>

監(jiān)控分析服務(wù)>

應(yīng)急服務(wù)>

運(yùn)營管理服務(wù)>

特色服務(wù)>

>

數(shù)據(jù)安全>

基礎(chǔ)安全>