厄瓜多爾國(guó)家電信公司CNT正在緩慢恢復(fù)服務(wù)。
7月22日開(kāi)始,支付系統(tǒng)逐漸恢復(fù),截至7月25日,用戶(hù)可在全國(guó)4萬(wàn)多個(gè)充值點(diǎn)支付賬單。被勒索病毒攻擊至今,已過(guò)了將近10天。攻擊者表示,他們從CNT竊取了超過(guò)190GB的文件,CNT的支付系統(tǒng)、客戶(hù)聯(lián)絡(luò)系統(tǒng)一度陷入癱瘓。
這是今年又一次大型基礎(chǔ)設(shè)施類(lèi)企業(yè)被攻擊,此前5月,美國(guó)甚至因?yàn)槿珖?guó)最大的燃油管道公司被黑客勒索而宣布進(jìn)入緊急狀態(tài)。數(shù)據(jù)顯示,2021年上半年勒索病毒爆發(fā)量已超過(guò)去年總和,平均每11秒發(fā)生一次勒索攻擊,帶來(lái)的直接經(jīng)濟(jì)損失超過(guò)300億美元,是2015年的57倍。
“勒索攻擊正在APT(高級(jí)可持續(xù)威脅)化。”國(guó)內(nèi)知名白帽子、被稱(chēng)為“TK教主”的騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸日前在接受包括《IT時(shí)報(bào)》在內(nèi)的媒體采訪時(shí)表示,人工入侵和勒索病毒相結(jié)合的定向攻擊將成為今后黑客攻擊的主流趨勢(shì)。
道高一尺,魔高一丈,不怕賊偷,就怕賊惦記。
無(wú)論是城市還是傳統(tǒng)大型企業(yè),中國(guó)正掀起一陣“數(shù)字化轉(zhuǎn)型浪潮”,與之而來(lái)的風(fēng)險(xiǎn)是,可能成為國(guó)際黑客組織的目標(biāo)。
那么,中國(guó)電信運(yùn)營(yíng)商會(huì)成為下一個(gè)CNT嗎?
“信息化程度越高、對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)依賴(lài)程度越高、企業(yè)IT系統(tǒng)越復(fù)雜,被勒索的可能性越高。”騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松透露,全球勒索病毒已演進(jìn)至標(biāo)準(zhǔn)化和專(zhuān)業(yè)化,甚至有成套完整的代碼可參考,一旦被攻破防線(xiàn),企業(yè)很難破解。
百分百防御成功的“安全墻”并不存在,做好防護(hù)和數(shù)據(jù)備份是應(yīng)有之義。
不久前,上海市經(jīng)濟(jì)和信息化委員會(huì)軟件和信息服務(wù)業(yè)處處長(zhǎng)裘薇曾在世界人工智能大會(huì)上透露,在今年發(fā)布的網(wǎng)絡(luò)安全“十四五”規(guī)劃以及即將發(fā)布的網(wǎng)絡(luò)安全產(chǎn)業(yè)的行動(dòng)計(jì)劃當(dāng)中,將進(jìn)一步明確政府和公共企事業(yè)單位在網(wǎng)絡(luò)安全上的投入比例不低于10%。
難被破解的勒索攻擊
“我們沒(méi)有遇到過(guò)。”一位國(guó)內(nèi)省級(jí)電信運(yùn)營(yíng)商安全負(fù)責(zé)人王淼(化名)告訴《IT時(shí)報(bào)》記者,至少在他所知范圍內(nèi),國(guó)內(nèi)電信運(yùn)營(yíng)商并沒(méi)有被大規(guī)模襲擊的事件。這與國(guó)內(nèi)運(yùn)營(yíng)商在網(wǎng)絡(luò)安全防護(hù)、預(yù)防措施以及危機(jī)處理等方面管理相對(duì)嚴(yán)謹(jǐn)有關(guān),卻也并不排除有企業(yè)擔(dān)心“家丑外揚(yáng)”而內(nèi)部自行處理的可能。
中國(guó)正成為勒索病毒的頭號(hào)重災(zāi)區(qū)。
“勒索攻擊已是常態(tài)。”僅去年一年,知名白帽子、網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍知曉的國(guó)內(nèi)攻擊案例便超過(guò)百例,受損最多的一家企業(yè)被勒索數(shù)百萬(wàn)元,大多數(shù)企業(yè)并沒(méi)有聲張,默默自行處理。
全球范圍內(nèi),針對(duì)大型企業(yè)的定向APT攻擊正變得普遍。早期勒索病毒以自發(fā)性傳播為主要特征,攻擊者“廣泛撒網(wǎng)”,只看誰(shuí)自動(dòng)跳到“網(wǎng)”里,但近兩年來(lái),定向的APT攻擊基本成為大型黑客組織的主要“生財(cái)之道”。
此次攻擊CNT的勒索軟件RansomEXX 臭名昭著,此前已有巴西政府網(wǎng)絡(luò)、美國(guó)得克薩斯州交通部(TxDOT)、柯尼卡美能達(dá)、IPG Photonics和Tyler Technologies等政府和企業(yè)“中招”。
翼盾智能和第五空間研究院創(chuàng)始人朱易翔分析,基礎(chǔ)設(shè)施類(lèi)的企業(yè)通常對(duì)信息化依賴(lài)程度較高,支付能力強(qiáng),而且受影響程度比較大,有動(dòng)力支付贖金,“能源、金融、電信運(yùn)營(yíng)商、交通公共事業(yè)以及政府相關(guān)部門(mén),都會(huì)面臨勒索挑戰(zhàn)”。
一個(gè)悲觀的結(jié)論是,一旦被勒索病毒攻擊成功,“解鎖”是一件相當(dāng)困難的事,病毒的密鑰通常采用非對(duì)稱(chēng)加密算法,很難靠暴力反向破解,只要算法和密鑰足夠復(fù)雜,破解密碼需要幾萬(wàn)年。
“一旦被攻擊成功,只要兩條路徑:第一,交贖金,第二,被加密的數(shù)據(jù)不要了,恢復(fù)備份。”王淼認(rèn)為,數(shù)據(jù)備份的恢復(fù),是遭遇勒索后最有效的措施,但黑客也可能在竊取企業(yè)重要系統(tǒng)數(shù)據(jù)后,威脅泄漏企業(yè)敏感信息。
這個(gè)新風(fēng)險(xiǎn)在CNT案例中已經(jīng)顯露,黑客威脅,如果不繳納贖金,將公開(kāi)CNT的用戶(hù)數(shù)據(jù)。在數(shù)據(jù)安全被進(jìn)一步重視的國(guó)內(nèi),這是個(gè)新“雷區(qū)”。
“不能簡(jiǎn)單認(rèn)為把數(shù)據(jù)保護(hù)好了就完全不怕,攻擊者完全可以采取另一種模式的勒索對(duì)你進(jìn)行攻擊。”于旸表示。
關(guān)鍵在于“御敵于門(mén)外”
勒索病毒攻擊如同晚期癌癥,一旦發(fā)現(xiàn),便很難控制癌細(xì)胞擴(kuò)散,因此,最有效的“抗癌”手段,便是防止“癌細(xì)胞”第一次進(jìn)入。
王淼列舉了勒索軟件攻擊電信運(yùn)營(yíng)商常見(jiàn)的三種模式:第一,利用系統(tǒng)通用漏洞進(jìn)行傳播攻擊,如果系統(tǒng)存在可以被命令執(zhí)行等的高危漏洞,則勒索病毒可能借此入侵傳播;第二,利用社會(huì)工程學(xué)方式進(jìn)行攻擊,例如使用釣魚(yú)郵件,將勒索軟件捆綁在正常軟件中誘導(dǎo)受害者執(zhí)行等;第三,通過(guò)對(duì)系統(tǒng)進(jìn)行賬號(hào)密碼(如:RDP,SSH等)的破解,獲得系統(tǒng)控制權(quán),從而植入勒索病毒。
王淼所在的電信運(yùn)營(yíng)商備有相當(dāng)規(guī)范的防范勒索病毒攻擊預(yù)案,其中包括各種終端的預(yù)防措施、發(fā)現(xiàn)中毒后防止蔓延的措施以及啟用數(shù)據(jù)備份。早些年,WannaCry病毒第一次爆發(fā)時(shí),盡管也有員工電腦被感染,因?yàn)榉婪兜卯?dāng),并未形成事實(shí)性影響。
然而,近幾年來(lái),隨著上云、大數(shù)據(jù)、數(shù)字化等企業(yè)信息化應(yīng)用的發(fā)展,系統(tǒng)邊界正變得模糊。馬勁松分析,以前黑客可能接觸到的只有企業(yè)網(wǎng)站,現(xiàn)在員工個(gè)人的郵件、社交網(wǎng)絡(luò)、App等都可能成為攻擊點(diǎn),被攻擊者的暴露面正越來(lái)越廣。
“對(duì)人員培訓(xùn)是防范攻擊最重要的環(huán)節(jié)”,馬勁松認(rèn)為,對(duì)員工的安全教育、安全素養(yǎng)的培訓(xùn)是長(zhǎng)期持久的工作,比如,收到莫名的電子郵件、社交網(wǎng)絡(luò)上的奇怪連接、撿到可疑的U盤(pán),都要保持高度警惕。
除了教育和自律,加固安全措施、做好備份,都是降低風(fēng)險(xiǎn)的方式。王淼所在的電信運(yùn)營(yíng)商,員工弱口令登錄被堅(jiān)決杜絕,系統(tǒng)不僅對(duì)口令格式有要求,而且定期要求員工更改密碼,否則無(wú)法登錄內(nèi)網(wǎng)系統(tǒng)。
沒(méi)有“銀彈”只有動(dòng)態(tài)攻防
“攻擊到了APT層面,便很難解決。”于旸認(rèn)為,每天都有新的員工入職、新的漏洞出現(xiàn)、新的攻擊技術(shù)出現(xiàn),單純筑墻式的“邊界防御”不再能完全御敵于門(mén)外。
“NeverTrust,AlwaysVerify(永不信任,持續(xù)驗(yàn)證)”零信任模型(ZeroTrustModel)的出現(xiàn),部分解決了員工端被攻擊的風(fēng)險(xiǎn),其核心思想是,對(duì)任何用戶(hù)、設(shè)備、應(yīng)用程序都不因一次身份驗(yàn)證而給予“終身信任”,內(nèi)外網(wǎng)一視同仁,不相信任何人,驗(yàn)證一切。
也就是說(shuō),系統(tǒng)對(duì)所有進(jìn)入企業(yè)網(wǎng)絡(luò)的人,都要基于身份、動(dòng)作、特征、數(shù)據(jù)等變量不斷核驗(yàn),同時(shí)把“城市”分割成無(wú)數(shù)個(gè)大大小小的房子,允許通過(guò)身份核驗(yàn)的用戶(hù),只擁有進(jìn)出和使用小房子的權(quán)限。這樣確保了無(wú)論業(yè)務(wù)如何變化和擴(kuò)展,企業(yè)的數(shù)字資產(chǎn)始終處于動(dòng)態(tài)安全狀態(tài)。
不過(guò),王淼認(rèn)為,零信任可以從一定程度上提高攻擊難度,降低被攻破的風(fēng)險(xiǎn),但企業(yè)整體安全的真正提升,還需要建立人、技術(shù)、管理的綜合防御體系。
“安全防范要謹(jǐn)防銀彈思維,企業(yè)主經(jīng)常問(wèn),是否有一套系統(tǒng)可以徹底解決問(wèn)題?但從來(lái)沒(méi)有天下無(wú)敵的武器。”馬勁松對(duì)此也十分贊同,攻防是動(dòng)態(tài)過(guò)程,需要持續(xù)的投入、持續(xù)的運(yùn)營(yíng)、持續(xù)的升級(jí)和關(guān)注。
只是長(zhǎng)期以來(lái),安全作為一項(xiàng)長(zhǎng)期、潛在收益的投入,在企業(yè)IT成本中占比往往只在3%-5%之間,“隨著國(guó)家監(jiān)管日益增強(qiáng)、網(wǎng)絡(luò)安全攻防挑戰(zhàn)越來(lái)越激烈,如果建立完善的防御體系,這個(gè)比例的確比較低。”王淼認(rèn)為,上海前段時(shí)間提出的10%占比,是非常有必要的。
新挑戰(zhàn):供應(yīng)鏈攻擊
一旦被攻擊,數(shù)據(jù)備份的恢復(fù),依然是被勒索后最有效的解決措施。但有些時(shí)候,攻擊組織非常狡猾,通過(guò)暴力破解服務(wù)器或者利用漏洞進(jìn)入網(wǎng)絡(luò),在獲得管理員密碼的訪問(wèn)權(quán)限后,手動(dòng)部署勒索軟件并加密被攻擊者的核心關(guān)鍵設(shè)備,甚至?xí)绕茐钠鋫浞莘?wù)器。
“出現(xiàn)這種情況,一般是數(shù)據(jù)備份并沒(méi)有做到位,沒(méi)有異地分開(kāi)存儲(chǔ),如果是備份在同網(wǎng)段、同類(lèi)型服務(wù)器,也很有可能被攻破。”王淼介紹,其所在電信運(yùn)營(yíng)商都是跨網(wǎng)絡(luò)備份,而且會(huì)對(duì)數(shù)據(jù)進(jìn)行分級(jí)管理,重點(diǎn)保護(hù)核心資產(chǎn)數(shù)據(jù)。
在萬(wàn)事皆云的年代,企業(yè)上云是把雙刃劍,既擴(kuò)大了受暴露面,但同時(shí)可以更好地依賴(lài)云技術(shù)。
據(jù)馬勁松介紹,當(dāng)騰訊云的客戶(hù)主機(jī)出現(xiàn)很多異常行為時(shí),比如高負(fù)載情況、高CPU占用、高磁盤(pán)占用,系統(tǒng)會(huì)自動(dòng)告警甚至直接阻斷,這些措施都是基于云端實(shí)施,部署、交付成本很低。此外,基于云的數(shù)據(jù)加密、備份可以做得更加充分和及時(shí),即使被攻擊,也會(huì)有多種數(shù)據(jù)恢復(fù)手段,做相應(yīng)彌補(bǔ)。
朱易翔則補(bǔ)充介紹,目前有一種磁盤(pán)快復(fù)制技術(shù),可以在遠(yuǎn)端或者異地,對(duì)磁盤(pán)做快照或者鏡像,這樣數(shù)據(jù)傳輸不多,占用帶寬較少,但同樣可以實(shí)現(xiàn)備份,且數(shù)據(jù)恢復(fù)也比較快。
但朱易翔同時(shí)提醒,國(guó)內(nèi)電信運(yùn)營(yíng)商要注意的是新挑戰(zhàn)——對(duì)供應(yīng)鏈的攻擊。
2020年12月,知名IT公司Solars旗下的Orion網(wǎng)絡(luò)監(jiān)控軟件更新服務(wù)器遭黑客入侵并植入惡意代碼,由于其客戶(hù)群體覆蓋了大量重要機(jī)構(gòu)和超9成的世界500強(qiáng)企業(yè),導(dǎo)致美國(guó)財(cái)政部、商務(wù)部等多個(gè)政府機(jī)構(gòu)用戶(hù)受到長(zhǎng)期入侵和監(jiān)視。
電信運(yùn)營(yíng)商信息系統(tǒng)龐雜,內(nèi)有相當(dāng)多數(shù)量的軟件和組件,一旦其供應(yīng)商被大規(guī)模侵入,很有可能成為病毒污染鏈上的一個(gè)“分子”,朱易翔認(rèn)為,這個(gè)潛在威脅,將可能給國(guó)內(nèi)電信運(yùn)營(yíng)商帶來(lái)諸多“麻煩”。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 中國(guó)信通院副院長(zhǎng)魏亮:構(gòu)建算力互聯(lián)網(wǎng),實(shí)現(xiàn)異構(gòu)算力隨需獲取
- CCSA理事長(zhǎng)聞庫(kù):算力互聯(lián)網(wǎng)是解決資源供需矛盾的重要手段
- 2025年改變社區(qū)的6大智慧城市趨勢(shì)
- 社區(qū)力量與開(kāi)源創(chuàng)新:共同塑造人工智能的安全與道德未來(lái)
- 未來(lái)已來(lái):智能建筑技術(shù)的變革
- 人工智能和知識(shí)圖譜如何重新定義建筑行業(yè)?
- 智能建筑技術(shù):ESG合規(guī)與可持續(xù)運(yùn)營(yíng)的關(guān)鍵
- 融資啟新,“獨(dú)角獸”企業(yè)象帝先終迎曙光
- 可解釋的人工智能如何建立對(duì)深度學(xué)習(xí)的信任
- 智能標(biāo)簽如何改變供應(yīng)鏈和貨物追蹤
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。