勒索軟件的威脅態勢逐漸升級,危害也越來越大,勒索贖金、數據泄露等風險給企業及個人帶來越來越廣泛的影響。
進擊的勒索軟件
勒索軟件攻擊的頻率、強度、范圍以及破壞力正在不斷升級,越來越多的攻擊者瞄準了工業、金融、政府甚至是醫療、教育等關鍵信息系統,遭受攻擊的企業也從中小企業擴展到了大企業。
勒索軟件攻擊的形式從單一攻擊演變成了雙重乃至多重攻擊,進一步提高了數據恢復成本,擴大了企業的業務和財務損失,這種危害性隨著時間的推移變得愈加嚴重。
派拓網絡近期發布的《2023勒索軟件威脅報告》(以下簡稱《報告》)中顯示,派拓網絡威脅情報團隊Unit42在過去18個月中,對1000家企業遭受勒索軟件攻擊事件的分析得出,從受到勒索軟件攻擊的數量來看,中國大陸市場在亞太地區排在第六位,前面分別是澳大利亞、印度、日本、中國臺灣、泰國。
《報告》陳述了在這1000起事件中,2022年最高贖金支付達到700萬美元,平均付款的中位數大約35萬美元。很多勒索攻擊的起源都是因為資產攻擊面的暴露,這樣很容易引起黑客攻擊,大概有75%。其中制造業是最大的受害者,有447家,整個行業面臨的勒索攻擊形勢非常嚴峻。
《報告》還表明,制造業、批發和零售、專業和法律顧問是最容易受到攻擊的行業。另外,針對中國市場的很多攻擊來自一些境外組織,比如Lockbit、Hive、BlackCat。從攻擊方式來說,以盈利為目的的攻擊主要是希望得到商業回報,這種交易很多時候是通過加密貨幣進行的。雖然我們國內禁止加密貨幣,但它在國際上很流行,所以黑客組織會利用這種手段獲取商業利益。
從這些事件中我們也可以看到,勒索攻擊正在無差異化、常態化。在此趨勢下,傳統勒索軟件組織仍然在迭代著更具破壞性的惡意軟件,而新的勒索攻擊者正在藉由門檻更低的工具,輕易地向更復雜的信息系統發起攻擊。
一場持久戰
勒索軟件攻擊是一個持續不斷的安全威脅,攻擊者們不斷改進著技術和手段,以規避現有的安全防御體系。
派拓網絡大中華區售前總經理 董春濤
正如派拓網絡大中華區售前總經理董春濤所述,現在黑客會把以往常見的幾種勒索軟件組合在一起,不斷地向企業施壓以獲得商業利益。攻擊者經常把企業的數據發布到網上,平均每天有7家勒索軟件受害企業的數據出現在這些網站上,相當于每四個小時會新增一家,這個速度還是蠻驚人的,董春濤感嘆到。
勒索軟件瞄準的企業性質也在發生變化,原來他們專注于商業企業,但現在一些黑客組織居然針對一些弱勢組織,包括學校和醫院。在IT防護比較薄弱的企業實體面前,勒索攻擊者也進行了很強烈的攻擊,說明整個攻擊的底線在降低。
董春濤總結了一些勒索軟件攻擊行為的特點。
首先,勒索軟件的攻擊目標是為了獲取高度敏感的文件,非常有針對性,包括個人的身份信息、客戶的財務數據、受保護的健康信息等等。勒索軟件的攻擊手段由傳統的給企業重要數據文件加密,變為多種手段結合。
為什么會這樣?因為勒索軟件攻擊經常發生,企業幾乎都做到了一些數據的備份,所以企業在受到勒索軟件攻擊后,因數據得到了保護而不再輕易付贖金。因此,攻擊者轉而使用其他手段,比如通過脅迫騷擾的手段來獲取利益,不斷打騷擾電話,準備向媒體、公眾發布企業丟失數據的這樣一些新聞,來不斷向企業施壓,甚至是向一些企業的高管和家人打騷擾電話和發騷擾郵件。
其次,勒索攻擊技術的創新也在持續迭代。如前所述的情況,都是在2019年、2020年、2021年新成立的攻擊組織,他們用創新的攻擊技術發起惡意攻擊,所以近年來攻擊創新也在不斷發展。
面對持續進化的勒索軟件,我們應該清醒地認識到,與勒索攻擊者發起對抗的不是殲滅戰,而是一場持久戰。
為什么是制造業
經歷了向數字化全面轉型的制造業,顯而易見的是生產力和效能得到大提升。但是伴隨著工業流程的數字化,也遇到了前所未有的網絡安全挑戰。
有數據表明,2022年,全球工業數據泄露的平均成本約為447萬美元。
從《報告》以及其他第三方數據可以看到,制造業成為勒索軟件最容易攻擊的行業,并且OT與IoT的融合,讓更復雜的攻擊屢屢發生。
制造業目前成為主要的勒索攻擊目標是因為其有幾個特點,董春濤解釋到:
無論是物聯網設備,還是工業設備,制造業的設備都非常多。每條生產線,包括運營等等非常繁瑣和復雜。
另外,因為制造業用的很多系統是廠商很早之前提供的,所以他們仍在運行一些比較老舊、沒有升級的軟件平臺,這就涵蓋了很多可以被黑客利用的漏洞。
還有,制造業對于停工的容忍度非常低。一旦勒索軟件攻擊成功,就很容易導致業務停止運行,企業為了盡快恢復生產,會讓攻擊者很容易獲利。
派拓網絡大中華區總裁 陳文俊
派拓網絡大中華區總裁陳文俊也表示,在工業互聯網上,現在生產線上基本都是用機器人做管控,整個流程也是通過自動化實現。一旦受到攻擊,會影響整個生產線的安全。一些事件說明,在工業上如果關鍵設施受到攻擊,影響非常重大。
不得不提的是,制造業普遍缺乏專業的網絡安全知識和人才,缺乏對潛在安全風險的了解。因此面臨安全威脅時,企業可能會優先考慮維護生產目標,而不是應對攻擊。
阻擊勒索軟件攻擊
根據目前的形勢,防范勒索軟件攻擊需要采取多重防范措施,例如備份重要數據、及時更新軟件、修補漏洞等。當然,企業還應該建立必要的應急預案,以便在遭受勒索軟件攻擊時能夠及時應對。
談到如何提升勒索軟件攻擊的防御能力,董春濤提供了一些建議和策略。
首先,就是保持不斷地對變化環境的了解。派拓網絡以及其他公司和安全組織會定期發布由安全專家所做的一些報告,我們希望企業的安全負責人甚至企業高管,都不斷地去了解這些最新的安全建議。
第二,評估,即如果失去重要數據會給企業所造成影響的評估。只有不斷地作此評估,才能對企業使用數據的損失有清晰的認識。
第三,評估內部和外部的應變力,來不斷適應攻擊的變種。
第四,我們希望企業的高管人員來組織整個企業做一些流程上的實踐,來檢驗和測試應對突發狀況的機制,這包含企業對于攻擊的應變能力,也包含對于媒體一些反應的應變能力。
最后,我們還是建議部署最新的零信任架構,來確保企業的安全。
這五步是層層遞進的,對環境的了解,對組織流程的演練,以及把最新零信任安全架構的技術部署到企業環境中,不斷提高對勒索軟件攻擊的防御能力。
派拓網絡為所有的企業OT環境提供零信任的安全保障:
第一個層面是對OT領域設備和網絡的保護,包括對生產線上的和ERP、CRM里面關鍵系統的保護。
第二個層面是5G,現在一些先進的制造業已經在采用5G專網來提升制造能力。僅有傳統5G網絡是不夠的,一定要在5G網絡上附加安全元素,使得5G網絡既提供先進的接入能力,又提供安全完備的服務。
第三個層面是遠程運營,有很多遠程人員為生產環境里面的設備進行遠程的監控和保障。零信任的接入方式,可以保障企業對所有OT環境里運維人員的安全接入能力。
對于遠程運營,派拓網絡提供了可視性。在部署零信任安全的設備和方案之后,企業具備一個易用且可視性很強、簡化的安全運營中心,為OT的零信任運營技術安全提供可靠的保障。
勒索軟件的攻擊已無處不在,任何企事業組織都可能成為下一個受害者。
在勒索軟件的潛在威脅之下,沒有誰是絕對安全的。因此,制定合適的防范勒索軟件攻擊策略、選擇有效的安全產品和方案做好防護至關重要。
