Sophos的 “2024 年勒索软件状况”调查报告显示,2024 年勒索软件攻击要求的平均赎金已飙升至约 273 万美元,比上一年增加了近 100 万美元。另据ENISA 2024 年威胁态势报告,勒索软件占网络安全事件的很大一部分,已报告事件超过 1.1 万起。更大的目标、更多的赎金、更复杂的攻击手段,勒索攻击威胁日益严峻复杂。然而,勒索攻击防不甚防。企业在构筑网络安全城堡的同时,恐怕还要改变原有的防护思维。那么,企业究竟该如何在这片波涛汹涌的网络海洋中筑牢防线,抵御勒索软件攻击的惊涛骇浪呢?
本期《牛人访谈》邀请到瑞数信息CTO马蔚彦,围绕我国勒索攻击的现状、面临的挑战,以及如何构建新一代反勒索防御体系进行了深入的讨论,期望能够帮助企业更好地应对愈演愈烈的勒索攻击安全威胁。
马蔚彦 瑞数信息 CTO
负责管理瑞数信息公司技术支持团队,规划并制定公司产品技术发展策略和公司经营战略。马蔚彦女士在信息安全技术领域有着超过20年的丰富经验,是最早从事信息安全领域技术开发及管理的专家之一,主导并负责国内多个大型企业的信息安全架构设计、规划及解决方案的顾问咨询工作,参与设计、开发了若干国家重大IT工程项目,广泛涉猎运营商、能源、金融、政府等行业。
01
安全牛
当前,勒索攻击威胁日益复杂,特别是勒索即服务的出现大大降低了勒索软件的使用门槛。在您看来,现在勒索软件攻击呈现什么样的新特点?
马蔚彦
现在勒索攻击呈现出一些新特征,具体表现在以下几点:
勒索攻击日益呈现出定制化的趋势。攻击者的目标直指资金雄厚、防御手段完备的大型企业。攻击者为达成目的,无所不用其极,致使企业原有的防御措施失效。这种定制化攻击使得传统的查杀工具难以奏效,就像早期的新冠病毒一般,没有有效的应对手段,只能通过及时检测、阻断传播路径来降低损失。
攻击手段更加多样化。除传统的邮件感染终端等方式外,勒索攻击的供给路径愈发多样。外部服务器、API 等都可能成为新的攻击入口,企业边界防御和端点安全面临严峻挑战。此外,社会工程学手段也被广泛应用。攻击者通过策反内部人员或外包厂商,提供定制勒索病毒让内部人员带入企业内部传播,由外围的专业黑客团队负责其他技术工作。以前我们认为勒索攻击主要是外部入侵,但对大型企业来说,现在更需要防范内部人员被策反。
攻击深度不断逼近核心数据。以前攻击范围多在企业边界,而现在在众多案例中发现,攻击深度已逼近核心数据区域。企业核心数据遭受加密或窃取的风险不断增加,不仅对企业业务连续性造成严重影响,还可能因数据泄露导致企业声誉受损、经济利益遭受巨大损失。大型企业在面对此类攻击时,即便拥有丰富的资源和技术储备,也往往陷入困境。这也解释了为什么一些大企业遭受攻击后会很快支付赎金。
02
安全牛
这对企业的安全防护带来了哪些挑战? 您认为企业在勒索防护方面还存在哪些误区?
马蔚彦
勒索攻击的变化就像现代战争的变化:以前是从边界不断进攻,现在更像特种部队直接空降到核心区域。
这就要求企业必须改变传统的边界防护思维。
我们过去的防护主要集中在边界,如端点、网络层、互联网出口等,目的是减少暴露面、提高边界防护能力。但是针对勒索攻击,如果我们仍然主要还是从外部攻击角度来防护是不够的,需要强化围绕核心数据的防护体系建设,但企业针对核心数据的防护普遍缺失。
因此,企业要建立新的防护体系,新的防护体系要同时考虑边界防护和内部核心区域的防护。
目前,多数企业在遭受勒索攻击后才开始重视安全防护,采取亡羊补牢式的措施,但往往局限于单一攻击路径的加固,缺乏整体规划。所以说,虽然现在部分企业已开始关注数据安全,但在实际操作中,仍面临诸多问题。这些问题主要包括以下几点:
责任划分不清:很多企业缺乏针对勒索攻击的跨部门协作机制。传统的网络安全主要关注网络层面,而勒索攻击本质是数据安全问题,而数据的安全防护往往不在安全部门职责范围内,系统部门认为这是安全事件也不会考虑,由此形成了一个管理空白。此外,在攻击发生后,还需要有公关、合规等更多的部门加入才能更好地应对。
观念意识滞后:许多企业仍将勒索攻击视为单纯的外部攻击,忽视内部威胁。同时,企业往往缺乏底线思维,未制定有效的应对预案,一旦攻击发生,只能手足无措,坐以待毙。因此要从“防勒索”的观念转向“反勒索”。
缺乏反制措施:多数企业在勒索软件防护体系建设中重防御而轻反制,因此在系统被加密、业务停摆、数据被盗时,往往束手无策,似乎除了支付赎金别无选择。即便采用常规手段恢复系统,耗时也往往超出企业承受范围。
低估威胁风险:部分企业未意识到自身面临的勒索风险,对威胁情报感知不足,甚至在攻击发生后仍浑然不知,导致无法及时采取措施,损失扩大。
03
安全牛
那么针对这些误区,企业在制定勒索软件防护规划时,要重点考虑哪些因素,避开这些误区?
马蔚彦
我们长期在服务企业用户的过程中,已经与用户达成了一个共识,那就是“没有绝对的安全”,单纯靠防勒索是无法真正意义上避免勒索攻击的,要考虑在攻击没有被拦下的时候,直面勒索攻击者时能不能击退它。
因此,瑞数信息强调勒索防护应秉持 “防”与“反”相结合的理念;"防"就是提高门槛,包括端点防护、API安全等;"反"是指建立有效的反制能力,如构建勒索事件管理体系、备份恢复、快速检测等。
我们建议用户在加强基础防护能力的同时,优先构建反制能力,如勒索事件管理体系、系统备份、恢复能力、威胁检测等,在预算允许的情况下,进一步提升防护能力,形成完整的防护闭环,确保在遭受勒索攻击时能够守住底线,减少损失。
我们有客户做了一个很好的总结,那就是针对勒索攻击需要"守住底线、推进防线"。也就是说,通过及时发现攻击、精准定位受损数据、快速恢复系统,保证业务系统正常运行,或者在可接受的时间内恢复。在此基础上,再把防护能力往前推进。
所以说,企业在制定勒索软件防护规划时,不但要考虑技术,还要关注流程、制度、培训、演练等方面。在当前情况下,我们建议企业重点做好以下四点:
明确部门职责分工:清晰界定安全部门与系统部门在勒索攻击防护中的职责,加强跨部门协作,形成有效的应急响应机制,确保在攻击发生时能够迅速协同应对。我们有个客户是某省电力公司,他们将勒索事件纳入业务连续性管理,实现跨部门协作。安全部门负责事件发现与数据检测,提供恢复建议;系统部门根据建议进行针对性恢复;公关部门负责对外公告。
构建全面防护体系:企业应建立涵盖边界防护、内部核心防护的多层次防护体系,加强对各类攻击路径的监控与防御,提高系统的安全性和稳定性。
强化反制能力建设:制定反制策略,建立数据备份与恢复机制,提升系统在遭受攻击后的快速恢复能力,确保业务连续性,同时降低对赎金的依赖。
加强员工安全意识培训:定期组织安全培训和演练,提高员工对勒索攻击的认识和防范意识,减少因人为因素导致的安全漏洞。
为了帮助用户更好地应对勒索攻击,我们不断升级、优化瑞数反勒索解决方案,以 API 应用数据全景安全体系补足了应用勒索防护的新途径;以动态安全防护收敛资产风险暴露面的同时,建立对各类应用接入渠道的风险主动防御。以数据安全检测与响应系统,建立和完善针对数据的事前体检、事中检测、事后快速恢复的完整数据保护链条和攻防演练体系。
04
安全牛
勒索软件防护方案是企业做好防护的重要抓手。那么企业选择评估勒索软件防护方案时,要重点考核哪些指标?
马蔚彦
每个厂商勒索攻击防护解决方案各不相同,传统防勒索解决方案大多从勒索软件特征识别、恶意代码识别和攻击行为分析角度实现防护;或是从传统备份恢复角度进行数据保护。
企业选择评估勒索软件防护方案时,检测率、误报率、响应时间、可扩展性这几个指标都非常重要:
1.检测率。作为反勒索攻击的最后一道防线,检测率至关重要。我们需要应对所有类型的勒索攻击,理论上要覆盖到100%的勒索软件,确保及时发现勒索加密行为,避免数据损失扩大。软件要有针对各种复杂攻击手法的检测能力,包括低频慢速加密、跳跃式加密等高级、隐秘的攻击手段。其中,低频慢速加密中,攻击者可能对100万个文件每天只加密100个。这种悄悄污染生产数据和备份数据的方式很难被检测到。
2. 误报率。误报率直接影响运维效率和企业对防护系统的信心。在日常运营中,应确保防护系统准确判断攻击行为,避免因误报导致资源浪费和不必要的干扰。因为勒索攻击不是每天都发生,过多误报会影响运维团队的信心。
3. 检测速度。面对海量数据和快速演变的攻击手段,防护系统需具备快速响应能力,及时检测数据变化,缩短从发现攻击到采取措施的时间间隔,降低攻击造成的损害。
4.可拓展性。随着企业数据量的不断增长和业务环境的变化,防护系统应具备良好的可扩展性,能够适应不同规模企业的需求,灵活应对未来可能出现的新挑战。
瑞数应用数据反勒索解决方案从补足现有防勒索方案的角度出发,覆盖现有防护手段的盲点,通过“防“”反” 相结合的思路,以底线思维的态度,助力客户建立更具网络韧性的勒索防护体系。
05
安全牛
恶意软件的快速演变是勒索软件检测和防护面临的一大挑战。您认为该如何应对?
马蔚彦
勒索软件的快速演变确实是一个长期的挑战。我们主要从跟踪加密手法变化和优化检测技术来应对这一挑战:
一方面,密切关注勒索组织加密手法的变化。我们通过多种渠道获取相关信息,如外网公开分析、勒索加密样本研究等,及时掌握攻击手段的动态;
另一方面,持续改进检测算法,适应加密手法的变化,确保检测的准确性和有效性。现在,我们已经不再依赖病毒特征库进行检测,而是基于数据本身特征,通过分析数据混乱度等方式,判断是否被勒索加密。
比如说今年9月,某银行伦敦分行被Hunters International勒索组织攻击后,我们第二天就获取了样本并验证检测能力。
06
安全牛
您怎么看接下来的勒索软件防护市场?
马蔚彦
随着勒索攻击威胁的不断增加,企业对勒索软件防护的需求日益迫切,市场空间广阔。然而,当前市场仍处于发展阶段,需要加强市场培育,提高企业对勒索攻击的认识和重视程度,推动防护产品和解决方案的广泛应用。
未来的防护体系需要更全面、更智能,能够适应各种复杂的攻击场景。为此,瑞数信息将重点做好两项工作:
1. 强化环境适配扩展,包括支持公有云环境,对接各类数据库系统并将检测能力集成到数据库安全功能中,适配不同存储系统。
2.进一步提升检测能力,旨在更好地检测长期、低频的数据窃取行为,提高检测精准度,使用AI技术等技术提升自动化检测和响应能力。
07
安全牛
AI对勒索检测防护带来了哪些影响?应该如何应对?
马蔚彦
AI 的发展使勒索攻击更加频繁、多样化且难以检测。病毒生成变得更加容易,攻击手法迭代加速,黑客可利用 AI 定制个性化攻击策略,通过搜索企业信息实现精准打击,同时采用更隐蔽的攻击方式,如慢速低调加密,以躲避检测。
我们认为,我们应该充分利用AI来提升对勒索软件攻击的防护能力:
一是以 AI 对抗 AI:在防护端建立针对企业环境的AI模型,实现更精确、局部化和针对性的检测与反制,有效应对黑客的 AI 技术攻击。
二是提升自适应与自我进化能力:企业 AI 应具备自适应环境变化的能力,及时发现并应对新的攻击形式,减少对安全厂商更新的依赖,提高响应时效。
三是自动化响应与恢复:利用 AI 实现自动化的分析、响应和恢复流程,包括备份数据验证、系统恢复和取证等环节,确保系统在遭受攻击时能够快速恢复运营,降低损失。
编者的话
面对愈演愈烈的勒索软件威胁,企业安全防护已经到了必须转型升级的关键时刻。正如马蔚彦所言,传统的被动防御思维已经难以应对当前的安全态势,企业需要建立"防反并重"的新型防护体系。在AI技术推动攻防手段快速进化的背景下,企业只有主动拥抱变革,构建从边界到核心、从预防到恢复的全方位防护体系,才能在这场没有硝烟的数字战争中立于不败之地。
合作电话:18311333376
合作微信:aqniu001