关注ITValue,看企业级最新鲜、最价值报道!
图片来源@视觉中国 |
文章来源@创道硬科技 |
ITValue按:
近日,美国一起勒索病毒事件备受关注。据外媒报道,美国最大的成品油管道运营商Colonial Pipeline遭勒索软件攻击,被攻击后为了减少进一步损失,该管道被迫全面暂停控制系统。
由于,美国东海岸45%的汽油、柴油、航空燃料供给都来自这条管道,在其业务暂停后,美国交通部9日发布“区域紧急状态”:放宽17个州和首都华盛顿的石油产品公路运输限制,以避免管道关闭导致燃油短缺。
据了解,此次勒索软件攻击是一个名为 DarkSide 的勒索软件 。消息称该犯罪团伙对目标系统植入恶意软件,以索要赎金,劫持了该公司近 100GB 的数据,声称如果不付款,将会把这些数据泄漏到互联网上。
据央视新闻报道,两天前,Colonial 表示该公司的4号运输管道目前在人工控制下暂时恢复运营,其他主要运输管道仍处于关闭状态,计划于本周末前恢复其部分运输系统。
勒索事件为什么越来越猖獗,黑客发起勒索的动机都有什么?带着这些问题,一起看下面这篇文章。
勒索事件愈演愈烈
最早的勒索病毒雏形出现于1989年左右,但只是偶有发现,造成的危害也不大。自2017年5月“WannaCry”勒索病毒爆发以来,勒索病毒就开启了“新纪元”,肆无忌惮的进入了大众的视野。
2017年5月,WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题;
2018年8月,台积电就遭到勒索病毒的大规模入侵,最终造成了超过17.6亿元的损失;
2018年9月,山东多地发生勒索病毒攻击国土资源专网,导致多地无法展开不动产信息业务;
图1. 国土局被勒索病毒攻击
2019年3月,甘肃、安徽等地医院大规模出现Globelmposter3.0勒索病毒事件,医院数据库系统、备份数据库系统被病毒加密,多家医院中毒后,HIS、PACS等系统全面瘫痪,医院和患者在生命、财产等方面受到了不可挽回的巨大损失;
2019年5月,国内某网约车平台遭黑客勒索软件定向打击,服务器核心数据惨遭加密,攻击者索要巨额比特币赎金,无奈之下向公安机关报警求助;
2019年6月,全球最大飞机零件供应商ASCO遭遇勒索病毒攻击,生产环境系统瘫痪,大约1000名工人停工,四国工厂被迫停产;
2020年11月29日(感恩节),富士康被黑客攻击,索要2.3亿元赎金;
图2. 富士康被勒索病毒攻击
2021年5月7日,美国最大的燃油管道运营商ColonialPipeline遭到网络攻击并勒索,运营商已经将其位于美国东部沿海各州供油的关键燃油网络给关闭,可能将会威胁这些地区一半左右的燃油供给;
图3. 美国燃油管道公司遭勒索病毒攻击
然而,故事远没有结束!
破坏的是数据“完整性”从数据保护的层面看,安全需要解决数据的“机密性、完整性、可用性”的有机统一,甚至从整体信息安全领域来说,也可以用这三性来归纳与分析。
图4. 数据安全三性
勒索病毒攻击的本质是攻击数据的“完整性”,主要是指破坏文档、设计图纸、数据库等数据的存在方式,大多是情况下对数据进行加密处理,导致数据无法正常使用,进而破坏业务系统的正常运行。
勒索猖獗原因分析 1. 黑客可直接获益伴随黑客技术手段和意识的进步,电脑病毒在绝大多数情况下已不再以“破坏用户电脑”为主要发作形式,而是纷纷转向灰色产业和黑色产业寻求更高的收益,在整个产业链中,黑客会判断中毒电脑的性能如何,是否可以用于攻击他人的电脑、是否可以用于搜集某些数据、是否可以直接盗取机主的银行或理财信息等。
同时,比特币等匿名货币的发展给实施勒索交易提供了便捷的途径,匿名货币交易较难定位勒索赃款的接收者,从而使攻击者可以避免法律追责。
2. 端点侧对“完整性保护”长期忽略
无论是安全厂家,还是最终客户,对数据完整性保护很长一段时间处于漠视状态,或者说对其威胁严重程度预估不足。我们能看到一些完整性保护的初级产品形态,例如:Web网站内容防篡改,主机文件完整性检查,OS安全引导等产品形态。
但这些完整性检查或保护机制很初级,往往只是根据文件HASH值的变化判断文件是否发生了变化,如果发生了变化,就用备份的文件进行还原。这种原始的技术方案无法对文档、数据库等本身随时在变化的数据文件产生有效保护。
主机端防范勒索病毒需要采用基于驱动的识别与拦阻技术,简单的基于应用层的拦截技术对勒索病毒无效。
长期以来,端点侧安全防护机制往往只是依赖传统AV软件,有些情况下甚至连AV软件也没有部署,这导致勒索病毒一旦进入主机,就会畅行无阻,对主机数据造成致命损害。
3. 传统杀软对未知威胁防范能力不足勒索病毒发生的主要场所在“端点”侧,例如:个人办公主机、数据库服务器、云端服务器等。一般情况下,这些主机都部署有传统的杀毒软件,但依旧被勒索病毒攻陷,究其原因,和传统杀软的病毒响应滞后性密切相关。
传统杀软“基于特征库”的防病毒机制只能防范已经发生过的病毒攻击。特征库的“滞后性”特点导致其对“新鲜的”威胁无能为力,往往在攻击发生后才有可能防止下一次的攻击,而越来越多的攻击目的倾向于非法获益及政治目的,一次致命的攻击足以达成该目的。
这也是为什么部署了主流杀软依旧被勒索病毒攻陷的主要原因。
4. 被动式EDR对勒索病毒无能为力端点威胁检测与响应产品(EDR)能通过“大数据”分析出各种未知威胁,但是端点采集数据、发送到服务器,然后分析得出结论,再反馈到端点侧进行阻断,这是一个“漫长的”反馈环,对勒索病毒等攻击行为根本来不及拦截。
这就要求EDR产品必须要有实时识别及拦截能力,国外产品对这种能力称之为“Active EDR”,其内涵有点像传统“主动防御”的思想,但显著减少了“用户选择弹窗”的打扰,而是用“自动实时拦截”来阻断恶意进程行为,其中包括恶意网络行为。
端点侧恶意行为的拦截必须要采用内核级技术,否则只能停留在应用层面,无法解决高级的安全威胁问题,例如勒索病毒。
如何加强防范? 1. 基础性建议无法解决问题我们能看到,国内外大量安全厂商对勒索病毒防范给出了一些基础性的建议,例如:
a.即时修复系统漏洞
b.开启系统防火墙
c.关闭445、3389、139、135等高危端口
d.关闭不必要的文件共享
这些基础性的保护措施对防范勒索病毒能起到一定的积极作用,但做到这些看似简单的动作并不容易。原因在于客户业务系统的正常运行需要基础网络端口的开放;再者,运维人员对所有主机进行一系列基础性加固动作也是一件并不简单的事情。
即使做到了这些保护,也不能避免遭到勒索病毒攻击,因为勒索病毒进入主机的方式多种多样,例如:各种软件漏洞、移动介质(U盘)、邮件、钓鱼攻击等多种途径,仅仅修补几个已知漏洞、关闭几个端口远远不能解决勒索病毒的问题。
2. 部署专业防勒索软件必不可少勒索病毒之所以能屡屡成功实施,最根本的技术性原因还在于端点侧防护手段的匮乏,只要病毒进入主机,就意味着能对文档、数据库实施攻击成功,所以端点侧部署专业的防护软件必不可少,传统的杀毒软件和被动式EDR产品都不能防范勒索病毒。
北京长御科技推出的数据智能保护系统(DIPS)能有效防范勒索病毒等未知威胁攻击,同时具备网络微隔离、USB管控、文档备份等安全能力,如下图所示:
图5. 长御科技DIPS系统示意图
所谓“专业防勒索软件”是指具备防勒索功能的专业安全软件,其技术原理一般需要具备如下特性:
a.内核层面识别与拦截技术
b.具备网络微隔离功能
c.能有效区分正常文档访问进程与非法访问文档进程
d.具备勒索陷阱(诱捕)机制
e.能有效拦截恶意脚本访问文档
----广告时间----
在数字化深水区,寻找房企第二增长曲线,2021中国房地产数字峰会已正式启动。由中国房地产业协会指导、中国房地产业协会数字科技地产分会主办、钛媒体集团承办的2021中国房地产数字峰会将于5月28日在上海虹桥康得思酒店召开。
点击阅读原文,立即报名参加:2021中国房地产数字峰会。
往期精彩内容
推荐关注▽
寻找房企第二增长曲线,2021中国房地产数字峰会正式启动
行业▽
架构调整后首次亮相,华为云CEOzxdcdq解读“云战略”
原SAP全球副总裁隐形的音响加盟金蝶,担任金蝶集团副总裁
观察▽
企服巨头UiPath上市,中国为何缺少RPA市场独角兽?
量子科技商业化寻路,资本造势但技术落地成难|科股宝
趋势▽
未来五年数字中国建设路线图出炉
关于数字化,看看两会怎么说