創(chuàng)造一個更安全的數字世界,需要我們創(chuàng)造更多的技術,聯(lián)動更多的力量,抵御更多的風險,從而擺脫勒索軟件、APT攻擊、數據竊取等黑暗力量的籠罩。
勒索軟件的30年發(fā)展,從理想主義到利益至上
近年來,以勒索軟件為代表的“新威脅”不斷出現(xiàn),這讓許多用戶感到束手無策。但是,很多人也許并不了解,許多威脅的起源可以追溯到30年前或者更久。
1989年,2萬張感染了“AIDS Trojan”病毒的軟盤被分發(fā)給國際衛(wèi)生組織國際艾滋病大會的與會者,造成了大量文件被加密,這也是歷史上第一個勒索軟件。
無論從哪個角度來看,第一個勒索軟件的誕生都充滿了一定的理想主義,它并沒有被大規(guī)模分發(fā),而是僅針對艾滋病大會進行定向傳播,目的更像是宣傳自己的政治與學術態(tài)度,或只是簡單的惡作劇。而且,由于其只使用了簡單的對稱密碼,因此很快就被解密工具輕松恢復。
技術是一把雙刃劍,勒索軟件用事實再次證明了這句名言。在此后的17年間,由于沒有更好的加密方法,勒索軟件基本上“銷聲匿跡”——直到2006年“Archievus”的出現(xiàn)。Archiveus是第一個使用非對稱加密的勒索軟件,它主要采用RSA加密方法,會對“我的文檔”目錄里面的所有內容進行加密。更值得關注的是,這個勒索軟件開始把魔爪伸向受害者的錢包,黑客會要求用戶從特定網站來購買以獲取解密文件的密碼。
勒索軟件發(fā)展的另一個標志性事件是以數字貨幣為代表的匿名支付方式的出現(xiàn)。由于銀行轉賬等傳統(tǒng)的支付方式讓網絡勒索者很容易暴露在執(zhí)法機關的打擊力量之下,而通過區(qū)塊鏈技術可以更好地隱藏自己、“安全”地獲得高額收益。同時,隨著數字貨幣價格飆升,勒索軟件開始在地下網絡市場中逐漸流行起來。
2013年9月,網絡不法分子找到了適用于勒索軟件的新型加密方法,即采用AES-256lai加密特定擴展名的文件,并利用2,048位RSA密鑰來加密AES-256位密鑰,這讓被加密文件的恢復變得極度困難,束手無策的受害者往往只能選擇向不法分子支付贖金。大名鼎鼎的“WannaCry”勒索蠕蟲采用的正是這種加密方式,并在2017年肆虐爆發(fā),至少150個國家、30萬名用戶中招,造成損失達80億美元,影響極為深遠。
如今,勒索軟件已經成長為主流的安全威脅之一。亞信安全2018年的安全總結報告顯示,勒索軟件病毒已經在全球范圍內呈現(xiàn)爆發(fā)態(tài)勢,美國、日本、中國、歐洲都成為勒索軟件肆虐的“重災區(qū)”。并且,為了躲避網絡安全防護系統(tǒng)的查殺,勒索軟件新變種正在不斷產生,并通過與魚叉式釣魚郵件、漏洞利用傳播、軟件捆綁安裝和APT技能相組合,這使得傳統(tǒng)基于特征碼的防護方式效用大減。此外,網絡不法分子還針對每個地區(qū)的語言及經濟文化特點,對勒索軟件進行了本地化,以提升索要贖金的成功率。
成功攔截“WannaCry”勒索蠕蟲,“機器學習”只是功臣之一
把時間倒退到2017年5月14日零時,全球“WannaCry”勒索蠕蟲席卷全球,整個攻擊遍布全世界100多個國家。在這次大規(guī)模的威脅事件中,亞信安全服務的所有客戶通過以機器學習技術為核心的桌面安全解決方案成功抵御這次瘋狂的攻擊,成為了國內首個在終端利用新興技術成功抵御此次攻擊的安全企業(yè)。和傳統(tǒng)網絡廠商定制的戰(zhàn)略不同,亞信安全將重點聚焦在“事前縝密的準備工作”,并在這次事件中的表現(xiàn)很好地佐證了這一理念,在沒有防毒碼之前,就進行了有效防護。
【WannaCry的勒索信息提示】
不過,勒索軟件也在攻防交替中迅速演化。目前,圍繞著勒索軟件新變種的開發(fā)、傳播,以及感染渠道與工具的交易,已經形成了一個組織嚴密、規(guī)模龐大的勒索軟件地下灰色交易市場。亞信安全的研究人員發(fā)現(xiàn),地下黑市非常流行的一種勒索軟件交易鏈條:黑客負責勒索軟件最新變種的開發(fā),并可以將其轉讓給任何用戶,前提是他們必須支付一定比例的收益贖金(“分賬”的方式)。除了核心的勒索軟件產品外,地下黑色市場還提供與勒索行為相關的額外功能與服務,包括對于多平臺的支持、針對特定產品的漏洞進行定制化等。
與此同時,機器學習所代表的人工智能在網絡安全領域同樣得到了迅速發(fā)展,其直接動因在于越來越復雜的網絡安全形勢,因為,不論威脅的數量、或是威脅的處理速度,都已經在很大程度上超過了人工的處理能力。就比如在2018年這一年,亞信安全共攔截了勒索軟件 207,722 次,在這些勒索軟件攻擊事件中,犯罪分子為了追求更大的利益,重點將目標瞄準了制造業(yè)、保險、石油和天然氣等網絡安全相對薄弱的企事業(yè)單位,如果仍然堅持通過傳統(tǒng)的特征碼分析處理模式,根本無法處理,而且其對人力、網絡、資金成本的損耗也是驚人的。
可以說,機器學習、虛擬補丁管理、異常行為檢測、沙箱分析等技術手段在“WannaCry”及后續(xù)勒索軟件、挖礦病毒的災情中發(fā)揮了重要作用。但我們認為,在可預見的未來,網絡攻防的對抗都不會到達終點,網絡攻擊者也會利用人工智能、機器學習等技術來進行自動化攻擊,這讓企業(yè)很難再豎起堅不可摧的防線。因此,在不斷改進和融入新工具的同時,企業(yè)還應該將更多的資源投入到威脅發(fā)現(xiàn)之后的應急響應上,將損失降低到最小值。
未來安全防御是一場與時間賽跑的游戲
不論是勒索軟件還是其他手段混合而成的APT攻擊,網絡攻擊者無時無刻不在找尋滲透企業(yè)IT環(huán)境的途徑,其中一個最容易的通道,就是利用終端上的各種漏洞。有的時候這些漏洞可能影響極小、或是沒有被廠商公布,甚至人為的漏洞,就比如:只是操作人員用鼠標點擊了一封冒名郵件,一場蓄謀已久的APT攻擊就此發(fā)作……
此時,雖然企業(yè)在正面已經構建起堅固的安全防線,但是網絡攻擊者采用了迂回的策略,滲透到防線背后,讓網絡安全防護系統(tǒng)喪失作用。這就像是“馬奇諾防線”在網絡世界的再現(xiàn):一旦企業(yè)的應急響應能力不足,那么其遭受的損失將以指數級別進行擴散。
所以,我們的網絡安全戰(zhàn)略思維必須重新擬定,也就是說做好最壞的打算:假設黑客已經進入到網絡,下一步怎么辦?
未來的安全防御將是一場與時間賽跑的比賽,時間決定了效果、能力和范圍。為何這樣說呢,這與“突破時間(breakout time)”和“1-10-60規(guī)則”密切相關。
“突破時間”是指入侵者發(fā)起攻擊到成功獲得系統(tǒng)權限的時間,而“1-10-60規(guī)則” 則是指:在1 min內檢測出威脅;事件發(fā)生后在10 min內尋找出解決方法;60 min內修復并控制攻擊行為。這提醒著企業(yè)用戶要竭盡所能地提升應急響應時間,與時間賽跑、與黑客賽跑。
在惡意攻擊“搶跑”的條件,亞信安全為用戶爭取時間的方法則是最新發(fā)布的XDR戰(zhàn)略。即:通過精密編排的網絡空間恢復補救能力,逐漸形成了包含安全編排(security orchestration)、自動化(automation)和響應(response)的SOAR框架,通過標準化的預案、專業(yè)化的調查工具和安全響應專家團隊的合力,形成XDR解決方案,利用精密編排的智能聯(lián)動技術將安全產品以及安全流程連接和整合起來,進而協(xié)助用戶實現(xiàn)安全防御能力的進階。其中,XDR中的“X”代表安全風險的不確定性和變量,甚至未知,同時也包含了EDR,NDR,MDR等創(chuàng)新技術和專業(yè)化的管理平臺。
做好最壞的打算,未雨綢繆才是上策。從執(zhí)行時間點上看,亞信安全的XDR解決方案以面向失效為原則,“即使在最壞的結果面前,不再束手無策”,這可以進一步解除用戶的擔憂。而從方案部署的核心要素來概括則包括:標準的預案、專業(yè)的調查工具、安全響應專家。
1)標準的預案
這包括“準備、發(fā)現(xiàn)、分析、遏制、消除、恢復、優(yōu)化”策略,進而來確定用戶碰到不同的威脅類型的時候該怎么處置。
2)專業(yè)的調查工具
高效、精準的應急響應需要專業(yè)設備層面的支撐,這些具備人工智能算法的設備能夠在服務器和終端內核里面發(fā)現(xiàn)異常現(xiàn)象,這是確保查清楚黑客到底做了什么、目的是什么,通過什么方式的關鍵。
3)安全響應專家
安全專家的服務將覆蓋到準備、執(zhí)行和結束階段,第一時間找到關鍵攻擊的線索,找出完整的證據鏈,同時提供配套的處理方法,并防止再次出現(xiàn)同類攻擊。
未來已至:以術識道,化道為術,術道合一
目前,全球數字化正滲透所有行業(yè),跨界、融合會使行業(yè)界限變得越來越模糊,到2022年全球GDP的60%都會是數字化的,而每一個行業(yè)的增長都是由數字化增強的產品、運營和觀念來驅動。在這個全數字化時代,現(xiàn)實世界與虛擬世界已相互交織,驅動著網絡安全行業(yè)從技術思想、方法論到產業(yè)思維進行演進,推動我們重新審視現(xiàn)有的安全防護模式。
正所謂有道無術尚可求,有術無道止于術。網絡安全的未來已來,亞信安全以“安全數字世界”為愿景,以“護航產業(yè)互聯(lián)網”為使命,全面發(fā)揮獨有的無代理、跨平臺的云安全技術,構建網絡空間可信身份基石,打造終端安全智能聯(lián)動體系,并以全天候覆蓋的安全態(tài)勢感知場景,以及“10秒感知天下”的威脅情報技術、持續(xù)演進的高級威脅治理戰(zhàn)略,創(chuàng)造網絡安全產業(yè)的新勢能和新動能,助力國家網絡強國夢。
——亞信安全COO 陸光明
“C3安全峰會”精彩預告
為了推我國網絡安全防護能力的進階提升,亞信安全將在2019年5月7日召開的C3安全峰會上設定相關議題,共同探討當下所面對的風險變化與應對手段。據了解,作為中國最高規(guī)格的網絡安全行業(yè)閉門盛會,2019年C3安全峰會將開設8個技術和管理論壇與7個行業(yè)論壇,一同研討的數字經濟時代的新挑戰(zhàn)與新機遇,未雨綢繆,共建安全的數字世界。
