據(jù)Akamai的調(diào)查數(shù)據(jù)顯示:2023年第一季度與2022年第一季度相比,勒索軟件攻擊事件增加了143%。65%的勒索軟件攻擊受害者來自于中小企業(yè),亞太地區(qū)的勒索軟件受害者增長率達到了204%。
種種數(shù)據(jù)都表明,勒索軟件攻擊不僅沒有減少,反而變本加厲,攻擊事件層出不窮,成為增長最快的惡意網(wǎng)絡(luò)攻擊。
勒索軟件攻擊新趨勢
勒索軟件攻擊比以往更加猖獗、危害性更大,究其原因是勒索軟件攻擊越來越來越有利可圖。
過去一年,被勒索受害者數(shù)量繼續(xù)呈上升趨勢,其中制造業(yè)的受害者數(shù)量增幅非常顯著。
相較其他行業(yè),為何制造業(yè)更容易被勒索軟件所攻擊?
Akamai北亞區(qū)技術(shù)總監(jiān) 劉燁
Akamai北亞區(qū)技術(shù)總監(jiān)劉燁對此給出分析:首先,制造業(yè)有很多老舊的系統(tǒng)和服務(wù)沒有更新,可能存在漏洞。其次,制造業(yè)有很多非常機密的圖紙、數(shù)據(jù),在遭受勒索軟件攻擊后,受害者付費的概率會比較大。第三,制造業(yè)有大量的IoT設(shè)備接入,這些IoT設(shè)備的安全并未受到重視,這在一定程度上增加了勒索軟件的攻擊面。
在過去的一年時間里,勒索軟件的數(shù)量也在不斷增加。因為有高額利潤的回報,也刺激了更多的黑客組織加入勒索軟件這一行業(yè)。
調(diào)查顯示,2021年10月至2023年第二季度,活躍度排名前五位的勒索軟件分別是LockBit、ALPHV、CLOP、Royal和HiveLeak。
同時,由于RaaS(勒索軟件即服務(wù))商業(yè)模式的逐漸興起,使得一些攻擊者不需要自己開發(fā)勒索軟件和工具,就可以快速發(fā)起惡意網(wǎng)絡(luò)攻擊。這就使得勒索軟件的門檻和成本更低,也是勒索攻擊數(shù)量快速增長的重要因素。
可以預(yù)見的是,未來隨著惡意攻擊者更加多樣化,以及對人工智能利用程度的提升,勒索軟件的數(shù)量還將繼續(xù)顯著增長,將會蔓延至各個攻擊面。當(dāng)然,勒索軟件攻擊者的數(shù)量也將繼續(xù)攀升,勒索軟件的威脅將無處不在,成為多數(shù)企業(yè)面臨的嚴重網(wǎng)絡(luò)安全威脅。
從被勒索公司規(guī)模的分布數(shù)據(jù)可以看出,中小型企業(yè)更易受到勒索軟件攻擊。
中小型企業(yè)普遍對安全重視程度不足,安全防護能力有限,導(dǎo)致整個安全體系的防護并不完善,也缺乏專職的安全團隊來負責(zé)網(wǎng)絡(luò)安全。因此,勒索軟件攻擊中小企業(yè)更容易成功,也更容易因此而獲得回報,所以中小企業(yè)成為勒索組織重點關(guān)注的目標(biāo)。
應(yīng)對新型勒索軟件
不斷翻新的攻擊手段和驚人的增長速度,已經(jīng)讓勒索軟件攻擊成為企業(yè)網(wǎng)絡(luò)安全的重大威脅。面對不斷升級的攻擊技術(shù)和勒索供應(yīng)鏈的形成,傳統(tǒng)安全手段已不足以有效抵御新型勒索軟件的攻擊。
在此形勢下,如何防護勒索軟件攻擊?Akamai北亞區(qū)技術(shù)總監(jiān)劉燁為企業(yè)提供了五點建議。
全面了解自身攻擊面。企業(yè)要很清楚地知道,在自己的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)里,可能被攻擊的系統(tǒng)有哪些,資產(chǎn)有哪些,網(wǎng)絡(luò)里面薄弱的地方有哪些。
制定可靠的流程與行動手冊。當(dāng)攻擊發(fā)生的時候,不管是運維者或者安全的構(gòu)建者,按照手冊或者流程操作,就會避免在突發(fā)事件發(fā)生時不知道如何去應(yīng)對的情況,所以在攻擊發(fā)生之前要有非常清楚的流程與行動手冊。
監(jiān)控出站流量,確定是否存在威脅指標(biāo)。很多漏洞被攻擊以后,都是有一些典型特點的,所以運維者要從不同的系統(tǒng)查看這些入侵指標(biāo)。系統(tǒng)是不是有被入侵過,有沒有數(shù)據(jù)被別人偷偷的導(dǎo)出去過。
確保法律團隊隨時關(guān)注立法動態(tài)。如果運維者確定系統(tǒng)已經(jīng)被攻陷,而且已經(jīng)收到勒索郵件,除了第一時間要跟技術(shù)團隊溝通以外,還要聽聽法務(wù)團隊的建議,以便更好應(yīng)對。
開展修補、培訓(xùn)、防護。這里的培訓(xùn)不只是針對專業(yè)IT人員的培訓(xùn),還包括對所有員工的培訓(xùn)。很多勒索攻擊事件中,都是因為企業(yè)內(nèi)部員工誤點了某些包含“釣魚”的鏈接,而導(dǎo)致企業(yè)遭受勒索軟件攻擊。
劉燁補充道:Akamai有完整的零信任解決方案,可以更好地應(yīng)對勒索軟件的風(fēng)險。包括:Akamai Guardicore Segmentation(微分段)、Enterprise Application Access(Zero Trust遠程訪問)、Secure Internet Access Enterprise(安全Web網(wǎng)關(guān))、多因子認證(Multi Factor Authentication)和安全評估與咨詢服務(wù)(Akamai Hunt)。通過這一系列的方案,Akamai希望能夠幫助客戶監(jiān)控“東西向的流量”及“南北向的流量”,防止勒索軟件傳遞到企業(yè)內(nèi)部,或者在企業(yè)內(nèi)部系統(tǒng)之間的傳遞。
隨著數(shù)字化轉(zhuǎn)型的加速,企業(yè)中會越來越多地接入各類設(shè)備和第三方軟件,或者將某些業(yè)務(wù)的運營外包給供應(yīng)商,這都會大大增加攻擊面的暴露。減少攻擊面就要盡可能減少企業(yè)系統(tǒng)、網(wǎng)絡(luò)和邊緣的潛在漏洞和不安全的入口,減少惡意攻擊者發(fā)起網(wǎng)絡(luò)攻擊的機會,提高預(yù)防和抵御網(wǎng)絡(luò)威脅的整體能力。
劉燁談到,在談減少攻擊面之前,首先要知道自己可能有的攻擊面是什么,這是最重要的。以制造業(yè)為例,它們的攻擊面不僅是制造中所用到的IT系統(tǒng)、生產(chǎn)系統(tǒng)、物流系統(tǒng)、庫存系統(tǒng),還有很多IoT設(shè)備也易被攻擊。
其他行業(yè)亦是如此,比如醫(yī)療行業(yè)也是最容易被攻擊的行業(yè)之一。因為原來很多醫(yī)療設(shè)備是不聯(lián)網(wǎng)的,進入互聯(lián)網(wǎng)時代,很多醫(yī)療設(shè)備都從離線狀態(tài)進入到聯(lián)網(wǎng)狀態(tài),這些設(shè)備就會容易被攻擊并成為跳板。如果沒有考慮到哪些設(shè)備易被攻擊、被利用,那么企業(yè)的網(wǎng)絡(luò)攻擊面就會不斷擴大。
在減少攻擊面上,有很多基礎(chǔ)工作要去做。比如醫(yī)療系統(tǒng)連到互聯(lián)網(wǎng)時,要考慮所有的系統(tǒng)都是更新過的嗎?所有補丁都安裝了嗎?有沒有通過網(wǎng)絡(luò)分段隔離起來?這些都是我們需要去考慮的。劉燁強調(diào):當(dāng)我們把這些基礎(chǔ)工作做好,與其安全加固一樣的方法去做,再做好多層防御,相信企業(yè)一定可以更好地防御這些攻擊面被攻擊的風(fēng)險。
