2020新冠疫情将全球数字化转型的进程提前了至少两到三年,有的行业甚至提前了五年以上。然而在业界欢呼数字经济新机遇的时候,疫情也催化了全球网络威胁的爆发,特别是于2017年首次爆发的勒索病毒,在2020年以及2021年上半年更有呈现数倍爆发的态势。根据腾讯安全发布的《2021上半年勒索病毒趋势报告及防护方案建议》(以下简称《报告》),仅2021年第一季度,就发生了多起国际知名企业被勒索的案件,赎金持续刷新纪录。
“2020疫情期间,几乎所有企业和机构的运营方式都发生了巨大的变化,物理隔离导致了远程办公成为常态,而远程办公则导致整体网络攻击威胁大涨”,腾讯安全总经理王宇近期表示:“远程办公的员工更容易打开陌生人的邮件,这极大增加了勒索病毒这种恶意攻击的成功概率,甚至带来企业和机构关键数据和信息的泄露,进而导致勒索病毒攻击目标更精准、勒索金额更庞大。”
在对抗勒索病毒攻击方面,公有云具有更强的企业数据保护能力。由腾讯安全发布的《2020年公有云安全报告》指出,得益于业务上云之后可选择相对完善的数据备份方案,针对公有云的勒索软件攻击相对不易得逞。王宇则进一步强调,从2017年开始的勒索病毒已经发展到十分成熟、分工细化的黑色产业链,相对于封闭的企业本地IT或私有云环境,集合了完整安全服务能力、安全大数据和安全实践的公有云,更能应对日益严峻的勒索病毒态势。
勒索病毒的全面升级
2021年5月,美国最大的燃油管道公司ColonialPipeline遭遇勒索病毒攻击,导致美国东部17个州和华盛顿特区宣布进入紧急状态;7月,厄瓜多尔最大的国营电信公司被勒索,导致运营出现大面积故障;8月,全球IT咨询巨头埃森哲遭遇勒索软件攻击,勒索软件组织声称窃取了6TB的数据并要求支付5000万美元的赎金。相比于2017年小规模的勒索赎金,2021年以来的勒索病毒攻击目标更集中在具有更强支付能力的大型企业和机构。
自2017年5月爆发WannaCry勒索病毒以来,勒索病毒在迄今为止的4年多时间时发生了显著的升级和进化:首先是勒索病毒的“家族化”发展。根据腾讯安全的《报告》,2021年上半年GlobeImposter家族和具有系列变种的Crysis家族等老牌勒索病毒依然活跃,而Phobos、Sodinokibi、Buran、Medusalocker、Avaddon、lockbit、Ryuk、NEMTY等新型勒索病毒家族也有着广泛流行的趋势;其中大部分勒索病毒都有着变种多、针对性高、感染量上升快等特点,像Sodinokibi、Medusalocker等病毒甚至呈现针对国内系统定制化的操作。
(勒索病毒的工业化“生产”流程,来源:《2021上半年勒索病毒趋势报告及防护方案建议》)
其次,勒索病毒的工业化“生产”,即出现了RansomasaService。简单理解,过去制造一个勒索病毒还需要较为复杂的技术能力,而现在整个勒索病毒的生产已经形成了从研发、传播到解密和挖矿获利的SaaS化运营,参与者只需要拥有自己的网站和投放勒索病毒的渠道,花费很低的成本就能从最终收益中获得分成。而在中国市场,由于中国企业并没有采购加密货币支付赎金的渠道,还出现了利用受害者服务器直接挖矿获利的新方式。
第三,勒索病毒的技术呈现全面升级态势。在加密算法方面,最初的勒索病毒加密算法还不算太强,可以解出一百多种勒索病毒并进行数据还原,但现在无论从密码学还是软件设计等方面都无法实现解密。在对抗性方面,在最初的文件加密基础上,现在的勒索病毒还捣毁了备份还原路径,让受害者无法进行数据还原,对抗技术越来越全面。在攻击手段方面,从最初的自动攻击已知漏洞发展到APT高级可持续威胁攻击模式,即有针对性的手动入侵后再植入病毒进行勒索,此外还有利用远程登陆造成的弱密码或密码泄露等进行密码爆破。在受感染系统方面,从之前受影响较大的Windows系统到如今的MacOS、安卓等移动甚至工控系统也陆续受到勒索攻击。
整体来说,勒索病毒在过去4年多的时间里已经全面升级,特别是2021年刚刚过半,勒索病毒的爆发量已超过2020年全年总和。那么,在应对升级的勒索病毒方面,企业数据安全与保护技术架构到底应该沿用传统的企业IT/私有云+专业安全服务商模式,还是应该优先选用公有云技术架构和服务?企业IT/私有云与公有云到底哪个更安全,这是自2017年WannaCry之后就没有停止过的技术讨论。
为什么公有云更安全?
在2017年WannaCry病毒爆发的时候,就出现了一波企业IT/私有云与公有云到底谁更安全的争论。到了2021年,这个争论有了一个事实上的回应:美国IT管理软件提供商Kaseya在2021年7月遭到了勒索软件攻击,由于Kaseya主要为其它IT托管服务商提供IT管理软件,因此黑客声称该次勒索软件攻击影响了800-1500家左右的企业、感染了超过100万个计算机系统,黑客进而索要7000万美元的赎金。
使用Kaseya软件的客户大多是IT托管服务商,这些IT托管服务商基于Kaseya的软件,为企业IT和私有云环境中的设备和基础设施提供IT托管服务,因此当Kaseya软件被黑客攻击后而这些IT托管服务商又没有足够的安全防护能力时,就会导致勒索病毒向下游企业客户的蔓延。例如,瑞典杂货连锁公司Coop的PoS供应商就使用了Kaseya客户(即一家IT托管服务商)所提供的服务,导致被迫关闭了数百家门店。
当然,如果IT托管服务商的技术能力很强时,也能及时阻止勒索病毒攻击。例如埃森哲就在遭遇勒索病毒攻击后,马上控制并隔离了受影响的服务器,而由于埃森哲进行了较为完善的数据备份,因此能从备份中完全恢复受影响的系统。作为全球最大的IT咨询和托管服务商之一,虽然并不知道埃森哲被窃取的6TB数据中包括了多少其客户的数据,而且这些被窃取的数据也被勒索组织发布出来,但到目前为止尚未造成重大影响。
从Kaseya和埃森哲的例子就可以看出,勒索软件对于企业IT/私有云的最大挑战之一在于安全人才、技能、知识和实践的匮乏。毕竟,不是所有的企业都能支付得起埃森哲这样顶级IT托管服务商的费用,对于大多数IT托管服务商或所谓的专业安全服务商来说,很难为一家企业客户提供完整的从网络、系统、应用到数据的全栈和实时的异常扫描与覆盖,而即使是专业安全服务商也面临着及时掌握安全大数据的挑战,因为安全问题是一个动态演进的过程,不同专业安全服务商也很难与同行共享自己的技术、能力、知识和相关实践。
公有云则不同。首先,公有云的技术体系基本都是基于Linux,而勒索病毒的主要攻击对象是Windows系统且通过Windows系统大范围扩散,因此公有云相对受勒索病毒的影响更低,更不易被攻破。其次,公有云服务都是从网络、系统、应用到数据的全栈全自建,公有云服务商具备全栈的安全人才团队,掌握和精通每一层的安全问题及防护措施,并且能够快速对不同技术栈的威胁事件进行关联,对异常行为进行快速响应和有效阻击。第三,公有云具备有效且完整的入侵检测、态势分析、告警机制等,一旦发现高危漏洞就可以快速推送给所有的云租户,从而降低和有效规避风险。第四,上云的企业除了利用公有云建立自己的云上备份外,公有云服务商本身对所服务的客户提供了多重备份机制,确保上云企业的云上数据安全,即使被勒索也能很快恢复数据。
王宇强调,很多企业以为自建封闭的数据中心更安全,但其实并没有专业的安全人才对企业数据中心进行长期的威胁暴露面梳理,这些暴露面很容易中招互联网病毒而企业往往不自知。另外,当年的WannaCry其实有一个“开关”,但由于企业内部数据中心并没有对外联网而不能及时关上“开关”,导致受害程度不断加剧,而这些传统上封闭的企业和机构在上了公有云后,风险程度反而能降低,因为公有云服务商对勒索病毒提供完整的防御体系。
公有云的“三重防线”
腾讯作为国内最大的消费互联网之一,也是国内最大的产业互联网和公有云服务商之一。正是集消费互联网、产业互联网和公有云等三合一的优势,让腾讯云炼成了具有全网最强感知和预测能力的云原生安全,从而可以及时有效对抗勒索病毒。
王宇强调,如果能够提前感知安全事件,甚至在其萌芽期就能感知到的话,就能获得较大的响应时间窗口并有效部署后续的应对措施。对于腾讯云来说,既有腾讯在消费互联网端的安全产品,也有服务产业互联网的安全产品,以及公有云自身的安全能力,形成了全网的威胁感知覆盖。腾讯云的上百万台服务器,基于上涵盖了所有云上基础设施的威胁感知范围,而腾讯在消费互联网的电脑管家和手机管家等覆盖了上亿的用户,从而形成全网感知。
在应对勒索病毒方面,很多企业的一个误区是“银弹思想”,也是很多企业目前最大的问题,即认为存在一种办法或系统能够彻底解决安全问题,但这实际上并不存在。王宇表示,抵抗勒索攻击,首要是安全意识要提高,定期进行安全培训,坚持“三不三要”工作思路:1,不上钩:标题吸引人的未知邮件不要点开;2,不打开:不随便打开电子邮件附件;3,不点击:不随意点击电子邮件中附带网址;4,要备份:重要资料要备份;5,要确认:开启电子邮件前确认发件人可信;6,要更新:系统补丁/安全软件病毒库保持实时更新。
在全网感知能力之上,腾讯云对于对抗勒索病毒提出了事前、事中和事后的“三重防线”。第一重防线是事前防患未然,风险检测与充分备份并行。勒索病毒攻击常常通过钓鱼邮件、水坑攻击、漏洞利用和爆破等手段突破边界,这一阶段通过资产扫描、基线检测、漏洞扫描降低入侵风险,通过事前部署数据备份系统,在勒索攻击来临前做好充分准备。事前阶段涉及到腾讯云产品包括:云硬盘CBS,提供用于云服务器(CVM)的持久性数据块级存储服务;安全托管服务,提供安全评估测评服务,以发现和修复网络弱点;主机安全,提供基线检测与漏洞检测修复服务;漏洞扫描服务,网络资产安全漏洞扫描修复服务。
第二重防线是事中的精准狙击,及时告警、响应和拦截。当黑产入侵系统后,常常通过病毒投放、横向移动和加密勒索等形式对企业的业务系统造成不可逆的侵害,这一阶段主要通过流量侧、主机侧的检测响应机制,及时发现黑客入侵行为、防止勒索攻击在内网扩散,阻止攻击者窃取企业机密信息,及时响应处置告警事件,将威胁消灭在起始阶段,避免大的灾难发生。事中阶段涉及到的腾讯云产品包括:云安全运营中心(云SOC),协调企业云端所有安全防护产品及时检测威胁、响应告警、分析日志、处置威胁;主机安全,检测清除恶意病毒木马,拦截部分高危漏洞攻击,及时对攻击事件告警;腾讯云防火墙,内置虚拟补丁机制,拦截利用高危漏洞发起的攻击活动,阻断横向移动,避免威胁扩散;腾讯Web应用防火墙,通过对web流量的实时检测,防护各种形式的网络攻击。
第三重防线则在事后消弭于无形,备份还原及时有效。当遭遇勒索病毒攻击后,企业可以借助安全产品或服务快速恢复业务,并对事件进行溯源分析,及时对短板进行修复处理,避免被攻击者重复利用。事后阶段涉及到腾讯云产品包括:云安全运营中心(云SOC),对事件进行回溯调查,发现威胁源头,采取针对性的系统加固措施,避免攻击者再次来袭;云硬盘CBS,通过镜像回滚,快速恢复业务,避免业务系统因黑客攻击而中断;安全托管服务,为企业提供全方位的应急响应服务。
王宇表示,除了事前、事中、事后的“三重防线”外,针对国际上对抗勒索病毒所提出的P2DR模型,即预测、检测、防御和响应,腾讯云也推出了相应的完整产品与服务体系。当然,对于企业和机构来说,最大的收益还是通过公有云服务共享了腾讯云安全人才与技术能力:腾讯内部几大安全实验室和安全平台部超过300人的顶尖研究力量成立“云全栈安全研究工作组”,而腾讯共有超过3500名的安全专家和技术人员投入到腾讯云安全建设。截至2021年初,腾讯在云安全方面已经取得了1500多项技术专利,位列行业第一;2020年,腾讯云在云基础安全和云业务安全方面,获得了Gartner、Forrester、IDC、Sullivan等国际权威安全机构的认可,以及韩国、新加坡、德国、美国、欧盟五个国家和地区的最高安全资质认证。
整体来说:2020全球疫情在加速全球数字化转型进程的同时,也推动了网络安全威胁的水涨船高,特别是许多企业和机构在向数字化和远程运营迁移过程中的漏洞风险和密码爆破攻击飙升、异地异常登陆行为显著上升等等,为勒索病毒攻击提供了大量机会。传统企业IT/私有云在应对全面升级的勒索病毒攻击时,已经显现出力不从心。公有云作为社会化的共享计算模式,也是社会化的共享安全能力与建设。“集中力量办大事”,这是以腾讯云为代表的公有云成为企业数据保护首选技术架构的根本原因所在。
