勒索软件的威胁态势逐渐升级,危害也越来越大,勒索赎金、数据泄露等风险给企业及个人带来越来越广泛的影响。
进击的勒索软件
勒索软件攻击的频率、强度、范围以及破坏力正在不断升级,越来越多的攻击者瞄准了工业、金融、政府甚至是医疗、教育等关键信息系统,遭受攻击的企业也从中小企业扩展到了大企业。
勒索软件攻击的形式从单一攻击演变成了双重乃至多重攻击,进一步提高了数据恢复成本,扩大了企业的业务和财务损失,这种危害性随着时间的推移变得愈加严重。
派拓网络近期发布的《2023勒索软件威胁报告》(以下简称《报告》)中显示,派拓网络威胁情报团队Unit42在过去18个月中,对1000家企业遭受勒索软件攻击事件的分析得出,从受到勒索软件攻击的数量来看,中国大陆市场在亚太地区排在第六位,前面分别是澳大利亚、印度、日本、中国台湾、泰国。
《报告》陈述了在这1000起事件中,2022年最高赎金支付达到700万美元,平均付款的中位数大约35万美元。很多勒索攻击的起源都是因为资产攻击面的暴露,这样很容易引起黑客攻击,大概有75%。其中制造业是最大的受害者,有447家,整个行业面临的勒索攻击形势非常严峻。
《报告》还表明,制造业、批发和零售、专业和法律顾问是最容易受到攻击的行业。另外,针对中国市场的很多攻击来自一些境外组织,比如Lockbit、Hive、BlackCat。从攻击方式来说,以盈利为目的的攻击主要是希望得到商业回报,这种交易很多时候是通过加密货币进行的。虽然我们国内禁止加密货币,但它在国际上很流行,所以黑客组织会利用这种手段获取商业利益。
从这些事件中我们也可以看到,勒索攻击正在无差异化、常态化。在此趋势下,传统勒索软件组织仍然在迭代着更具破坏性的恶意软件,而新的勒索攻击者正在藉由门槛更低的工具,轻易地向更复杂的信息系统发起攻击。
一场持久战
勒索软件攻击是一个持续不断的安全威胁,攻击者们不断改进着技术和手段,以规避现有的安全防御体系。
派拓网络大中华区售前总经理 董春涛
正如派拓网络大中华区售前总经理董春涛所述,现在黑客会把以往常见的几种勒索软件组合在一起,不断地向企业施压以获得商业利益。攻击者经常把企业的数据发布到网上,平均每天有7家勒索软件受害企业的数据出现在这些网站上,相当于每四个小时会新增一家,这个速度还是蛮惊人的,董春涛感叹到。
勒索软件瞄准的企业性质也在发生变化,原来他们专注于商业企业,但现在一些黑客组织居然针对一些弱势组织,包括学校和医院。在IT防护比较薄弱的企业实体面前,勒索攻击者也进行了很强烈的攻击,说明整个攻击的底线在降低。
董春涛总结了一些勒索软件攻击行为的特点。
首先,勒索软件的攻击目标是为了获取高度敏感的文件,非常有针对性,包括个人的身份信息、客户的财务数据、受保护的健康信息等等。勒索软件的攻击手段由传统的给企业重要数据文件加密,变为多种手段结合。
为什么会这样?因为勒索软件攻击经常发生,企业几乎都做到了一些数据的备份,所以企业在受到勒索软件攻击后,因数据得到了保护而不再轻易付赎金。因此,攻击者转而使用其他手段,比如通过胁迫骚扰的手段来获取利益,不断打骚扰电话,准备向媒体、公众发布企业丢失数据的这样一些新闻,来不断向企业施压,甚至是向一些企业的高管和家人打骚扰电话和发骚扰邮件。
其次,勒索攻击技术的创新也在持续迭代。如前所述的情况,都是在2019年、2020年、2021年新成立的攻击组织,他们用创新的攻击技术发起恶意攻击,所以近年来攻击创新也在不断发展。
面对持续进化的勒索软件,我们应该清醒地认识到,与勒索攻击者发起对抗的不是歼灭战,而是一场持久战。
为什么是制造业
经历了向数字化全面转型的制造业,显而易见的是生产力和效能得到大提升。但是伴随着工业流程的数字化,也遇到了前所未有的网络安全挑战。
有数据表明,2022年,全球工业数据泄露的平均成本约为447万美元。
从《报告》以及其他第三方数据可以看到,制造业成为勒索软件最容易攻击的行业,并且OT与IoT的融合,让更复杂的攻击屡屡发生。
制造业目前成为主要的勒索攻击目标是因为其有几个特点,董春涛解释到:
无论是物联网设备,还是工业设备,制造业的设备都非常多。每条生产线,包括运营等等非常繁琐和复杂。
另外,因为制造业用的很多系统是厂商很早之前提供的,所以他们仍在运行一些比较老旧、没有升级的软件平台,这就涵盖了很多可以被黑客利用的漏洞。
还有,制造业对于停工的容忍度非常低。一旦勒索软件攻击成功,就很容易导致业务停止运行,企业为了尽快恢复生产,会让攻击者很容易获利。
派拓网络大中华区总裁 陈文俊
派拓网络大中华区总裁陈文俊也表示,在工业互联网上,现在生产线上基本都是用机器人做管控,整个流程也是通过自动化实现。一旦受到攻击,会影响整个生产线的安全。一些事件说明,在工业上如果关键设施受到攻击,影响非常重大。
不得不提的是,制造业普遍缺乏专业的网络安全知识和人才,缺乏对潜在安全风险的了解。因此面临安全威胁时,企业可能会优先考虑维护生产目标,而不是应对攻击。
阻击勒索软件攻击
根据目前的形势,防范勒索软件攻击需要采取多重防范措施,例如备份重要数据、及时更新软件、修补漏洞等。当然,企业还应该建立必要的应急预案,以便在遭受勒索软件攻击时能够及时应对。
谈到如何提升勒索软件攻击的防御能力,董春涛提供了一些建议和策略。
首先,就是保持不断地对变化环境的了解。派拓网络以及其他公司和安全组织会定期发布由安全专家所做的一些报告,我们希望企业的安全负责人甚至企业高管,都不断地去了解这些最新的安全建议。
第二,评估,即如果失去重要数据会给企业所造成影响的评估。只有不断地作此评估,才能对企业使用数据的损失有清晰的认识。
第三,评估内部和外部的应变力,来不断适应攻击的变种。
第四,我们希望企业的高管人员来组织整个企业做一些流程上的实践,来检验和测试应对突发状况的机制,这包含企业对于攻击的应变能力,也包含对于媒体一些反应的应变能力。
最后,我们还是建议部署最新的零信任架构,来确保企业的安全。
这五步是层层递进的,对环境的了解,对组织流程的演练,以及把最新零信任安全架构的技术部署到企业环境中,不断提高对勒索软件攻击的防御能力。
派拓网络为所有的企业OT环境提供零信任的安全保障:
第一个层面是对OT领域设备和网络的保护,包括对生产线上的和ERP、CRM里面关键系统的保护。
第二个层面是5G,现在一些先进的制造业已经在采用5G专网来提升制造能力。仅有传统5G网络是不够的,一定要在5G网络上附加安全元素,使得5G网络既提供先进的接入能力,又提供安全完备的服务。
第三个层面是远程运营,有很多远程人员为生产环境里面的设备进行远程的监控和保障。零信任的接入方式,可以保障企业对所有OT环境里运维人员的安全接入能力。
对于远程运营,派拓网络提供了可视性。在部署零信任安全的设备和方案之后,企业具备一个易用且可视性很强、简化的安全运营中心,为OT的零信任运营技术安全提供可靠的保障。
勒索软件的攻击已无处不在,任何企事业组织都可能成为下一个受害者。
在勒索软件的潜在威胁之下,没有谁是绝对安全的。因此,制定合适的防范勒索软件攻击策略、选择有效的安全产品和方案做好防护至关重要。
