科技日报记者 张佳星
秋收时节将近,美国相关政府部门此前发出提醒:勒索软件攻击者可能在关键的种植和收获季节攻击农业合作社,对粮食供应产生负面影响。全球农业设备制造商和分销商AGCO不久前就遭受了勒索软件攻击,造成业务运营受阻。
“勒索病毒的攻击活动正逐步由来自个人或单个黑客团伙的攻击转变为层级分明、分工明确的黑色产业活动。”北京邮电大学网络空间安全学院教授、副院长彭海朋研判,勒索病毒的攻击能力正在变得十分惊人,勒索行为也日益趋向专业化。
【资料图】
“勒索病毒的攻击目标也发生了变化,之前勒索活动多采取不加区分的‘广撒网’方式,而如今则转变为先进制造业、巨头企业、政府部门等有经济实力的单位。”在日前召开的亚信安全方舟计划发布会上,亚信安全副总裁徐业礼表示,在当前不稳定的全球经济形势下,勒索组织逐利的目标异常明确,因此把“黑手”伸向更有可能和有能力缴付赎金的组织。
勒索攻击技术实力在加强,需要全链条治理
勒索行为日益专业化的重要原因之一是其背后的技术支撑力不断增强。
“受利益驱使,勒索病毒作者对于病毒开发的周期不断延长。”彭海朋解释,这样一来,勒索病毒新变种的更新速度不断加快,其攻击方式也变化极快。勒索病毒不断升级换代,当前加强软件弹性、驻留能力、无文件、免杀逃逸等额外功能逐步成为勒索病毒的标配。
据亚信安全《安全威胁报告》数据, 2022年全球有据可查的国内外遭勒索企业达到1600多家,如美工业巨头企业派克汉尼汾、英国出版业巨头麦克米伦出版公司等均遭到勒索病毒攻击,除了加密数据外,勒索团伙还窃取了大量数据。制造业仍然是勒索病毒攻击的主要目标。
“传统的勒索黑客技术门槛不高,但近年来他们可以通过暗网渠道找到专业的勒索组织。”徐业礼解释,专业勒索组织中有高水平的程序员、渗透专家等,这些都使得曾经没有技术实施大型攻击的黑客具备了破坏力较高的勒索力量。
彭海朋进一步分析,这种勒索即软件服务(RaaS)模式的攻击形式进一步增强了攻击的隐蔽性。因此,在勒索方式上演化为同时开展双重勒索,甚至三重勒索。
为此,依据对勒索病毒攻击的深度研究和总结,方舟计划将勒索过程划分为6个阶段,包含初始入侵、持续驻留、内网渗透、命令控制、信息外泄、执行勒索。针对勒索攻击6个阶段的不同特点,推出以XDR技术为核心的现代勒索病毒治理解决方案,在终端、云端、网络、边界、身份、数据等不同节点,实施检测与响应,目前方舟引擎可洞察72个勒索攻击的检测点,并对威胁数据、行为数据、资产数据、身份数据、网络数据等进行联动分析,形成勒索病毒治理的全链条。
勒索攻击组织性更严密,需要情报分析
俗话说:跑得了和尚跑不了庙。在网络安全的攻防战中,有没有可能直捣黑客的“老窝”,或者在勒索攻击发起前就实施阻断?
“一方面,网络安全行业需要对操作系统、数据库、中间件、应用数据等全流程进行深入研究,并提供相应的安全技术服务能力,这考验着网安主体的核心技术力量。”徐业礼表示,另一方面对于全球黑灰产业链、黑客组织的理解也是网安实力的重要内容,这方面的能力决定了网络安全研究对于威胁情报数据本身的理解能力、分析能力和应用能力。
基于精准网络安全分析和研判能力,在勒索发生前提前预警成为可能。方舟提供了全链路智能行为与内容变化追踪,对批量数据窃取及高度隐蔽性异常访问等恶意行为进行智能安全分析,高效识别各类已知与未知的攻击,同时利用强大的检测能力及威胁情报能力,定期、主动对端点上潜藏的威胁进行隔离,扫清“雷点”,更有效应对事后可能出现的二次攻击。
相较于技术实力,对于全球网络安全形势的研判更需要经验的积累和领域的深耕。“可能需要5-6年的长期积累,网络安全团队才能具备准确的情报分析和研判能力。”徐业礼说。
关键词: 网络安全