信息化觀察網(wǎng)

2月24日，亞信安全威脅情報(bào)中心通過線上直播的方式，正式發(fā)布了《亞信安全2019威脅態(tài)勢(shì)分析》報(bào)告。報(bào)告對(duì)于2019年的安全演變進(jìn)行了深入的剖析，同時(shí)對(duì)于未來的發(fā)展態(tài)勢(shì)進(jìn)行了詳盡的分析。報(bào)告特別強(qiáng)調(diào)，勒索病毒已經(jīng)成長為網(wǎng)絡(luò)世界最大的安全威脅之一，而挖礦病毒也憑借各種高級(jí)逃逸技術(shù)持續(xù)威脅著包括企業(yè)云和數(shù)據(jù)中心在內(nèi)的廣泛目標(biāo)；而隨著5G等數(shù)字化技術(shù)的演進(jìn)以及黑產(chǎn)鏈條的不斷擴(kuò)大，醫(yī)療、制造業(yè)等行業(yè)正向勒索與挖礦病毒暴露更多的易攻擊面，這使其業(yè)務(wù)與數(shù)據(jù)面臨嚴(yán)峻的安全威脅。

勒索病毒成為網(wǎng)絡(luò)安全最大威脅 勒索金額上升為數(shù)百萬美元

勒索病毒，通過騷擾、恐嚇甚至綁架用戶文件等方式勒索錢財(cái)，其自1989年誕生以來，攻擊技術(shù)與影響力都在不斷擴(kuò)展。特別是2017年WannaCry病毒席卷全球之后，持續(xù)演變，現(xiàn)已成為網(wǎng)絡(luò)安全的最大威脅，而勒索金額也從以往的以萬為單位飆升到百萬美元級(jí)別。據(jù)亞信安全預(yù)計(jì)，到2021年，全球因?yàn)槔账鞴粼斐傻膿p失將達(dá)到200億美元，是2015年3.25億美元的61倍之多。而觀其發(fā)展，勒索病毒將呈現(xiàn)出多平臺(tái)感染、產(chǎn)業(yè)化、更具針對(duì)性等趨勢(shì)，攻擊方式也漸趨創(chuàng)新，以躲避安全防御系統(tǒng)，并有效地勒索受害者錢財(cái)。

勒索病毒的威脅之所以快速擴(kuò)展，除了其技術(shù)的不斷升級(jí)之外，還與勒索即服務(wù)(Ransomware as a Service, RaaS)這一黑產(chǎn)形式密不可分。在RaaS 中，"服務(wù)提供商"會(huì)編寫勒索病毒，而運(yùn)營人員則會(huì)以出售或者出租的方式將其提供給意圖發(fā)起勒索病毒攻擊的網(wǎng)絡(luò)犯罪分子。這種基于訂閱的黑產(chǎn)模式可以使那些即使是新手的犯罪分子，也可以毫不費(fèi)力的發(fā)起勒索攻擊。

圖：勒索及服務(wù)角色與分工

近年醫(yī)療衛(wèi)生行業(yè)已經(jīng)成為RaaS 的主要攻擊目。亞信安全威脅情報(bào)中心統(tǒng)計(jì)發(fā)現(xiàn)，針對(duì)醫(yī)療衛(wèi)生機(jī)構(gòu)的攻擊往往單筆贖金金額巨大，且成功率較高，其中2019年僅美國的醫(yī)療機(jī)構(gòu)就因?yàn)槔账鞑《緭p失了約40億美元。而在2020年伊始，亞信安全還監(jiān)測(cè)到多起黑產(chǎn)利用新冠病毒、對(duì)于醫(yī)療機(jī)構(gòu)展開的網(wǎng)絡(luò)釣魚事件，這些針對(duì)醫(yī)療機(jī)構(gòu)的勒索攻擊不僅會(huì)帶來醫(yī)療系統(tǒng)的嚴(yán)重?fù)p失，還會(huì)危及到患者的生命健康。

勒索病毒的嚴(yán)峻性不止于此，2019年中國的勒索病毒感染量已經(jīng)躍居全球榜首，占總數(shù)的20%。為此亞信安全建議，構(gòu)建面向勒索病毒的防御能力尤為重要。企業(yè)用戶除了需要加強(qiáng)安全教育、進(jìn)行周全的數(shù)據(jù)備份與網(wǎng)絡(luò)控制外，還亟需從傳統(tǒng)的被動(dòng)防御轉(zhuǎn)向縱深積極防御，與擁有威脅情報(bào)能力、標(biāo)準(zhǔn)預(yù)案、專業(yè)調(diào)查工具、安全響應(yīng)專家為核心的高級(jí)威脅治理防御體系的專業(yè)廠商合作，建立聯(lián)動(dòng)運(yùn)營管理解決方案，全面提升勒索病毒的抵御能力。

挖礦病毒數(shù)量兩年暴漲1500% 門羅幣成為"新寵"

2019年是挖礦病毒盛行的一年。報(bào)告顯示，與2017年相比，挖礦病毒在2019年的數(shù)量暴漲了1500%，這在很大程度上是因?yàn)榧用軘?shù)字貨幣的市值在兩年內(nèi)增長了20多倍，每一次加密數(shù)字貨幣的升值幾乎都會(huì)帶來挖礦病毒的活躍。而挖礦病毒與加密數(shù)字貨幣的緊密關(guān)聯(lián)不僅體現(xiàn)在數(shù)量上，也體現(xiàn)在類型上。隨著挖取比特幣成本的大幅提升，門羅幣成為新趨勢(shì)，其具備更好的隱藏機(jī)制，并且利用算力較小的消費(fèi)級(jí)硬件即可開采，所以已經(jīng)成為挖礦病毒制作者的首選。

近年，隨著企業(yè)上云進(jìn)程的不斷推進(jìn)，無處不在的挖礦病毒也將攻擊目標(biāo)鎖定在企業(yè)云與數(shù)據(jù)中心。報(bào)告顯示，企業(yè)云及數(shù)據(jù)中心擁有龐大數(shù)量的工業(yè)級(jí)硬件，一旦被挖礦病毒成功侵入，就會(huì)快速組建數(shù)量龐大的挖礦網(wǎng)絡(luò)，利用更多的高性能挖礦主機(jī)，牟取更大的暴利。此外，挖礦病毒還往往通過盜取API密鑰、未授權(quán)訪問、漏洞組合攻擊、暴力破解、Docker 鏡像染毒等方式進(jìn)行云上攻擊；而除了覬覦云和 IoT 中的海量算力，攻擊者還會(huì)更多的利用新暴露漏洞進(jìn)行攻擊，并傾向通過"無文件"攻擊方式來突破安全防護(hù)系統(tǒng)的檢測(cè)，以及暴力破解的方式進(jìn)行傳播。

圖：云上挖礦病毒攻擊場(chǎng)景

為了防范挖礦病毒，亞信安全建議企業(yè)用戶構(gòu)建覆蓋事前、事中、事后的安全防御體系。在事前要著重加強(qiáng)運(yùn)維管理與API密鑰的管理，并實(shí)現(xiàn)基于虛擬補(bǔ)丁的漏洞防御；在事中通過在終端/服務(wù)器部署EDR產(chǎn)品、在網(wǎng)絡(luò)中部署NDR產(chǎn)品的方式來對(duì)挖礦病毒進(jìn)行阻斷；在事后通過"高清"的威脅檢測(cè)及響應(yīng)產(chǎn)品，在全網(wǎng)范圍內(nèi)進(jìn)行關(guān)聯(lián)分析和威脅狩獵，以針對(duì)性進(jìn)行響應(yīng)和處置。

增強(qiáng)威脅情報(bào)能力，構(gòu)建全鏈路安全防御能力

面對(duì)勒索病毒、挖礦病毒呈現(xiàn)出老病毒不斷變種、新病毒層出不窮的特征，通過安全情報(bào)精準(zhǔn)的判斷并識(shí)別安全威脅，成為安全防御的關(guān)鍵能力。對(duì)此，亞信安全在標(biāo)準(zhǔn)化的威脅防護(hù)類產(chǎn)品和定制化的策略的基礎(chǔ)上，還提供了以威脅情報(bào)為核心的安全服務(wù)。亞信安全威脅情報(bào)服務(wù)采用機(jī)器學(xué)習(xí)、沙箱、NLP等高級(jí)技術(shù)分析、處理和動(dòng)態(tài)更新精準(zhǔn)的威脅情報(bào)，及時(shí)發(fā)現(xiàn)最新的安全威脅。

此外，亞信安全還依托廣泛覆蓋、緊密聯(lián)動(dòng)的安全產(chǎn)品，提供了覆蓋事前、事中、事后的全鏈路安全防御解決方案，幫助企業(yè)用戶實(shí)現(xiàn)對(duì)勒索病毒、挖礦病毒等威脅的提前洞察、提前預(yù)測(cè)、提前響應(yīng)，以及及時(shí)的補(bǔ)救和恢復(fù)，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全的多層防御與精密編排，更好地保護(hù)自身的業(yè)務(wù)與數(shù)據(jù)。