信息化觀察網(wǎng)

作者

翟尤騰訊研究院產(chǎn)業(yè)安全中心主任、高級研究員

1989年，哈佛大學(xué)學(xué)生約瑟夫·L·波普制作了全球首個勒索病毒—AIDS木馬，這位哈佛高材生將勒索病毒隱藏在軟盤中并分發(fā)給國際衛(wèi)生組織艾滋病大會的參會者。此款勒索病毒會記錄用戶設(shè)備重啟次數(shù)，一旦超過90次就會對電腦中的文件進(jìn)行加密，并要求郵寄189美元才能解密重新訪問系統(tǒng)。雖然“名牌大學(xué)生惡作劇+郵寄支付贖金”的標(biāo)簽在今天看來既沒有多大危害，也不夠?qū)I(yè)，但勒索病毒發(fā)起的對經(jīng)濟(jì)社會的攻擊，在此后的30多年中逐漸演變?yōu)樽屓寺勚兊木W(wǎng)絡(luò)攻擊浪潮。

勒索攻擊從惡作劇向

專業(yè)組織化網(wǎng)絡(luò)攻擊演變

勒索攻擊又稱為“贖金木馬”，是指網(wǎng)絡(luò)攻擊者通過對目標(biāo)數(shù)據(jù)強(qiáng)行加密，導(dǎo)致企業(yè)核心業(yè)務(wù)停擺，以此要挾受害者支付贖金進(jìn)行解密。如同我們把錢放在保險(xiǎn)箱，小偷沒有撬開保險(xiǎn)箱偷錢，反而把放保險(xiǎn)箱的房間加了把鎖。如果沒有房間的鑰匙，我們依然拿不到保險(xiǎn)箱里的錢。勒索攻擊發(fā)展歷程并不長，在30多年的發(fā)展過程中，主要經(jīng)歷三個階段：1989至2009年是勒索攻擊的萌芽期，在這20年中，勒索攻擊處于起步階段，勒索攻擊軟件數(shù)量增長較為緩慢，且攻擊力度小、危害程度低。2006年我國首次出現(xiàn)勒索攻擊軟件。2010年以后，勒索軟件進(jìn)入活躍期，幾乎每年都有變種出現(xiàn)，其攻擊范圍不斷擴(kuò)大、攻擊手段持續(xù)翻新。2013年以來，越來越多的攻擊者要求以比特幣形式支付贖金；2014年出現(xiàn)了第一個真正意義上針對Android平臺的勒索攻擊軟件，標(biāo)志著攻擊者的注意力開始向移動互聯(lián)網(wǎng)和智能終端轉(zhuǎn)移。勒索攻擊在2015年后進(jìn)入高發(fā)期，2017年WannaCry勒索攻擊在全球范圍內(nèi)大規(guī)模爆發(fā)，至少150個國家、30萬名用戶受害，共計(jì)造成超過80億美元的損失，至此勒索攻擊正式走入大眾視野并引發(fā)全球關(guān)注。

勒索攻擊典型特征與案例

近年來勒索攻擊席卷全球，幾乎所有國家的政府、金融、教育、醫(yī)療、制造、交通、能源等行業(yè)均受到影響，可以說有互聯(lián)網(wǎng)的地方就可能存在勒索攻擊。2021年5月，美國17個州能源系統(tǒng)受到勒索攻擊，導(dǎo)致美國最大的燃料管道運(yùn)營商Colonial關(guān)閉約8851公里的運(yùn)輸管道，犯罪分子在短時間內(nèi)獲取了100G數(shù)據(jù)，并鎖定相關(guān)服務(wù)器等設(shè)備數(shù)據(jù)，要求支付75個比特幣作為贖金（相當(dāng)于440萬美元）。勒索攻擊已經(jīng)成為未來一段時期網(wǎng)絡(luò)安全的主要威脅。總的來看，勒索攻擊有4個顯著特征：

(一)隱蔽性強(qiáng)且危害顯著

勒索攻擊善于利用各種偽裝達(dá)到入侵目的，常見的傳播手段有借助垃圾郵件、網(wǎng)頁廣告、系統(tǒng)漏洞、U盤等。隱蔽性是勒索攻擊的典型攻擊策略。在入口選擇上，攻擊者以代碼倉庫為感染位置對源代碼發(fā)動攻擊；在上線選擇上，寧可放棄大量的機(jī)會也不愿在非安全環(huán)境上線；在編碼上，高度仿照目標(biāo)公司的編碼方式和命名規(guī)范以繞過復(fù)雜的測試、交叉審核、校驗(yàn)等環(huán)節(jié)。此外，攻擊者往往在發(fā)動正式攻擊之前就已控制代碼倉庫，間隔幾個月甚至更長時間才引入第一個惡意軟件版本，其潛伏時間之長再一次印證了勒索攻擊的高隱蔽性。

調(diào)查發(fā)現(xiàn)，某些勒索攻擊事件的制造者利用尚未被發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊策略、技術(shù)和程序，不僅可以將后門偷偷嵌入代碼中，而且可以與被感染系統(tǒng)通信而不被發(fā)現(xiàn)。這些策略、技術(shù)和程序隱藏極深且很難完全從受感染網(wǎng)絡(luò)中刪除，為攻擊活動細(xì)節(jié)的調(diào)查取證和后續(xù)的清除工作帶來巨大的挑戰(zhàn)。此外，勒索攻擊一般具有明確的攻擊目標(biāo)和強(qiáng)烈的勒索目的，勒索目的由獲取錢財(cái)轉(zhuǎn)向竊取商業(yè)數(shù)據(jù)和政治機(jī)密，危害性日益增強(qiáng)。

(二)變異較快且易傳播

目前活躍在市面上的勒索攻擊病毒種類繁多呈現(xiàn)“百花齊放”的局面，而且每個家族的勒索病毒也處于不斷地更新變異之中。2016年勒索軟件變種數(shù)量達(dá)247個，而2015年全年只有29個，其變體數(shù)量比上一年同期增長了752%。變體的增多除了依賴先進(jìn)網(wǎng)絡(luò)技術(shù)飛速發(fā)展以外，還與網(wǎng)絡(luò)攻擊者“反偵查”意識的增強(qiáng)相關(guān)。很多勒索軟件編寫者知道安全人員試圖對其軟件進(jìn)行“逆向工程”，從而不斷改進(jìn)勒索軟件變體以逃避偵查。比如爆發(fā)于2017年的WannaCry，在全球范圍蔓延的同時也迅速出現(xiàn)了新的變種——WannaCry 2.0，與之前版本的不同是，這個變種不能通過注冊某個域名來關(guān)閉傳播，因而傳播速度變得更快。

(三)攻擊路徑多樣化

近年來越來越多的攻擊事件表明，勒索攻擊正在由被動式攻擊轉(zhuǎn)為主動式攻擊。以工業(yè)控制系統(tǒng)為例，由于設(shè)計(jì)之初沒有考慮到海量異構(gòu)設(shè)備以及外部網(wǎng)絡(luò)的接入，隨著開放性日益增加，設(shè)備中普遍存在的高危漏洞給了勒索攻擊以可乘之機(jī)，一旦侵入成功即可造成多達(dá)數(shù)十億臺設(shè)備的集體淪陷。隨著遠(yuǎn)程監(jiān)控和遠(yuǎn)程操作加快普及并生產(chǎn)海量數(shù)據(jù)，網(wǎng)絡(luò)攻擊者更容易利用系統(tǒng)漏洞發(fā)動遠(yuǎn)程攻擊，實(shí)現(xiàn)盜取數(shù)據(jù)、中斷生產(chǎn)的目的。為了成功繞過外部安裝的防火墻等安全設(shè)施，不少勒索攻擊誘導(dǎo)企業(yè)內(nèi)部員工泄露敏感信息。除了針對運(yùn)營管理中存在的薄弱環(huán)節(jié)，勒索攻擊還在設(shè)備安裝過程中利用內(nèi)置漏洞進(jìn)行橫向滲透，一旦發(fā)現(xiàn)系統(tǒng)已有漏洞則立即感染侵入。

(四)攻擊目標(biāo)多元化

一方面是從電腦端到移動端。勒索病毒大多以電腦設(shè)備為攻擊目標(biāo)，其中Windows操作系統(tǒng)是重災(zāi)區(qū)。但隨著移動互聯(lián)網(wǎng)的普及，勒索攻擊的戰(zhàn)場從電腦端蔓延至移動端，并且有愈演愈烈的趨勢。俄羅斯卡巴斯基實(shí)驗(yàn)室檢測發(fā)現(xiàn)，2019年針對移動設(shè)備用戶個人數(shù)據(jù)的攻擊達(dá)67500個，相比2018年增長了50%。同年卡巴斯基移動端產(chǎn)品共檢測到350多萬個惡意安裝軟件包，近7萬個新型移動端銀行木馬和6.8萬多個新型移動端勒索軟件木馬。

另一方面是從個人用戶到企業(yè)設(shè)備。個人設(shè)備在勒索軟件攻擊目標(biāo)中一直占據(jù)較高比例，但隨著傳統(tǒng)勒索軟件盈利能力的持續(xù)下降，對更高利潤索取的期待驅(qū)使網(wǎng)絡(luò)攻擊者將目標(biāo)重點(diǎn)聚焦在政府或企業(yè)的關(guān)鍵業(yè)務(wù)系統(tǒng)和服務(wù)器上。比如在今年7月16日發(fā)生的國家級勒索事件中，厄瓜多爾最大網(wǎng)絡(luò)運(yùn)營商CNT遭遇勒索軟件RansomEXX的攻擊，致使其業(yè)務(wù)運(yùn)營、支付門戶及客戶支持全部陷入癱瘓，犯罪團(tuán)伙聲稱已經(jīng)取得190GB的數(shù)據(jù)，并在隱藏的數(shù)據(jù)泄露頁面上分享了部分文檔截圖。

隨著AI、5G、物聯(lián)網(wǎng)等技術(shù)的快速普及和應(yīng)用，以及加密貨幣的持續(xù)火爆，勒索攻擊呈現(xiàn)出持續(xù)高發(fā)態(tài)勢，全球大量知名企業(yè)都曾遭到勒索攻擊并導(dǎo)致經(jīng)濟(jì)和聲譽(yù)損失。據(jù)《2020年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》統(tǒng)計(jì)，2020年我國全年捕獲勒索病毒軟件78.1萬余個，較2019年同比增長6.8%。據(jù)Cybersecurity Adventure統(tǒng)計(jì)，2021年全球勒索軟件破壞成本預(yù)計(jì)將達(dá)到200億美元，高于2015年3.25億美元的61倍。

勒索攻擊7大趨勢特點(diǎn)

(一)影響社會正常運(yùn)轉(zhuǎn)且難解密

勒索攻擊對社會正常運(yùn)轉(zhuǎn)帶來較大挑戰(zhàn)。在民生方面，大型企業(yè)遭到勒索攻擊嚴(yán)重影響民眾正常生活。2021年5月全球最大的肉類供應(yīng)商JBS遭到勒索病毒攻擊，部分牛羊屠宰加工廠停擺，美國肉類批發(fā)價格出現(xiàn)上漲，使得本就受到疫情沖擊的全球食品供應(yīng)鏈雪上加霜。在醫(yī)療衛(wèi)生方面，勒索攻擊不但造成巨額經(jīng)濟(jì)損失，同時也威脅到病人生命安全。2020年9月，德國杜塞爾多夫醫(yī)院30多臺內(nèi)部服務(wù)器遭到勒索攻擊，一位前來尋求緊急治療的婦女被迫轉(zhuǎn)送至其他醫(yī)院后死亡。這是公開報(bào)道的第一起因勒索攻擊導(dǎo)致人死亡的事件。國內(nèi)也出現(xiàn)過類似的勒索攻擊事件，如某建筑設(shè)計(jì)院遭遇勒索病毒攻擊，數(shù)千臺電腦文件被加密，工程圖紙無法訪問，損失慘重。

勒索攻擊使用的加密手段越來越復(fù)雜多樣，絕大多數(shù)不能被解密。業(yè)內(nèi)專家普遍認(rèn)為遭受勒索攻擊之后，沒有“特效藥”。受害者往往需要在支付巨額贖金和數(shù)據(jù)恢復(fù)重建中做出選擇。即使一些勒索攻擊采用的加密算法是公開的，但是依靠現(xiàn)有的算力或者是通過暴力破解的方式也難以進(jìn)行解密，因?yàn)楸┝饷芡枰习倌甑臅r間。

(二)勒索攻擊SaaS化

隨著云計(jì)算、人工智能等新技術(shù)的快速普及和應(yīng)用，勒索軟件即服務(wù)成為當(dāng)前網(wǎng)絡(luò)攻擊的新模式。勒索軟件黑色產(chǎn)業(yè)層級分明，全鏈條協(xié)作，開發(fā)者只管更新病毒，拓展傳播渠道大肆釋放勒索病毒，各級分銷參與者點(diǎn)擊鼠標(biāo)就能從中瓜分利潤。這種黑色產(chǎn)業(yè)分銷模式大大降低了勒索攻擊的傳播門檻，使網(wǎng)絡(luò)安全風(fēng)險(xiǎn)快速擴(kuò)散。例如，依靠這種黑產(chǎn)模式，某勒索攻擊軟件僅用一年多時間就斂財(cái)20億美元。

勒索攻擊從制作、傳播、攻擊到收益呈現(xiàn)系統(tǒng)化、便捷化趨勢，開發(fā)者可以提供一整套解決方案，甚至包括利用加密貨幣進(jìn)行贖金支付等服務(wù)。這些解決方案具有“開箱即用”的便捷性，犯罪分子獲得勒索病毒后，可以通過多種渠道進(jìn)行傳播并獲利，攻擊模式更為便捷。此外，攻擊者往往并不需要任何編程技術(shù)就可以開展違法犯罪活動，理論上任何人只要支付少量費(fèi)用就可以通過這類服務(wù)開展勒索攻擊，導(dǎo)致網(wǎng)絡(luò)攻擊的門檻大幅降低。

(三)加密貨幣普及助推贖金額度快速增長

勒索病毒的制造者對贖金的要求越來越高。2017年在全球140多個國家和地區(qū)迅速蔓延的WannaCry勒索病毒贖金僅為300美元，4年后勒索病毒要求企業(yè)支付的贖金則大多在上百萬美元，Sodinokibi勒索病毒在2019年前后出現(xiàn)在中國時，索要金額僅7000元人民幣，到了2020年，該團(tuán)伙的勒索金額已動輒千萬美元以上。例如2020年3月，計(jì)算機(jī)巨頭宏碁公司被要求支付5000萬美元贖金；2020年11月，富士康墨西哥工廠被要求支付超過3400萬美元贖金。

高額贖金不僅讓犯罪分子賺得盆滿缽滿，同時可以借此招攬更多人鋌而走險(xiǎn)加入勒索攻擊行列。加密貨幣近年來成為社會關(guān)注的焦點(diǎn)，尤其是加密貨幣的匿名化導(dǎo)致監(jiān)管部門很難對其進(jìn)行管理。犯罪分子利用加密貨幣這一特點(diǎn)，有效隱匿其犯罪行徑，導(dǎo)致網(wǎng)絡(luò)攻擊門檻降低、變現(xiàn)迅速、追蹤困難，一定程度上成為網(wǎng)絡(luò)犯罪快速增長的“助推劑”。

(四)大型企業(yè)和基礎(chǔ)設(shè)施成為攻擊重點(diǎn)

傳統(tǒng)勒索病毒攻擊者使用廣撒網(wǎng)、誤打誤撞的手法，這種無差別攻擊很難預(yù)測受害者是誰，哪些受害者有價值。同時，普通用戶的數(shù)據(jù)價值相對不高，且繳納贖金的意愿并不強(qiáng)烈。近年來，勒索攻擊對象涉及面越來越廣，目前主要針對掌握大量數(shù)據(jù)的大型企業(yè)，且定向精準(zhǔn)攻擊趨勢愈發(fā)明顯，勒索攻擊日趨APT化。所謂APT化，即攻擊不計(jì)成本、不擇手段，從低權(quán)限帳號入手，持續(xù)滲透攻擊，直到控制企業(yè)核心服務(wù)器，再釋放勒索病毒，使巨型企業(yè)徹底癱瘓。此外，勒索攻擊APT化還意味著攻擊者入侵后會首先竊取該企業(yè)的核心數(shù)據(jù)，即使企業(yè)使用備份恢復(fù)系統(tǒng)，核心機(jī)密泄露也會導(dǎo)致極其嚴(yán)重的損失。波音公司、臺積電、富士康、全球最大的助聽器制造商Demant、法國最大商業(yè)電視臺M6 Group都曾成為被攻擊對象。BlackFog研究發(fā)現(xiàn)，2020年勒索攻擊主要針對政府部門、制造業(yè)、教育和醫(yī)療保健等行業(yè)。

同時，攻擊者開始針對特定企業(yè)有針對性地制定攻擊策略，哪些企業(yè)掌握大量有價值的數(shù)據(jù)，哪些企業(yè)就越容易遭到攻擊。針對目標(biāo)企業(yè)，攻擊者手法更加多樣化、對高價值目標(biāo)的攻擊進(jìn)行“量身定做”，形成一整套攻擊“組合拳”。對于大型企業(yè)來講，網(wǎng)絡(luò)節(jié)點(diǎn)和上下游關(guān)聯(lián)企業(yè)與供應(yīng)商都成為潛在的攻擊漏洞，產(chǎn)業(yè)鏈中安全薄弱環(huán)節(jié)均成為攻擊者實(shí)現(xiàn)突破的關(guān)鍵點(diǎn)。許多企業(yè)為了避免業(yè)務(wù)被中斷，往往選擇支付巨額贖金。

(五)“雙重勒索”模式引發(fā)數(shù)據(jù)泄露風(fēng)險(xiǎn)

時至今日，勒索攻擊已經(jīng)從單純的支付贖金即可恢復(fù)被加密的數(shù)據(jù)，逐漸演變成先竊取商業(yè)信息和內(nèi)部機(jī)密，而后威脅企業(yè)不繳納贖金將公開數(shù)據(jù)，這種新模式也被稱為“雙重勒索”。這樣一來，不僅使得勒索攻擊殺傷性增強(qiáng)，被勒索企業(yè)繳納贖金的可能性變大，誘使勒索攻擊者發(fā)動更多攻擊，而且極易引發(fā)大規(guī)模的行業(yè)內(nèi)部數(shù)據(jù)泄露事件，使得受害企業(yè)同時承受數(shù)據(jù)公開、聲譽(yù)受損、行政處罰等多重壓力。

據(jù)不完全統(tǒng)計(jì)，自2019年11月首次公開報(bào)道勒索病毒竊取數(shù)據(jù)的事件以來，不到一年時間里，有超過20個流行勒索病毒團(tuán)伙加入到數(shù)據(jù)竊取的行列中。以Maze（迷宮）勒索攻擊為例，它不僅最先開始系統(tǒng)性地竊取數(shù)據(jù)，還以泄露數(shù)據(jù)相逼要挾用戶繳納贖金。越來越多的勒索事件表明，“雙重勒索”模式已成為現(xiàn)今網(wǎng)絡(luò)攻擊者實(shí)施攻擊的重要手段。

(六)供應(yīng)鏈成為勒索攻擊的重要切入點(diǎn)

供應(yīng)鏈攻擊作為一種新型攻擊手段，憑借自身難發(fā)現(xiàn)、易傳播、低成本、高效率等特點(diǎn)成功躋身最具影響力的高級威脅之列。供應(yīng)鏈攻擊一般利用產(chǎn)品軟件官網(wǎng)或軟件包存儲庫等進(jìn)行傳播，網(wǎng)絡(luò)攻擊一旦成功攻陷上游開發(fā)環(huán)節(jié)的服務(wù)器，便會引發(fā)連鎖效應(yīng)，波及處于供應(yīng)鏈中下游的大量企業(yè)、政府機(jī)構(gòu)、組織等。由于被攻擊的應(yīng)用軟件仍然來自受信任的分發(fā)渠道，惡意程序?qū)㈦S著軟件的下載安裝流程悄無聲息地入侵目標(biāo)電腦，逃避傳統(tǒng)安全產(chǎn)品檢查的同時又可沿供應(yīng)鏈發(fā)動向后滲透攻擊，大大增加安全檢測的難度。

近年來供應(yīng)鏈攻擊備受關(guān)注。2017年6月一家不知名的烏克蘭軟件公司遭受勒索攻擊，勒索病毒通過軟件公司服務(wù)器傳播到數(shù)家全世界最大的企業(yè)之中，令其運(yùn)營陷入癱瘓，造成全球范圍內(nèi)約100億美元的損失。2021年7月，美國軟件開發(fā)商Kaseya遭勒索攻擊，網(wǎng)絡(luò)攻擊團(tuán)伙索要高達(dá)7000萬美元的贖金，有評論稱此次事件可能成為2021年影響最大的供應(yīng)鏈攻擊事件。

(七)引發(fā)網(wǎng)絡(luò)保險(xiǎn)行業(yè)的惡性循環(huán)

美國戰(zhàn)略與國際研究中心與殺毒軟件供應(yīng)商邁克菲聯(lián)合發(fā)布的一份報(bào)告指出，估計(jì)每年全球網(wǎng)絡(luò)攻擊所帶來的損失將達(dá)9450億美元，再加上約1450億美元的網(wǎng)絡(luò)防護(hù)支出費(fèi)用，總經(jīng)濟(jì)成本將超過1萬億美元。高額的網(wǎng)絡(luò)攻擊成本催生了對網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)的龐大需求市場，根據(jù)預(yù)測，到2025年網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)費(fèi)用將從2016年的32.5億美元上升到200億美元。倫敦再保險(xiǎn)經(jīng)紀(jì)商Willis Re透露，今年7月保單更新季，網(wǎng)絡(luò)安全相關(guān)保險(xiǎn)費(fèi)率將迎來40%的大幅增長。

然而網(wǎng)絡(luò)保險(xiǎn)行業(yè)欣欣向榮的表象下，卻潛藏著巨大的惡性循環(huán)危機(jī)。由于最近幾個月來全球幾大公司接連遭到災(zāi)難性的勒索攻擊，越來越多的企業(yè)向網(wǎng)絡(luò)保險(xiǎn)和再保險(xiǎn)公司尋求幫助，網(wǎng)絡(luò)攻擊者特意挑選投保了網(wǎng)絡(luò)保險(xiǎn)的公司作為攻擊目標(biāo)，更加有針對性地實(shí)施勒索攻擊，使得網(wǎng)絡(luò)犯罪的成功率大幅提升，整體網(wǎng)絡(luò)環(huán)境面臨加速惡化的窘境。為遏制這一情況的繼續(xù)惡化，已有多家公司開始縮減網(wǎng)絡(luò)保險(xiǎn)覆蓋范圍，法國正在考慮強(qiáng)制所有網(wǎng)絡(luò)保險(xiǎn)商停止報(bào)銷贖金支出，以切斷網(wǎng)絡(luò)犯罪這一有利可圖的途徑。

提高預(yù)防意識并

構(gòu)建前置安全是關(guān)鍵

由于勒索攻擊高強(qiáng)度加密算法的難破解性和數(shù)字貨幣交易方式的隱蔽性，并不建議將防治重點(diǎn)放在遭受攻擊后的解密環(huán)節(jié)，而應(yīng)該著重做好預(yù)防工作，不給勒索病毒以可乘之機(jī)。

從個人用戶來講，增強(qiáng)員工安全意識與加強(qiáng)數(shù)據(jù)備份同等重要：一方面要增強(qiáng)安全意識。對于可疑的郵件尤其是附帶的網(wǎng)址不建議隨意點(diǎn)開，同時系統(tǒng)提示的安裝補(bǔ)丁或者軟件病毒庫要保持及時更新。另一方面，對于使用了非對稱加密算法加密的文件，目前尚未找到有效的破解方法，一旦計(jì)算機(jī)遭到此類新型勒索病毒的攻擊只能束手待斃，因而必須在平日里就做好重要數(shù)據(jù)的備份工作，且最好使用本地磁盤和云服務(wù)器雙備份的策略。

從企業(yè)用戶來講，解決勒索攻擊的核心是構(gòu)建“安全能力前置”，提升自身的“免疫力”：

1.“安全能力前置”成為企業(yè)必選項(xiàng)。企業(yè)數(shù)字化程度越高，潛在的安全風(fēng)險(xiǎn)也就越大，甚至?xí)兄旅L(fēng)險(xiǎn)。被動防御性的安全思路難以應(yīng)對多樣化、動態(tài)化的網(wǎng)絡(luò)攻擊。因此，一方面要利用AI、大數(shù)據(jù)、云計(jì)算等新技術(shù)實(shí)現(xiàn)安全能力在業(yè)務(wù)環(huán)節(jié)的前置，提前預(yù)判潛在安全風(fēng)險(xiǎn)，另一方面要對安全專家或人才能力量化，使過往積累的安全經(jīng)驗(yàn)與能力標(biāo)準(zhǔn)化、流程化，以實(shí)現(xiàn)安全能力的量化部署。

2.構(gòu)建云上安全提升安全防御能力。產(chǎn)業(yè)互聯(lián)網(wǎng)時代安全威脅逐步擴(kuò)大，企業(yè)在應(yīng)對勒索攻擊時，數(shù)據(jù)備份和恢復(fù)的重要性進(jìn)一步凸顯。云原生安全所具備的開箱即用、自適應(yīng)等顯著優(yōu)勢將成為保障云平臺和云上業(yè)務(wù)安全的重要基礎(chǔ)。一方面云原生安全將構(gòu)建安全服務(wù)全生命周期防護(hù)，伴隨云上業(yè)務(wù)發(fā)展全過程。另一方面云上安全產(chǎn)品將向模塊化、敏捷化和彈性化演進(jìn)，為用戶提供差異化服務(wù)，成為兼顧成本、效率和安全的“最優(yōu)解”。

3.零信任有望成為勒索攻擊有效解決途徑。零信任假定所有身份、設(shè)備和行為都是不安全的，即使曾經(jīng)有過被“信任”的經(jīng)歷也要一視同仁，在接入時需要進(jìn)行全程安全驗(yàn)證和檢查。攻擊者使用竊取到的賬號信息登錄VPN或其他內(nèi)部業(yè)務(wù)平臺時，由于零信任采用多因子用戶驗(yàn)證（即只有賬號密碼還不夠，需要配合短信驗(yàn)證碼、token、人臉識別等），即使攻陷了企業(yè)的一臺服務(wù)器，也無法致使勒索攻擊擴(kuò)散到其他服務(wù)器。零信任體系還能有效阻止黑客入侵后在內(nèi)網(wǎng)擴(kuò)散。攻擊者可能控制某些脆弱的單點(diǎn)，當(dāng)其通過已攻擊的終端向網(wǎng)絡(luò)內(nèi)部更重要系統(tǒng)滲透時，零信任的安全機(jī)制可以及時檢測到風(fēng)險(xiǎn)，從而幫助企業(yè)將風(fēng)險(xiǎn)控制在最小限度，不至于發(fā)生全網(wǎng)崩潰的嚴(yán)重后果。

4.打好保障供應(yīng)鏈安全的“組合拳”。一方面，須加強(qiáng)代碼審計(jì)與安全檢查。機(jī)構(gòu)組織可向供應(yīng)商索要清單，列明其使用的所有代碼組件，以識別與開源組件漏洞有關(guān)的潛在風(fēng)險(xiǎn)。此外還可以考慮在實(shí)施代碼前，增加額外的自動化或手工檢查，并利用第三方工具對軟件及相關(guān)產(chǎn)品源代碼進(jìn)行詳細(xì)的安全分析。另一方面，加快推動建立零信任架構(gòu)等安全防護(hù)機(jī)制。供應(yīng)鏈攻擊暴露出網(wǎng)絡(luò)安全架構(gòu)最大的缺陷就是過于信任。而零信任架構(gòu)意味著每個試圖訪問網(wǎng)絡(luò)資源的人都要進(jìn)行驗(yàn)證，其訪問控制不僅能應(yīng)用于用戶，也適用于服務(wù)器設(shè)備與各類應(yīng)用，以防止第三方供應(yīng)商獲得不必要的特權(quán)，從而降低惡意軟件的滲透風(fēng)險(xiǎn)。

近期全球典型勒索攻擊匯總表

數(shù)據(jù)來源：公開信息整理

參考文獻(xiàn)：

[1]張曉玉,陳河.從SolarWinds事件看軟件供應(yīng)鏈攻擊的特點(diǎn)及影響[J].網(wǎng)信軍民融合,2021(04):37-40.

[2].瑞星2020年中國網(wǎng)絡(luò)安全報(bào)告[J].信息安全研究,2021,7(02):102-109.

[3]李江寧,覃汐赫.工業(yè)領(lǐng)域的勒索攻擊態(tài)勢與應(yīng)對思路[J].自動化博覽,2021,38(01):86-90.

[4]張寶移.計(jì)算機(jī)勒索病毒及防治策略分析[J].技術(shù)與市場,2020,27(10):109-110.

[5]高紅靜.近年勒索軟件威脅分析及防范策略綜述[J].保密科學(xué)技術(shù),2018(12):21-28.

[6]李易尚.勒索軟件:過去、現(xiàn)在和未來[J].北京警察學(xué)院學(xué)報(bào),2017(06):99-104.

[7]李建平.供應(yīng)鏈安全:防不勝防的軟肋[J].保密工作,2021,(04):58-59.

[8]嵇紹國.2020年勒索軟件攻擊情況及趨勢預(yù)測[J].保密科學(xué)技術(shù),2020(12):33-43.

[9]2021上半年勒索病毒趨勢報(bào)告及防護(hù)方案建議,南方都市報(bào),2021-5-10

[10]門嘉平.勒索病毒防治策略淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020(06):23-24.

[11]吳崇斌,成星愷.勒索軟件發(fā)展現(xiàn)狀及應(yīng)對[J].通訊世界,2019,26(08):111-112.

[12].盤點(diǎn)2019年勒索病毒災(zāi)難事件[J].電腦知識與技術(shù)(經(jīng)驗(yàn)技巧),2019(12):88-90.