来源:HIT专家网 作者:美创科技创始人、总经理 柳遵梁
本文通过介绍和分析勒索病毒威胁的规律,旨在强调:在设计部署应对勒索病毒攻击的有效防御解决方案时,必须注重严密性、可落地性,遵循“减少接触、及时阻断、底线防御”三条原则。
勒索病毒威胁缘何只增不减
自2016年底席卷全球的互联网数据库勒索风潮开始,到2017年5月12日爆发的WannaCry勒索,勒索病毒正式被大众熟知,成为全球范围内主流的网络安全威胁力量,医疗行业则是受勒索病毒威胁最为严重的行业之一。据美国电信巨头Verizon统计,在2017年全网所有恶意软件攻击中,勒索病毒占比高达39%;令人惊讶的是,其在医疗行业中的占比远高于平均值,飙升到了85%。
2017年之后,勒索病毒威胁更是保持只增不减的趋势,一直维持在高位。在这个过程中,勒索病毒在不断发展和变化:从攻击对象上,其从广谱式无差别勒索攻击,迅速过渡至面对企业和政府的集中式攻击;从攻击金额上,赎金诉求从几百美元上涨至几百万美元……短短三年时间,勒索病毒通过各种传播方式和演进措施,已经在全球形成完全成熟的勒索产业链,影响甚广。
面对勒索病毒的爆发式上涨,我们必须改变过往的认知,将勒索病毒作为独立的网络安全场景进行防范,充分思考其带来的各类危害。
图1是Lumu公司发布的勒索威胁情报情况,主要阐述了勒索事件带来的影响和受害者在被勒索时所采取的措施。
从中可以看出:36%的受害者在遭受勒索病毒入侵后,选择支付赎金,而其中17%的受害者支付了赎金却依然无法恢复数据。勒索病毒给企业带来了巨大的困扰,如北美地区69%、亚太地区55%的企业曾报告其受到了勒索病毒的影响。
医疗行业来是受勒索病毒入侵感受较为直观、频繁的行业,也是受影响最深刻、广泛的行业之一。面对频繁发生的勒索事件以及时刻存在的勒索威胁,医院需要思考和选择:遭受勒索后,是否需要迫于无奈交付巨额赎金?是否能够承担业务戛然而止带来的损失?是否在遭受勒索病毒前提前做好事前防范?
面对全球形势下的勒索威胁,通常医院的决策决定了其在遭受勒索病毒攻击后的生存能力。
图2为美创科技2020年8-9月发布的勒索月报,阐述了勒索病毒在当月入侵的行业占比。
可以直观地看到,医疗行业在众多受影响的行业中,占比相对较大,是勒索病毒威胁的重灾区。除此之外,教育、互联网企业、政府机构、金融、能源等行业也都受到不同程度的影响。
总而言之,各类报告、数据、事实都在印证:勒索病毒威胁广泛存在,是否被勒索只是概率问题。
勒索病毒威胁为何会成为网络安全的主流威胁?
2016年为勒索病毒元年。2017年,WannaCry成为了网络安全史上影响最大的安全事件之一,大众真正开始为其带来的危害与影响感到恐慌,勒索病毒至此成为网络安全主流威胁之一。
事实上,勒索病毒成为网络安全主流的威胁,还有更为隐秘的原因:勒索软件/服务是黑色产业链的颠覆性创新。在勒索病毒出现之前,黑色产业链的盈利模式主要依靠数据买卖、攻击服务等方式,意味着黑客(即卖家)在交易关系中,首先需要找到合适的买家,而受买卖关系渠道(如只能在暗网中交易)、买家低价求助等条件的限制,黑客的收益、兴趣也都会有所折损,例如部分黑客在尝到微小收益的甜头后,选择收手。
但勒索病毒突破了以往黑色产业链的模式,解决了寻找买家变现的问题,即:通过加密文件,让被勒索者被迫成为买家,让被勒索者自己迫于数据破坏和业务终止的威胁,只能无奈支付赎金。由于勒索病毒的门槛较低,勒索入侵事件在短时间内成为了一个人人可参与、易参与的高回报产业。这种低门槛、高收益的高级商业模式,从本质上决定了勒索攻击必然会成为网络安全最主流的威胁。
因此,只要来钱如此快的商业模式不被摧毁或破解,如果没有更好的黑产商业模式可颠覆式地替代勒索攻击的盈利模式,那么黑客的野心会一直存在,也意味着通过勒索病毒进行入侵的事件会不断蔓延生产,每个人、每个单位组织都会有更大的概率,亲眼目睹、感受勒索攻击带来的危害。
当前勒索病毒攻击防御的困境
从入侵的技术手段来看,与传统的网络攻击方式相比,勒索病毒并没有特别出彩的内容。但是从影响的后果来看,其简单粗暴的入侵方式(即加密文件),让受害者无法从以检测和响应为基础的传统网络安全架构中,找到合适的方式加以应对,尤其是大多数受害者目前主要还是以“人工响应”为主,事前检测不到、事中缺少机制拦截管控、事后响应速度慢等问题,让现有的机制纰漏无所遁形。
这是因为,传统的网络攻击往往伴随着复杂的攻击工程,如需要通过端口扫描、网络嗅探、服务器密码爆破、SQL注入尝试等一系列工作,进行步步渗透。这一复杂的探索过程,给以“检测和响应”为主的安全架构留下了相对充足的响应时间,允许有一定程度的响应时间延迟,从而让防御者及时做出响应。但勒索病毒攻击并不需要如此复杂的环境检测,其通常利用既有的漏洞特征,如0DAY漏洞进行全网扫描,做无目标或既定目标的破坏性操作,使响应时间趋于零,让受害者无法及时应对。这种对于响应方式进行改变的攻击,使得勒索防御异常困难。对此,通常有三种应对选择:
(1)不让恶意软件到达目标,即无法接触目标、无法运行;
(2)在勒索病毒启动破坏动作(加密)的时候,立即阻止其行为;
(3)破坏后,通过已有备份进行数据恢复,以辅助业务恢复正常。
但从实用性而言,第1条几乎是不可能完成的任务。让病毒无法进入系统一直以来都是棘手的问题,通过网络、U盘、内部人员等行为,都有可能让恶意软件有机可乘,目前尚无100%完美无暇的方案。这就决定了这条应对措施依然只能依赖概率,但显然,求助于概率使得问题永远无法被完美解决,即这条措施变得不可信赖。
而第3条,在被勒索后,受害者需要面临长期的业务中断和数据丢失问题,想要找回数据,需要确保备份和生产环境分离,如异地备份、离线备份,保证生产库和备份库不被同时勒索。
综合以上,在设计应对勒索病毒攻击的方案时,必须注重严密性、可落地性,因此较为周全的解决方案应当遵循以下三条原则:
1.减少接触:通过减少恶意软件接触目标(如办公PC、服务器、终端等)的机会,来减少被勒索的概率。
2.及时阻断:通过及时阻断勒索病毒入侵行为,避免勒索病毒带来进一步的伤害,让攻击失效。
3.底线防御:通过备份、容灾等备用方案,保证被勒索后依然有数据可以恢复。
应对勒索病毒攻击的有效防御解决方案
当前,常见的勒索病毒解决方案还是以杀毒软件为主,即:将静态文件特征、恶意软件行为特征加入黑名单,通过检测和拦截进行防御。但勒索病毒的变异特征较为明显,会通过更新或修改自身代码等方式,绕过杀毒软件的查杀。因此,面对变种病毒,这些以黑名单为主的产品需要频繁地更新特征库,以适应病毒的变化;而分析病毒、更新病毒库等操作无形中拉长了响应时间,为病毒提供了充足的运行时间窗口,这也使得这种防御模式更为被动。
针对以上困境,美创科技始终将目标聚焦于勒索病毒最本质的特点:即黑客主要以加密数据文件为手段,向受害者索要赎金。无论勒索病毒的特征如何变化,它始终需要对数据文件进行加密操作,这其中就包括读取文件、写入文件、删除文件、复制文件等操作,相对于上文所述的勒索病毒动态变化,这里提到的读写操作,可以被认为是静态不变、固定的特征。从这些特征来看,结合美创科技多年来倡导的零信任理念,可对文件、文件的操作行为进行细粒度的权限控制,目前这一方式已在美创诺亚防勒索产品中得到落地,其中主要的防御功能有:
文件控制。对操作不同文件类型的应用进行识别、控制。勒索病毒在加密时,有一个较为明显的特征,也即同一个勒索病毒应用程序会对多种文件类型进行加密操作。针对这一特征,我们设定特定的文件类型只能由特定应用进行操作。举个例子,数据库文件只能由数据库相关的合法应用进行操作,如果勒索病毒或其他未经授权的应用(无论是否正版,只要是未经授权的)进行操作时,便会进行拦截。
应用授权。设定特定应用对特定文件的操作权限,主要是为了防止勒索病毒假冒正常应用对文件进行加密。当我们对不同应用都设置了不同的文件控制权限时,即使勒索病毒假冒成功,我们也能够通过细粒度的文件操作权限进行控制,如防删除等,将影响缩小至可控范围内。
应用控制。通过部分特征来描述应用,建立应用信任白名单和黑名单,对于黑名单应用进行直接拦截,这一部分吸取传统的勒索病毒解决方案的优点,可快速精确地识别勒索病毒。
诱饵文件。设置特定的诱饵文件并对其进行监控,当出现应用对诱饵文件进行操作时,触发相关安全响应,如隔离病毒、查杀病毒进程、邮件短信告警等。
除以上防御策略外,针对服务器上运行的、较为固定的应用程序的重要数据库服务器,勒索病毒入侵后,病毒的应用程序区别于固定运行的合规程序。因此,可设置相关策略,对所有新增的应用进行隔离,实现对其他应用的“零信任”,从而在勒索病毒到达之前,实现防御效果。
提升数据安全以应对勒索病毒新套路
根据勒索病毒手段攻击的演变,当前已有部分用户拒绝支付赎金,黑客恼怒,进而选择直接进行数据公开的案例,预计未来这也将是勒索病毒发展的方向之一。
同时,勒索病毒攻击也意味着受害者数据环境存在不同程度的漏洞,带来更严重的趋势,如内部人员利用核心数据进行勒索,建议及时进行数据安全建设,以保障核心资产的安全。
作为数据安全行业的领导者,美创科技已有丰富的实战应对经验,可提供全方位的解决方案,帮助用户提升整体数据安全水平,美创科技的医疗数据安全整体解决方案如图3所示。
【责任编辑:陈曦】
评论前必须登录!
注册