當(dāng)?shù)貢r(shí)間5月9日，美國政府宣布美國17個(gè)州和華盛頓特區(qū)采取緊急措施，原因是當(dāng)?shù)刈畲笕加凸艿肋\(yùn)營商Colonial Pipeline遭網(wǎng)絡(luò)攻擊下線。美聯(lián)社報(bào)道，這是美國關(guān)鍵基礎(chǔ)設(shè)施迄今遭遇的最嚴(yán)重網(wǎng)絡(luò)攻擊。

     該公司在一份聲明中表示：“作為應(yīng)對(duì)，我們主動(dòng)切斷某些系統(tǒng)的網(wǎng)絡(luò)連接以遏制威脅，這使得所有的管道運(yùn)輸臨時(shí)暫停，也影響了我們的一些IT系統(tǒng)。”

圖自Colonial PipeLine

　　白宮發(fā)言人稱，拜登總統(tǒng)在上周六早上被通報(bào)此事，聯(lián)邦政府正在積極評(píng)估影響，避免供應(yīng)中斷，幫助科洛尼爾公司恢復(fù)運(yùn)營。美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局表示，這次事件凸顯了勒索病毒對(duì)組織的威脅。

　　奇安信集團(tuán)董事長(zhǎng)齊向東表示，美國多州因網(wǎng)絡(luò)攻擊宣布進(jìn)入緊急狀態(tài)，再次說明網(wǎng)絡(luò)安全不是加強(qiáng)某個(gè)環(huán)節(jié)就能解決的，需要提升整體的防護(hù)水平，建立完整的網(wǎng)絡(luò)安全體系。

　　猖狂的DarkSide組織，嚴(yán)峻的勒索攻擊形勢(shì)

　　根據(jù)多方外媒報(bào)道，據(jù)知情人士透露，該攻擊由DarkSide勒索團(tuán)伙發(fā)起，該組織在周四僅兩個(gè)小時(shí)的時(shí)間內(nèi)就從位于佐治亞州阿爾法利塔的Colonial公司網(wǎng)絡(luò)中竊取了近100 GB的數(shù)據(jù)。

　　如此猖狂的DarkSide團(tuán)伙到底是何許人?據(jù)奇安信對(duì)DarkSide團(tuán)伙的長(zhǎng)期跟蹤發(fā)現(xiàn)，該團(tuán)伙是一個(gè)母語為俄語的網(wǎng)絡(luò)犯罪團(tuán)伙，會(huì)使用掃描工具來尋找目標(biāo)網(wǎng)絡(luò)中的漏洞(通常是已知漏洞)，從而獲取初始訪問權(quán)限。

　　當(dāng)獲取到文件服務(wù)器的權(quán)限后，該組織會(huì)將目標(biāo)的數(shù)據(jù)進(jìn)行手動(dòng)上傳，隨后加密目標(biāo)公司的文件，并將部分信息上傳至其暗網(wǎng)博客，并聲稱若不交付贖金，就公布目標(biāo)公司的敏感數(shù)據(jù)。

圖自BBC

　　另外，該組織使用的勒索軟件除了會(huì)進(jìn)行常規(guī)的加密文件的操作外，還會(huì)連接并發(fā)送受害者信息到攻擊者的命令控制服務(wù)器(C2)，這可能是攻擊者記錄受害者具體信息的一種方法，方便在日后作為入侵證據(jù)。

　　值得關(guān)注的是，DarkSide組織在2021年1月份一筆勒索病毒的交易中便獲45個(gè)比特幣，約合人民幣1700多萬元。對(duì)此，奇安信反病毒專家判斷，面對(duì)如此巨額的收益，未來針對(duì)組織的定向勒索攻擊會(huì)愈加猖狂，針對(duì)的目標(biāo)公司體量也會(huì)愈來愈大。

　　又是勒索攻擊 是時(shí)候給基礎(chǔ)架構(gòu)安全補(bǔ)課了

　　時(shí)至今日，大家對(duì)于勒索攻擊早已不感到陌生。根據(jù)Group-IB研究人員的報(bào)告，僅在過去一年，全球勒索攻擊次數(shù)就增長(zhǎng)150%以上，能源行業(yè)因此也遭受了較大打擊。比如美國某天然氣運(yùn)營商遭到勒索攻擊，被迫關(guān)閉2天，并被國土安全部通報(bào);歐洲能源巨頭Enel Group年內(nèi)兩次遭遇不同勒索攻擊，多達(dá)5TB數(shù)據(jù)被竊取，威脅索要1400萬美元贖金;臺(tái)灣最大兩家煉油廠遭到勒索攻擊，波及整個(gè)供應(yīng)鏈，甚至加油站的IT系統(tǒng)也無法使用。

　　美國安全機(jī)構(gòu)預(yù)測(cè)，2021年預(yù)計(jì)每11秒將發(fā)生一次勒索攻擊，全年超過300萬次。今年3月，電腦巨頭宏碁遭到勒索攻擊，黑客開出了迄今為止最高數(shù)額的贖金，約合人民幣3.25億元。勒索病毒已經(jīng)成為全球范圍各大企業(yè)揮之不去的夢(mèng)魘。

　　有趣的是，研究表明，軟件漏洞，尤其是高齡漏洞和Windows遠(yuǎn)程訪問工具漏洞，是勒索病毒滲透企業(yè)防御體系的重要突破口。從宏碁遭到的REvil勒索攻擊，到震驚業(yè)界的永恒之藍(lán)(WannaCry)病毒事件，都是因?yàn)榕f漏洞未及時(shí)修補(bǔ)，讓勒索病毒輕松攻破和肆意傳播。

　　“抵御勒索病毒是檢驗(yàn)企業(yè)安全運(yùn)行健康度的重要標(biāo)尺。拿本次勒索攻擊來說，天擎3月8號(hào)以后的病毒庫可以查DarkSide相關(guān)樣本，4月27號(hào)以后的天擎庫可以全部檢測(cè)。”奇安信系統(tǒng)安全專家表示。“勒索病毒不像高級(jí)APT那樣長(zhǎng)期隱蔽且難于防御，只要基礎(chǔ)安全架構(gòu)、即系統(tǒng)安全工作保障到位，實(shí)戰(zhàn)化安全運(yùn)行開展起來，勒索病毒就很難有可乘之機(jī)。”

　　做好系統(tǒng)安全 讓勒索病毒“無機(jī)可乘”

　　奇安信威脅情報(bào)中心提供了本次勒索攻擊的解決方案，建議用戶需要及時(shí)做好漏洞修復(fù)、采用高強(qiáng)度密碼、定期備份重要資料、關(guān)閉不必要的網(wǎng)絡(luò)端口和不必要的文件共享、訪問權(quán)限控制、安裝專業(yè)殺毒軟件并及時(shí)更新等基礎(chǔ)工作，就能防范絕大多數(shù)的勒索攻擊。

　　就本次攻擊事件而言，早在3月8日，奇安信就已經(jīng)捕獲了DarkSide團(tuán)伙勒索病毒樣本，同時(shí)更新了天擎終端安全管理系統(tǒng)的病毒庫，天擎用戶只需更新病毒庫至最新版本，即可查殺該組織所有已知勒索病毒。

　　不難發(fā)現(xiàn)，這些措施基本都屬于基礎(chǔ)安全架構(gòu)層面的系統(tǒng)安全問題。換句話說，只要做好系統(tǒng)安全，勒索病毒就會(huì)無機(jī)可乘。然而，為什么勒索病毒近年來仍然泛濫成災(zāi)、愈演愈烈呢?奇安信安全專家認(rèn)為，在過去的幾年時(shí)間里，安全人員將注意力過多的集中在檢測(cè)和防御上，往往忽略了最基礎(chǔ)的安全工作。近年來全球很多攻擊案例證明，如果系統(tǒng)安全沒打好基礎(chǔ)，那么后面的縱深防御、積極防御都是不牢靠的。

　　奇安信認(rèn)為，資產(chǎn)、配置、漏洞、補(bǔ)丁是安全工作的基礎(chǔ)，但卻是各大機(jī)構(gòu)的安全體系的最短板。本工程建設(shè)以數(shù)據(jù)驅(qū)動(dòng)的系統(tǒng)安全運(yùn)行體系，聚合IT資產(chǎn)、配置、漏洞、補(bǔ)丁等數(shù)據(jù)，提高漏洞修復(fù)的確定性，實(shí)現(xiàn)及時(shí)、準(zhǔn)確、可持續(xù)的系統(tǒng)安全保護(hù)，夯實(shí)業(yè)務(wù)系統(tǒng)安全基礎(chǔ)，保障IT及業(yè)務(wù)有序運(yùn)行。

　　抵御勒索攻擊不能一勞永逸 系統(tǒng)安全亟需常態(tài)化

　　“面對(duì)愈加強(qiáng)大的定向勒索攻擊者，我們對(duì)網(wǎng)絡(luò)安全防御需要提升整體的防護(hù)水平，要以面對(duì)APT組織攻擊的策略進(jìn)行防御體系建設(shè)，才能夠抵御目前網(wǎng)絡(luò)攻擊技術(shù)水平愈加高強(qiáng)的定向針對(duì)性勒索攻擊。” 奇安信基于本次勒索事件如此研判。

　　此次事件中，CISA的官員建議：“我們鼓勵(lì)每一個(gè)機(jī)構(gòu)都采取行動(dòng)去加強(qiáng)‘網(wǎng)絡(luò)安全的防御姿態(tài)(Cybersecurity Posture)’，以減小對(duì)各類威脅的暴露面。” 這里面提到的“防御姿態(tài) – Posture” 是非常值得關(guān)注的，這也是“安全左移”的關(guān)鍵點(diǎn)。就像空戰(zhàn)中，戰(zhàn)機(jī)需要保持優(yōu)勢(shì)的戰(zhàn)斗姿態(tài)，占據(jù)有利位置，是贏得戰(zhàn)斗的基礎(chǔ)。這個(gè)我們通常說的安全態(tài)勢(shì)(Security Situation Awareness)還是有差異的。而在網(wǎng)絡(luò)安全領(lǐng)域，基礎(chǔ)結(jié)構(gòu)安全的Posture，主要就是解決“資產(chǎn)-漏洞-配置-補(bǔ)丁”問題的系統(tǒng)安全;縱深防御的Posture，是防護(hù)策略有效性，以構(gòu)成堅(jiān)實(shí)的防御“陣地”;積極防御的Posture，是威脅發(fā)現(xiàn)能力和處置及時(shí)性有效。這次事件中，系統(tǒng)安全就是面對(duì)勒索攻擊，收縮暴露面的重要舉措。只有整體的網(wǎng)絡(luò)安全防御體系中，各個(gè)構(gòu)成系統(tǒng)與環(huán)節(jié)的“防御姿態(tài) – Posture”都能通過體系化建設(shè)與實(shí)戰(zhàn)化運(yùn)行得以保障，整體的防御效果，才能實(shí)現(xiàn)。

　　系統(tǒng)安全是做好基礎(chǔ)結(jié)構(gòu)安全的基石，實(shí)戰(zhàn)化運(yùn)行實(shí)現(xiàn)體系化、常態(tài)化運(yùn)營的核心方法。要建好基石，首先要盤清資產(chǎn)，在此基礎(chǔ)上，實(shí)現(xiàn)對(duì)資產(chǎn)的全面納管;其次，通過資產(chǎn)納管，進(jìn)而真正實(shí)現(xiàn)對(duì)資產(chǎn)安全的全程掌控，包括了從發(fā)現(xiàn)資產(chǎn)，到使用資產(chǎn)，以及資產(chǎn)變更等各種場(chǎng)景，以及在這些狀態(tài)下的風(fēng)險(xiǎn)全面掌控。第三，掌控風(fēng)險(xiǎn)是為了驅(qū)動(dòng)處置工作，包括系統(tǒng)加固、漏洞修復(fù)，以及其他各種手段，提升整個(gè)信息化系統(tǒng)的基礎(chǔ)架構(gòu)安全性，形成真正的內(nèi)生安全。最后，通過盤點(diǎn)資產(chǎn)、納管資產(chǎn)、掌控風(fēng)險(xiǎn)、數(shù)據(jù)驅(qū)動(dòng)、安全運(yùn)行等層層遞進(jìn)的工作，幫助客戶在數(shù)字化運(yùn)營時(shí)，建立時(shí)刻保持最佳安全狀況的信息化底座。

　　“掌握自身的網(wǎng)絡(luò)安全姿態(tài)是支撐實(shí)戰(zhàn)化安全運(yùn)行的基本能力。首先，安全要發(fā)揮價(jià)值在于實(shí)戰(zhàn)化運(yùn)行，也就是要真正用起來。而安全運(yùn)行起來后，所有的安全事件和問題的處置最終都會(huì)歸結(jié)到資產(chǎn)、配置、漏洞、補(bǔ)丁上來。同時(shí)，抽象的漏洞威脅情報(bào)與應(yīng)對(duì)措施，需要和具體資產(chǎn)實(shí)現(xiàn)掛鉤，進(jìn)而全生命周期(資產(chǎn)生命周期和漏洞生命周期)跟蹤，驅(qū)動(dòng)支撐安全運(yùn)營融入到IT大運(yùn)維中，為信息化保駕護(hù)航。”奇安信安全專家談到。

　　面對(duì)巨大的利益誘惑，居高不下的成功率，勒索攻擊永遠(yuǎn)不可能休止，安全防護(hù)不能一勞永逸。只有重視以網(wǎng)絡(luò)資產(chǎn)為核心的系統(tǒng)安全建設(shè)，筑牢實(shí)戰(zhàn)化安全運(yùn)行的基石，才能避免重蹈勒索病毒造成重大損失的覆轍。

特別提醒：本網(wǎng)信息來自于互聯(lián)網(wǎng)，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。