释放业务增长路径解锁勒索阴霾——构建企业数字安全免疫堡垒的策略与实践

目录Menu •勒索软件发展概述•勒索软件态势展望•勒索软件防护体系建设•中国信通院勒索攻击防护系列工作详解PART 1PART 2PART 3PART 4 导师介绍 卫斌 主要从事云安全、保险云、网络安全保险相关研究工作。 PART 01 勒索软件发展概述 我国网络安全市场稳定增长，勒索软件攻击已成为网络安全的最大威胁之一我国网络安全市场稳定增长勒索软件攻击已成为网络安全的最大威胁之一 勒索软件 我国网络安全市场市场稳定增长，市场支出持续增加，据IDC统计，2 0 2 3年 中 国 网 络 安 全 市 场 支 出 总 额 超 过1 5 0亿 美 元 ， 据 预 测 ， 到2026年，中国网络安全市场支出将接近300亿美元。 •网络攻击者通过对目标数据进行强行加密，导致企业核心业务停摆，以此要挟受定义 害者支付赎金进行解密的行为。 •被加密信息难以恢复危害 •攻击目标的关键信息系统无法正常运转，攻击来源难以追踪•敏感信息的窃取和泄露导致极大的法律合规和业务经营风险•对世界的威胁加剧，已成为全球广泛关注的网络安全难题 事件频发 •2024年4月4日，帕内拉面包公司遭受勒索软件攻击，导致其IT设备中断一周。•2024年4月4日至11日，豪雅公司的光学产品生产受到勒索软件攻击影响。•2024年1月，能源巨头施耐德电气遭到Cactus勒索软件攻击，导致公司数据被盗。•2024年1月，芬兰云服务商叠拓遭受勒索软件攻击，导致瑞典企业和城市停电。•2024年1月，新西兰易恩孚太阳能光伏公司成为HUNTERS INTERNATIONAL组织勒索软件攻击的受害者，该组织声称已获得该公司1.8TB数据的访问权限。 多个原因促使勒索软件攻击在各地频法 •随着云计算、大数据、人工智能等新技术的快速普及和应用，如今勒索攻击呈现出持续高发态势，网络攻击也变得更加组织化和系统化。 •攻击范围向行业、基础设施领域拓展，包括金融、交通、医疗等多个领域都成为新的攻击对象。一旦基础设施遭受攻击，将导致整个产业链的停摆或瘫痪，甚至影响社会稳定。企业内部基础设施建设不完善，缺少有效的安全防护措施 •漏洞数量：2023年报告的漏洞数量为18635个，同比降低22.03%。•威胁情况：低危漏洞占5.85%，中危漏洞占46.93%，高危漏洞占47.22%。相对于低危漏洞，中危和高危漏洞的数量更多，态势呈现出总体数量降低，但影响范围扩大、利用难度降低的趋势。 高额赎金已经成为网络攻击者极高的犯罪动力 •2023年，全球范围内勒索软件攻击数量显著增长，损失大幅上升，超过300亿美元。•2023年勒索软件再创辉煌，分析人员跟踪发现了4368个受害者，激增55.5%。 远程办公增加安全风险 •远程办公逐渐普及。远程办公带来的安全漏洞，通过技术迭代，不断进化数据泄露、加密数据等攻击手法和方式，开辟新的攻击面 勒索软件攻击影响呈扩大趋势，带来巨大威胁 勒索软件攻击几乎总是以金钱为动机，已经成为重要的网络安全问题，对个人、企业乃至国家层面安全都面临着巨大的安全威胁。 破坏生产：造成企业生产的混乱，轻则减产，重则停工停产，销售停顿，会造成巨大的经济损失 文件、图片、视频等个人事务、隐私若被泄露可能会引起纠纷、焦虑以及恐慌。 经营困难：造成经营决策的混乱，无法进行经营决策，打乱企业发展步伐，造成长期的经济损失 企业影响 数据信息丢失：企业机密数据，一旦加密造成业务无法运行、数据泄露公布，将对企业造成巨大伤害 持续攻击：勒索软件清楚不彻底，可能在信息系统中留有隐蔽通道，勒索组织会持续对企业进行攻击和袭扰， 勒索软件攻击已在某些层面上直接或间接得影响了国家安全国家 商誉损失：造成客户对企业的信任危机，面临的法律风险会升高，面临巨大的无形资产损失风险。 。•哥斯达黎加勒索软件攻击事件•英启动安全战略应对勒索软件调查 •勒索软件运行•对文件识别和加密•禁用系统恢复功能•删除或加密备份数据•攻击者将保留私钥 •发出感染警告•释放勒索信，说明如何支付赎金（加密货币）•攻击者在此阶段会对有价值的数据进行加密和威胁（多重勒索） PART 02 勒索软件态势展望 （一）影响广泛：影响社会正常运转且难解密 勒索攻击使用的加密手段越来越复杂多样 勒索软件攻击对社会正常运转带来较大挑战 •绝 大 多 数 攻 击 为非 对 称 加 密， 很 难 被 反 向 破 解 。•一 些 加 密 算 法 为公 开 的， 但 是 依 靠 现 有 的 算 力 或 者 是 通 过 暴 力 破 解 的 方 式 也难 以 进 行 解 密 基础设施 民生方面 关键信息基础设施一旦遭到攻击，可能严重危害国家安全、国计民生、公共利益2022年5月，Darkside勒索软件团伙对美国最大的输油管道公司Colonial Pipeline进行攻击，受害公司最终向DarkSide支付了将近500万美元的赎金，而执法部门之后查封了DarkSide的网络基础设施，迫使其关闭运营 大型企业遭到勒索攻击严重影响民众正常生活 Ardent健康服务公司在2023年11月29日发表声明，确认其遭受了勒索软件攻击，导致服务中断。这次网络攻击不仅影响了医院的日常运营，还迫使多个州的急诊室紧急转移救护车，以应对可能出现的医疗危机。 法国海外省马提尼克岛在2023年6月也疑似遭遇勒索软件攻击，导致互联网访问与多项政务民生服务中断大半个月。 （三）勒索攻击SaaS化：RaaS勒索即服务模式兴起 （二）隐蔽变异快：为勒索防护提出巨大挑战 •R a a S (R a n s o m w a re -a s -a -s e rv ic e )模 式 大 大 降 低 了 攻 击 的 技 术 门 槛 。R a a S模 式 的 兴 起 使 得 从 业 者 无 需 任 何 专 业 技 术 知 识 就 可 以 发 起 勒 索 攻 击 活动•勒 索 软 件 黑 色 产 业 层 级 分 明 ， 全 链 条 协 作 。开 发 者 只 需 要 更 新 病 毒 ， 拓 展 传播 渠 道 ， 各 级 分 销 参 与 者 点 击 鼠 标 就 能 从 中 瓜 分 利 润 。 01 隐蔽性强已成为勒索攻击的典型策略 •勒 索 攻 击 善 于 利 用 各 种伪装进 行 入 侵 ， 保 持 高 隐 蔽 性 。•潜伏时间较长也 印 证 了 勒 索 攻 击 的 高 隐 蔽 性•利 用尚未被发现的 网 络 攻 击 策 略 、 技 术 和 程 序 攻击呈系统化发展，实现“开箱即用”的便捷性 02 勒索软件变异较快且易传播 •从制作、传播、攻击到收益呈现系统化、便捷化•可提供一整套解决方案，甚至可包括加密货币 •勒 索 软 件 种 类 繁 多 ， 处 于不断变异当 中•攻 击 者 根 据 防 护 策 略 升 级 ，不断改进勒 索 软 件 变 体 以 逃 避 侦 查.•蠕虫式传播型勒索软件可进行自我复制、自主传播， 传 播 速 度 更 快 ， 波及 范 围 更 广 ， 例 如 ：Wa n n a Cry 实现价值多向变现 •除攻击外，还会借由暗网等技术，出租或售卖成熟的勒索软件产品和服务，•促使形成勒索“产业链”，上下游相互协作配合，共同瓜分勒索收益 03 攻击路径和目标多元化发展 •勒 索 软 件 攻 击 路 径 正 在 由被动式攻击转为主动式攻击，进 行 横 向 渗 透•勒 索 攻 击目标呈现多元化发展电脑端到移动端， 并 愈 演 愈 烈从个人用户到企业设备（ 关 键 业 务 ） （四）跨平台勒索：提升勒索软件利用 （六）加密货币普及：助推赎金快速增长 勒索软件逐渐发展为可在不同的架构和操作系统组合上运行，提升勒索软件利用率，进而获得更多经济利益。 •勒索攻击的制造者对赎金的要求越来越高。 近 年 来 ， 勒 索 赎 金 逐 年 提 高 。 B ig G a m e H u n tin g (B G H )计 划 呈 流 行 趋 势•犯 罪 分 子 渗 透 到 运 行 着各 种 系 统 环 境•造 成 尽 可 能 多 的 损 害 并 使 恢 复 变 得 更加 困 难 •加密货币一定程度上助推了赎金的快速增长。 （五）漏洞武器化：促进勒索软件发展 早期网络攻击很难找到支付意愿高的买家。 漏洞武器化已然成为勒索攻击的又一重要途径。 •攻 击 方 对 漏 洞 的 掌 握 与 防 守 方 对 漏 洞 的 修 补 始 终 是 一 个相 互 追 赶 博 弈的过 程•漏 洞 利 用 包 括0 d a y漏 洞外 ，已 知 漏 洞， 甚 至 是披 露 很 久 的 漏 洞•借 助 漏 洞 进 行 攻 击 ， 供 给 面 和 攻 击 效 率 大 范 围 提 高 。 （L o g 4 j漏 洞 ）漏 洞 未 被 及 时 修 复 。版 本 更 新 、 组 件 调 整 出 现 新 漏 洞已 知 低 危 漏 洞 成 为 关 键 漏 洞 •反之，区块链探索器可以帮助调查人员跟踪区块链内部的资金流动。反 之 ， 技 术 的 帮 助 下 ， 监 管 单 位 可 以 利 用 区 块 链 取 证 技 术 从 区 块 链 中 抓 取交 易 数 据 并 分 析 其 是 否 存 在 非 法 活 动 ， 有 效 的 打 击 勒 索 软 件 活 动 。 （七）APT定向化：大型企业和基础设施是重点 （九）供应链渗透：成为勒索攻击重要切入点 供应链攻击作为一种新型攻击手段，凭借自身难发现、易传播、低成本、高效率等特点已成为最具影响力的高级威胁。 •近年来勒索软件攻击定向精准攻击趋势明显。•勒索对象主要集中于大中型企业和基础设施类组织。针 对 掌 握 大 量 数 据 的 大 型 企 业 定 向 精 准 攻 击 趋 势 愈 发 明 显“量 身 定 做”， 从 低 权 限 帐 号 入 手 ， 持 续 渗 透 攻 击 ， 使 企 业 彻 底 瘫 痪成 功 率 高 ： 此 类 企 业 对 信 息 化 依 赖 程 度 相 对 较 高 ， 而 网 络 安 全 能 力 相 对 不 足赎 金 高 ： 遭 受 攻 击 后 其 受 影 响 程 度 比 较 深 ， 而 支 付 意 愿 和 能 力 较 强 难以控制恶意软件波及的范围，无差别攻击成为供应链勒索攻击的重要特征供应链攻击涉及诸多企业 一旦大型企业遭受到供应链勒索攻击，将造成难以想象的严重后果大型软件供应商成为潜在被攻击对象 （八）多重勒索：引发数据泄露风险 使供应链企业本身，也很难通过软件更新来防御恶意攻击，尤其是对于已经遭受恶意攻击的用户，修复打补丁为时已晚针对供应链的勒索攻击，目前难以找到有针对性的解决方案 •多重勒索模式已成为现今网络攻击者实施攻击的重要手段。 勒 索 攻 击 杀 伤 性 增 强 ， 被 勒 索 企 业 缴 纳 赎 金 的 可 能 性 变 大诱 使 攻 击 者 发 动 更 多 攻 击 ， 而 且 极 易 引 发 大 规 模 的 行 业 内 部 数 据 泄 露 事 件受 害 企 业 同 时 承 受 数 据 公 开 、 声 誉 受 损 、 行 政 处 罚 等 多 重 压 力 未来，供应链攻击将成为勒索软件攻击的重要入口 更多企业打通上下游数据链条，产业链安全防护能力取决于产业链中安全最薄弱环节或企业，安全风险开始向更广范围和更基础领域扩散 此种情况下，以往注重查杀恢复、数据备份的思路已难以奏效。需从源头解决才能化解风险 如何阻止软件供应链攻击，是全球面临的共同挑战 2023年多起勒索事件因供应链攻击遭到重大损失，供应链涉及多个企业，攻击方为提高投资回报率，通过一次攻击获得多笔赎金。 （十）处置专业化：增强勒索攻击防护能力 （十一）全球治理：促进国际共同抵抗威胁 勒索软件威胁已经成为一个全球化的威胁，不是单独某个团体可以解决。“” 伴随着勒索攻击的不断增长，国内的勒索处置逐步专业化