一
引言
二
勒索病毒攻击的趋势
-
大多数企业不会公开遭勒索攻击的事实,勒索攻击远比公开数据严重
出于企业声誉、品牌影响的考虑,大多数企业遭受勒索病毒攻击并不会公开信息。同时,会要求应急响应服务人员签署保密协议。历年来威努特接触的中勒索病毒的客户,也都选择不公开遭勒索事件。因此我们推测,国内实际的勒索攻击比公开曝光的情况更严重。
-
综合威努特监测数据,制造业及其服务商遭勒索攻击居行业首位
据威努特 2023年统计数据显示,有32%被勒索客户属于制造行业及其服务商,远远超过第二位的医疗行业10%。制造行业及其服务商、医疗行业,对业务连贯性要求较高,被勒索后交付赎金意愿较高,不法分子有利可图,致使这几个行业成为重灾区。
值得注意的是,制造业服务商指设备、耗材、通信、技术支持等上下游产业链,我们将服务商也纳入制造业,是因为一旦这些服务商遭受勒索病毒攻击,也将影响制造业的生产制造业务的连续性。
-
勒索病毒攻击手法愈加隐秘,供应链攻击频发
供应链攻击利用了用户与应用供应商之间的信任,在软件正常传播或升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查。近期这种攻击手法,在多处客户现场出现,应用升级包在上游已经被感染,进入客户网络环境后,进一步渗透到全网。
-
传统防护手段很难应对勒索攻击的渗透
尽管企业网络安全的意识已经提高,部署了网络安全设备,但是仍然会被勒索病毒攻击。勒索病毒有传播隐秘、高速、多途径的特点,传统防护手段很难做到面面俱到。例如,基于特征比对技术跟不上勒索病毒的攻击渗透,高级威胁检测类产品,做不到多维攻击全方位防护,终端威胁防护特征库跟不上勒索病毒变种速度等。
-
加密数据恢复代价大且可能性低
当遭受到勒索病毒攻击后,一般可以从勒索行为、加密货锁定方式判断其勒索组织,利用网络上少部分已经被公开加密算法支撑进行解密工作。但是由于勒索病毒使用复杂的加密算法,数据恢复往往可能性极低,即使成功解密,也可能造成数据损坏或丢失。
-
部分受害者屡遭受二次勒索
部分受害者遭勒索攻击后,会一而再、再而三的遭受勒索攻击。这与勒索病毒伪装性和隐秘性高有关系。一方面是因为受害者在首次攻击后,未能彻底清除恶意程序或修复系统漏洞,导致攻击者能够利用已知的弱点再次发起攻击;另一方面,一些攻击者可能会故意留下后门,以便在未来再次激活并进行攻击。
三
勒索攻击特点
-
勒索病毒更迭迅速、变种繁多
随着网络安全环境的不断变化和技术的快速发展,勒索病毒也在不断进化,呈现出更高级、更复杂的攻击特点。勒索病毒的更迭变种数目越来越庞大,单纯追求通过样本比对的方式进行防御,很难赶上病毒变化的速度。截止2024年3月,威努特防勒索专家团队已经收集10万种以上病毒样本,仅2023年就增加了1600种。
-
勒索攻击已经形成产业,攻击模式雷同
勒索攻击已经形成产业,从入侵系统、加密文件,到勒索赎金,形成制式攻击模式。产业的形成得益于技术的进步。随着数字化转型的加速,越来越多的企业和个人将数据和业务转移到线上,使得潜在的攻击面不断扩大。其次,一些攻击者通过提供勒索软件即服务(RaaS),使得勒索攻击门槛更低,勒索攻击快速形成规模效应。
-
勒索攻击使用反防护手段
针对有利可图的受害者,攻击者不惜冒险使用反防护手段。在一次为客户提供防勒索服务过程中发现,攻击者通过社工攻击成功渗透后,利用远程桌面协议(RDP)和虚拟私人网络(VPN),卸载终端设备安装的杀毒客户端或停止进程,攻陷了客户终端,继而下钻其他网络环境。
-
勒索攻击传播途径多种多样
威努特安全专家在防勒索研究中发现,勒索病毒会以邮件、程序木马、网页挂马的形式进行大范围传播,绝大多数网络用户安全意识薄弱,上网终端仅使用基础安全防护软件,随意使用开源软件、点击邮件不明链接、访问不安全网页,在不知不觉中成为勒索病毒的传播者。
四
应对建议与策略
根据当前勒索病毒攻击的趋势和特点,我们建议建设从防护意识、规章制度、到网络防护、端点防护,再到应急响应处置的全方位勒索攻击防护体系,预防、检测和应对勒索攻击。
01
强化网络安全意识提高与
网络安全责任制度建设
在几次客户内部员工意识调研和培训中我们发现,个人的安全意识仍然是攻击者最大的突破口之一。建议企业建立网络安全管理制度,包括责任追究制,同时定期开展网络安全意识培训。
-
网络安全意识培训:通过培训,使员工了解勒索攻击的常见手法、传播途径和攻击危害,学会识别和防范潜在的攻击。有条件可以进行内部钓鱼验证,进一步实践安全意识。 -
系统更新与补丁管理:及时更新系统和软件,修补已知的安全漏洞,是防止攻击者利用漏洞进行攻击的关键。同时,建立有效的补丁管理制度,确保所有系统都及时得到更新。 -
访问控制与权限管理:严格管理用户权限,限制对关键系统和数据的访问。实施最小权限原则,即只授予用户完成其任务所需的最小权限。 -
对于人员的访问权限要严格管控,设立工厂、办公室门禁,设立访客访问制度。
02
使用网安防护产品与
启用关键数据备份策略
除了老生常谈的部署边界防火墙、入侵检测与防御系统,重点强调,需要部署有针对性的勒索防护产品,并采取数据备份容灾措施。
端点防勒索产品:终端安装专业的防勒索产品。威努特主机防勒索系统,采用行为检测、勒索诱捕、系统防护、病毒查杀、进程防护、数据保护、备份恢复七大机制,专门针对勒索病毒攻击进行防护。值得注意的是,客户端采用多种技术反-反反防护,不在次公开赘述。
备份与恢复策略:通过数据备份与恢复产品、或者其他技术手段,定期备份重要数据,一旦遭受攻击,可以迅速恢复备份数据,减少损失。同时,确保备份数据的安全性也至关重要,防止备份数据被攻击者锁定或加密。
威努特数据备份与恢复产品,是一款全栈式数据安全级别的容灾备份产品,具备文件CDP、整机备份、数据库实时复制、业务容灾接管等多种功能,满足不同场景的灾备需求。
03
制定应急响应处置计划
明确在遭受勒索攻击时的应对措施和流程。包括隔离受感染系统、通知相关人员、启动恢复程序等。建议定期开展内部演练和测试,提高应对方案可行性。
04
投保网络安全保险
安全技术和产品能提供威胁的防护手段,却无法百分之百规避安全事件发生,残余风险依然会威胁工业用户业务安全。网络安全保险,作为应对数字经济特定风险而诞生的新型保险品种,现已日益成为防御网络安全风险的关键手段。工信部近期也在开展《工业和信息化部办公厅关于组织开展网络安全保险服务试点工作的》,以下是威努特携手太平洋保险推出的防勒索保险,欢迎咨询。
原文始发于微信公众号(威努特工控安全):勒索攻击洞察:趋势、特点与措施
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论