释放业务增长路径解锁勒索阴霾——构建企业数字安全免疫堡垒的策略与实践

中国信通院 勒索攻击防护系列工作 目录Menu PART1 PART2 PART3 PART4 •勒索软件发展概述 •勒索软件态势展望 •勒索软件防护体系建设 •中国信通院勒索攻击防护系列工作详解 导师介绍 中国信息通信研究院云计算与大数据研究所开源和软件安全部 副主任 卫斌 主要从事云安全、保险云、网络安全保险相关研究工作。 PART01 勒索软件发展概述 我国网络安全市场稳定增长，勒索软件攻击已成为网络安全的最大威胁之一 我国网络安全市场稳定增长勒索软件攻击已成为网络安全的最大威胁之一 我国网络安全市场市场稳定增长，市场支出持续增加，据IDC统计，2023年中国网络安全市场支出总额超过150亿美元，据预测，到 2026年，中国网络安全市场支出将接近300亿美元。 勒索软件 定义 •网络攻击者通过对目标数据进行强行加密，导致企业核心业务停摆，以此要挟受害者支付赎金进行解密的行为。 危害 •被加密信息难以恢复 •攻击目标的关键信息系统无法正常运转，攻击来源难以追踪 •敏感信息的窃取和泄露导致极大的法律合规和业务经营风险 •对世界的威胁加剧，已成为全球广泛关注的网络安全难题 事件频发 •2024年4月4日，帕内拉面包公司遭受勒索软件攻击，导致其IT设备中断一周。 •2024年4月4日至11日，豪雅公司的光学产品生产受到勒索软件攻击影响。 数据来源：IDC中国（2022） 中国网络安全市场预测，2022-2026 •2024年1月，能源巨头施耐德电气遭到Cactus勒索软件攻击，导致公司数据被盗。 •2024年1月，芬兰云服务商叠拓遭受勒索软件攻击，导致瑞典企业和城市停电。 •2024年1月，新西兰易恩孚太阳能光伏公司成为HUNTERSINTERNATIONAL组织勒索软件攻击的受害者，该组织声称已获得该公司1.8TB数据的访问权限。 多个原因促使勒索软件攻击在各地频法 •随着云计算、大数据、人工智能等新技术的快速普及和应用，如今勒索攻击呈现出持续高发态势，网络攻击也变得更加组织化和系统化。 •攻击范围向行业、基础设施领域拓展，包括金融、交通、医疗等多个领域都成为新的攻击对象。一旦基础设施遭受攻击， 将导致整个产业链的停摆或瘫痪，甚至影响社会稳定。 基础设施建设 远程办公 高赎金 01 企业内部基础设施建设不完善，缺少有效的安全防护措施 •漏洞数量：2023年报告的漏洞数量为18635个，同比降低22.03%。 •威胁情况：低危漏洞占5.85%，中危漏洞占46.93%，高危漏洞占47.22%。相对于低危漏洞，中危和高危漏洞的数量更多，态势呈现出总体数量降低，但影响范围扩大、利用难度降低的趋势。 02 高额赎金已经成为网络攻击者极高的犯罪动力 •2023年，全球范围内勒索软件攻击数量显著增长，损失大幅上升，超过300亿美元。 •2023年勒索软件再创辉煌，分析人员跟踪发现了4368个受害者，激增55.5%。 03 远程办公增加安全风险 •远程办公逐渐普及。远程办公带来的安全漏洞，通过技术迭代，不断进化数据泄露、加密数 据等攻击手法和方式，开辟新的攻击面 勒索软件攻击影响呈扩大趋势，带来巨大威胁 勒索软件攻击几乎总是以金钱为动机，已经成为重要的网络安全问题，对个人、企业乃至国家层面安全都面临着巨大的安全威胁。 破坏生产：造成企业生产的混乱，轻则减产，重则停工停产，销售停顿，会造成巨大的经济损失 个人 文件、图片、视频等个人事务、隐私若被泄露可能会引起纠 企业影响 经营困难：造成经营决策的混乱，无法进行经营决策，打乱企业发展步伐，造成长期的经济损失 纷、焦虑以及恐慌。 数据信息丢失：企业机密数据，一旦加密造成业务无法运行、数据泄露公布，将对企业造成巨大伤害 企业 持续攻击：勒索软件清楚不彻底，可能在信息系统中留有隐蔽通道，勒索组织会持续对企业进行攻击和袭扰， 国家 商誉损失：造成客户对企业的信任危机，面临的法律风险会升高，面临巨大的无形资产损失风险。 勒索软件攻击已在某些层面上直接或间接得影响了国家安全 。 •哥斯达黎加勒索软件攻击事件 •英启动安全战略应对勒索软件调查 勒索软件发展历史概述 勒索软件经历萌芽期、发展期，目前已正式进入高发期 全球第一个的勒索软件AIDS（PCCyborg），由哈佛大学毕业的创建 俄罗斯出现首个锁机勒索软件，主要针对移动用户 第一个真正意义上针对Android平台的勒索攻击软件 WannaCry勒索攻击在全球范围内大规模爆发 美国最大成品油管道运营商ColonialPipeline公司遭到Darkside勒索软件攻击事件，对全球产业链产生巨大连锁影响。 1989 2006 2009 2013 2014 2015 2017 2019 2021 至今 Redplus勒索软件是国内出现的首款勒索软件 出现使用RSA非对称加密算法勒索软件Archievus 出现比特币形式支付赎金的形式 第一个勒索软件即服务“TOX”勒索软件工具包出现，勒索软件即服务 （RaaS）正式面世 在Megacortex勒索软件传播，它不仅加密用户文件，同时窃取用户信息，多重勒索模式正式流行 萌芽期活跃期高发期 勒索软件攻击流程各个阶段日益专业化 勒索软件运行阶段 •勒索软件运行 扫描和获取凭证阶段02 •对系统扫描以更好地了解设备和网络， •进行双重或三重勒索攻击的目标文件 •横向扩散，传播到更多的设备。 04•对文件识别和加密 成功勒索 •禁用系统恢复功能 •删除或加密备份数据 •攻击者将保留私钥 初始访问阶段 通过存在漏洞的边缘设备，如虚拟化设备、VPN和服务器等媒介，据初始访问向量，通过特定工具下载到设备上，建立交互式访问。 01 部署攻击资源阶段03 •从网络攻击突破口 •部署网络攻击资源 •部署远程访问工具 •渗透入侵组织内部网络。 05实施勒索阶段 •发出感染警告 •释放勒索信，说明如何支付赎金 （加密货币） •攻击者在此阶段会对有价值的数据进行加密和威胁（多重勒索） PART02 勒索软件态势展望 （一）影响广泛：影响社会正常运转且难解密 勒索攻击使用的加密手段越来越复杂多样 勒索软件攻击对社会正常运转带来较大挑战 医疗卫生 •绝大多数攻击为非对称加密，很难被反向破解。 基础设施 关键信息基础设施一旦遭到攻击，可能严重危害国家安全、国计民生、公共利益 2022年5月，Darkside勒索软件团伙对美国最大的输油管道公司ColonialPipeline进行攻击，受害公司最终向DarkSide支付了将近500万美元的赎金，而执法部门之后查封了DarkSide的网络基础设施，迫使其关闭运营 •一些加密算法为公开的，但是依靠现有的算力或者是通过暴力破解的方式也难以进行解密 民生方面 大型企业遭到勒索攻击严重影响民众正常生活 法国海外省马提尼克岛在2023年6月也疑似遭遇勒索软件攻击，导致互联网访问与多项政务民生服务中断大半个月。 Ardent健康服务公司在2023年11月 勒索攻击威胁到病人生命安全 件攻击，导致服务中断。这次网络攻 29日发表声明，确认其遭受了勒索软 击不仅影响了医院的日常运营，还迫 使多个州的急诊室紧急转移救护车，以应对可能出现的医疗危机。 03 攻击路径和目标多元化发展 •勒索软件攻击路径正在由被动式攻击转为主动式攻击，进行横向渗透 •勒索攻击目标呈现多元化发展 电脑端到移动端，并愈演愈烈 从个人用户到企业设备（关键业务） （二）隐蔽变异快：为勒索防护提出巨大挑战 （三）勒索攻击SaaS化：RaaS勒索即服务模式兴起 01 隐蔽性强已成为勒索攻击的典型策略 •勒索攻击善于利用各种伪装进行入侵，保持高隐蔽性。 •潜伏时间较长也印证了勒索攻击的高隐蔽性 •利用尚未被发现的网络攻击策略、技术和程序 •RaaS(Ransomware-as-a-service)模式大大降低了攻击的技术门槛。RaaS模式的兴起使得从业者无需任何专业技术知识就可以发起勒索攻击活动 02 勒索软件变异较快且易传播 •勒索软件种类繁多，处于不断变异当中 •攻击者根据防护策略升级，不断改进勒索软件变体以逃避侦查. •蠕虫式传播型勒索软件可进行自我复制、自主传播，传播速度更快，波 及范围更广，例如：WannaCry 攻击呈系统化发展，实现“开箱即用”的便捷性 •从制作、传播、攻击到收益呈现系统化、便捷化 •可提供一整套解决方案，甚至可包括加密货币 实现价值多向变现 •除攻击外，还会借由暗网等技术，出租或售卖成熟的勒索软件产品和服务， •促使形成勒索“产业链”，上下游相互协作配合，共同瓜 分勒索收益 RaaS 特点 攻击门槛大幅降低 •攻击者并不需要技术就可以开展违法犯罪活动 •理论上任何人支付费用即可通过RaaS服务开展勒索攻击，导致攻击门槛大幅降低。 进一步增强勒索攻击能力和隐蔽性 •不同组织构建具有精准配合关系的勒索商业联盟 •共享受害者信息等手段，扩 大勒索商业模式 •勒索软件黑色产业层级分明，全链条协作。开发者只需要更新病毒，拓展传播渠道，各级分销参与者点击鼠标就能从中瓜分利润。 （四）跨平台勒索：提升勒索软件利用（六）加密货币普及：助推赎金快速增长 •勒索攻击的制造者对赎金的要求越来越高。 勒索软件逐渐发展为可在不同的架构和操作系统组合上运行，提升勒索软件利用率，进而获得更多经济利益。 Windows系统Linux、macOS系统BigGameHunting(BGH) 计划呈流行趋势 •犯罪分子渗透到运行着各种系统环境 •造成尽可能多的损害并使恢复变得更加困难 （五）漏洞武器化：促进勒索软件发展 近年来，勒索赎金逐年提高。 •加密货币一定程度上助推了赎金的快速增长。 早期攻击 银行转账 加密货币 漏洞武器化已然成为勒索攻击的又一重要途径。 •攻击方对漏洞的掌握与防守方对漏洞的修补始终是一个相互追赶博弈的 早期网络攻击很难找到支 付意愿高的买家。 勒索形式出现，但是银行 转账极为不安全 加密货币的匿名化、难以追溯性 可有效隐匿犯罪路径 过程 •漏洞利用包括0day漏洞外，已知漏洞，甚至是披露很久的漏洞 漏洞未被及时修复。 版本更新、组件调整出现新漏洞 已知低危漏洞成为关键漏洞 •借助漏洞进行攻击，供给面和攻击效率大范围提高。（Log4j漏洞） •反之，区块链探索器可以帮助调查人员跟踪区块链内部的资金流动。 反之，技术的帮助下，监管单位可以利用区块链取证技术从区块链中抓取交易数据并分析其是否存在非法活动，有效的打击勒索软件活动。 （七）APT定向化：大型企业和基础设施是重点 （九）供应链渗透：成为勒索攻击重要切入点 •近年来勒索软件攻击定向精准攻击趋势明显。 针对掌握大量数据的大型企业定向精准攻击趋势愈发明显 “量身定做”，从低权限帐号入手，持续渗透攻击，使企业彻底瘫痪 •勒索对象主要集中于大中型企业和基础设施类组织。 成功率高：此类企业对信息化依赖程度相对较高，而网络安全能力相对不足 赎金高：遭受攻击后其受影响程度比较深，而支付意愿和能力较强 （八）多重勒索：引发数据泄露风险 •多重勒索模式已成为现今网络攻击者实施攻击的重要手段。 勒索攻击杀伤性增强，被勒索企业缴纳赎金的可能性变大 诱使攻击者发动更多攻击，而且极易引发大规模的行业内部数据泄露事件 加密数据 DDoS攻击 受害企业同时承受数据公开、声誉受损、行政处罚等多重压力 公开数据 此种情况下，以往注重查杀恢复、数据备份的思路已难以奏效。 需从源头解决才能化解风险 供应链攻击作为一种新型攻击手段，凭借自身难发现、易传播、低成本、高效率等特点已成为最具影响力的高级威胁。 供应链攻击涉及诸多企业 难以控制恶意软件波及的范围，无差别攻击成为供应链勒索攻击的重要特征 大型软件供应商成为潜