網(wǎng)安攻防戰(zhàn)，誰主沉??？

采寫／何惜金

編輯／陳紀英

周末，凌晨，萬物沉睡。

然而虛擬世界里，一場無硝煙戰(zhàn)爭剛剛打響。

黑客驅(qū)動的一批“木馬”悄悄出動，撬開云端服務(wù)器。此前，它們“忍辱負重”，偽裝成正常文件，潛伏了數(shù)月之久。

今晚，是決定黑客團伙吃肉還是吃土的關(guān)鍵時刻，如果勒索成功，可能獲得上千萬的“回報”。過程相當(dāng)順利，各端口的防病毒“警衛(wèi)”們還未反應(yīng)，就已經(jīng)被俘虜。

短短幾分鐘內(nèi)，數(shù)千臺云服務(wù)器被加密，終端警報聲此起彼伏，停工，停產(chǎn)，停止運營，工廠瞬間停擺，每分鐘損失上萬。

“亞信安全嗎？我們被勒索軟件攻擊了，該怎么辦呀？”電話里的聲音驚魂未定。

安全專家們立刻出動，分析出漏洞所在，緊急修補封鎖，避免“毒情”進一步擴散，入侵病毒順利“落網(wǎng)”，遣送沙箱觀察，有關(guān)該病毒的威脅情報被同步發(fā)送至云、管、端各節(jié)點，專家們再度巡邏，確認所有雷點被清除干凈，通過備份還原，鏡像重置等應(yīng)急措施，數(shù)千臺云服務(wù)器被成功“解救”。

短短二十分鐘，演完了一部《長安十二時辰》。

這不是電影，而是數(shù)月前，亞信安全幫助客戶對抗現(xiàn)代勒索攻擊的真實案例。

類似的勒索幾乎每天都在發(fā)生，但并非每個企業(yè)都能幸免于難。

網(wǎng)絡(luò)安全機構(gòu)Resecurity預(yù)測，到2031年，全球勒索病毒的勒索活動將造成2650億美元的直接損失，對全球企業(yè)造成的潛在總損失或達到10.5萬億美元。

全球知名威脅情報公司RiskIQ的報告則顯示，在全球，每分鐘就有6家企業(yè)遭受勒索攻擊，每分鐘損失高達180萬美元，全年315萬家企業(yè)被勒索，金額約為6萬億人民幣。

而隨著云、大數(shù)據(jù)、 AI 、5G等技術(shù)的廣泛運用，攻擊的影響還會擴散到物理世界。

去年5月7日，勒索攻擊團伙DarkSide攻擊了美國最大燃油管道公司科洛尼爾，導(dǎo)致近9000公里長的輸油“大動脈”被迫掐斷，殃及美國17個州和華盛頓特區(qū)進入緊急狀態(tài)，超千家加油站無油可加，一度陷入“搶油慌”。強勢如科洛尼爾這樣的大企業(yè)，為了恢復(fù)運營，也只能乖乖支付500萬美元贖金。

這也恰恰說明，數(shù)字時代，當(dāng)企業(yè)在云上攻城略地，構(gòu)建城池時，如何保障網(wǎng)絡(luò)安全，成為了共同挑戰(zhàn)。

流水線上的黑客，數(shù)字化轉(zhuǎn)型的黑產(chǎn)

招募黑客，需要掌握哪些技能？

如果你在1989年提出這個問題，得到的回答大概率是：學(xué)習(xí)開源操作系統(tǒng)、編程語言、密碼技術(shù)、入侵技術(shù)等等。

彼時，網(wǎng)絡(luò)病毒尚處于蠻荒時代，生物研究員約瑟夫·L·波普博士利用簡單的對稱密碼，創(chuàng)造出艾滋病特洛伊木馬軟件，通過軟盤傳播，要挾每個受害者支付189美元的解鎖贖金，就此開啟了勒索軟件的歷史。

那個時期的勒索軟件，無論是傳播方式還是欺詐手段，多是散兵游勇，勢單力薄。三十年后的今天，情況發(fā)生了翻天覆地的變化，黑客行業(yè)高度內(nèi)卷、專業(yè)分工，完成了“產(chǎn)業(yè)大升級”。

近日，亞信安全在“全面勒索治理即方舟計劃”發(fā)布會上，首度提出了“勒索病毒進入2.0時代”的斷言，即勒索團伙APT化(Advanced Persistent Threat，高級可持續(xù)威脅攻擊)，表現(xiàn)出專業(yè)化、針對性、持續(xù)性、隱秘性的特點，危害性極強。亞信安全在暗網(wǎng)監(jiān)控和病毒治理的過程中發(fā)現(xiàn)，勒索病毒呈現(xiàn)了三大升級趨勢：

其一，勒索病毒即服務(wù)RaaS（Ransomware-as-a-Service）模式興起。勒索軟件作戰(zhàn)模式，從單兵作戰(zhàn)，升級為模塊化、產(chǎn)業(yè)化、專業(yè)化的大型團伙作戰(zhàn)，勒索攻擊覆蓋面更廣，危害程度顯著增加。一條完整的產(chǎn)業(yè)鏈若隱若現(xiàn)。

勒索病毒開發(fā)商授人以漁，在暗網(wǎng)招募加盟渠道商，不僅向入局者出售勒索工具包，還提供特定產(chǎn)品漏洞的定制化服務(wù)。當(dāng)加盟的渠道商們通過勒索軟件，成功入侵企業(yè)后，開發(fā)商們還會派出專業(yè)的談判專家，估算贖金，進行談判，從中分成。

產(chǎn)業(yè)鏈完善之下，勒索病毒攻擊急劇增多。SonicWall在最新的網(wǎng)絡(luò)威脅報告中稱，2021 年全球勒索病毒攻擊達到 6.233 億次，比 2020 年增長 105%。與 2019 年相比，增長了 232%。

其二，勒索目標從“粗放式”轉(zhuǎn)向“集約式”，追求高效益，定向攻擊增多。

過去，勒索團伙“守株待兔”，大規(guī)模發(fā)送垃圾釣魚文件，廣撒網(wǎng)，碰運氣，等待獵物送上門來。

現(xiàn)在，勒索團伙不再滿足于此，瞄準了具有勒索兌現(xiàn)能力的大型政企，實行定向攻擊，有組織有預(yù)謀，分工明確，有人負責(zé)偵查信息，有人負責(zé)制定方案，有人負責(zé)招安“內(nèi)鬼”。俗話說，不怕賊偷，就怕賊惦記，被勒索團伙暗中盯上、持續(xù)攻擊的企業(yè)，實在防不勝防。

其三，勒索方式多樣化，出現(xiàn)雙重勒索、甚至三重勒索，增加了基于泄露隱私數(shù)據(jù)勒索以及DDoS的攻擊勒索。過去，勒索團伙的行動，和線下綁票并無太大差異，只要繳納贖金，就能夠釋放“人質(zhì)”——恢復(fù)企業(yè)數(shù)據(jù)。

現(xiàn)在，勒索團伙的“職業(yè)道德”滑坡明顯。他們會先收集企業(yè)的核心敏感數(shù)據(jù)，外泄到黑客專用站點后，然后再加密重要文件和數(shù)據(jù)，要求企業(yè)繳納一筆解密贖金；如果企業(yè)拒絕支付，還會繼續(xù)威脅，比如聲稱要在暗網(wǎng)公開或者售賣公司核心數(shù)據(jù)等；有時甚至“不講武德”，威脅該企業(yè)的客戶或合作伙伴等。

浪潮奔涌的工業(yè)4.0，防護薄弱的制造行業(yè)

當(dāng)暗網(wǎng)內(nèi)掀起“產(chǎn)業(yè)大變革”、大批網(wǎng)絡(luò)海盜集結(jié)成軍時，互聯(lián)網(wǎng)“海域”駛來了新的“貨輪”——步入工業(yè)4.0時代的傳統(tǒng)企業(yè)。

相較于“努力內(nèi)卷”的黑客，傳統(tǒng)企業(yè)應(yīng)對網(wǎng)絡(luò)安全的新變化，尚有些準備不足。尤其是高端制造業(yè)，更成為了勒索軟件團伙鐘愛的“肉票”，攻擊事件頻發(fā)。

Akamai最近的調(diào)查表明，全球最大的勒索軟件團伙 Conti 發(fā)起的全球勒索軟件攻擊中，有近30%以制造業(yè)為目標。去年5月30日，全球最大的肉類生產(chǎn)商JBS SA遭遇網(wǎng)絡(luò)攻擊，導(dǎo)致工廠癱瘓，影響了全美20%的肉類供應(yīng)，最終JBS不得不向罪犯低頭，支付了總價值達1100萬美元的比特幣。

今年3月1日，豐田汽車零部件供應(yīng)商受到勒索病毒攻擊，導(dǎo)致系統(tǒng)全面癱瘓，豐田位于日本的14家工廠總計28條生產(chǎn)線暫停運營，汽車因此減產(chǎn)1.3萬輛，相當(dāng)于損失月產(chǎn)能的5%。制造業(yè)成為網(wǎng)絡(luò)勒索重災(zāi)區(qū)，背后有著多重共性原因。

其一，傳統(tǒng)制造業(yè)工控系統(tǒng)陳舊，安全漏洞多，易被攻破。不少工廠的流水線設(shè)備，可能依舊是上世紀90年代開發(fā)的老機器，過去的工控系統(tǒng)，無法適應(yīng)工業(yè)4.0時代萬物互聯(lián)的需求，安全漏洞多。

根據(jù)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟2021年底發(fā)布的《中國工業(yè)互聯(lián)網(wǎng)安全態(tài)勢報告（2020）》，收錄的804個工控系統(tǒng)安全漏洞中，就有708 個漏洞涉及到制造業(yè)。加之制造業(yè)端口設(shè)備多、節(jié)點多、數(shù)據(jù)量大，涉及的系統(tǒng)通訊協(xié)議、系統(tǒng)整體架構(gòu)更加復(fù)雜，一旦暴露在網(wǎng)上，就如同行走的“鮮美肉票”，吸引黑客攻擊。

其二，制造業(yè)自身防護意識薄弱，也導(dǎo)致了制造業(yè)的感染風(fēng)險提升。據(jù)觀察，“很多制造企業(yè)在安全上的投入，只有IT預(yù)算的2%-3%左右，安全運營建設(shè)還相當(dāng)薄弱?！?/p>

一些制造商還認為，網(wǎng)絡(luò)攻擊離自己很遙遠，然而隨著大量設(shè)備聯(lián)網(wǎng)、上云，沒有一個制造商能夠獨善其身。制造業(yè)的網(wǎng)絡(luò)安全，已經(jīng)是事關(guān)供應(yīng)鏈上下游的系統(tǒng)性問題。即便上游大制造商防控滴水不漏，勒索團伙依舊可以從下游小制造商處，尋找到突破口，以它們?yōu)椤昂箝T”，滲透進大制造商的網(wǎng)絡(luò)系統(tǒng)。

其三：制造業(yè)供應(yīng)鏈復(fù)雜，無法承受停工危機，只能繳納贖金。制造業(yè)供應(yīng)鏈復(fù)雜，牽一發(fā)而動全身。某一環(huán)節(jié)停擺，影響的是整個行業(yè)上下游的生存處境。

停工意味著：生產(chǎn)排期推后、難以按時交付、合同違約、回款速度慢、資金鏈斷裂風(fēng)險……為了盡可能減少損失，制造業(yè)只能乖乖支付贖金，息事寧人。贖金可以換回生產(chǎn)重啟，卻無法消弭關(guān)鍵信息被盜帶來的潛在風(fēng)險。

知識產(chǎn)權(quán)、核心科技關(guān)系著制造企業(yè)的發(fā)展命脈，一旦被盜，可能意味著多年積累化為泡影；交付延遲、客戶數(shù)據(jù)暴露，也會影響客戶對制造商的信任度，聲譽受損，因此，很多制造業(yè)企業(yè)即使被勒索，也只能打碎牙齒和血吞，獨自咽下苦果。

其四：傳統(tǒng)的EDR（終端檢測與響應(yīng)系統(tǒng)）安防模式，單點設(shè)備各自為戰(zhàn)，孤掌難鳴，警報多，效率低。工業(yè)4.0時代，暗網(wǎng)強盜鳥槍換炮，從游牧草原式的單兵作戰(zhàn)，變成了現(xiàn)代的集團化作戰(zhàn)，但不少企業(yè)的網(wǎng)絡(luò)安全模式，卻依舊停留在傳統(tǒng)的EDR模式，無法適應(yīng)新變化。

傳統(tǒng)的EDR模式，側(cè)重于終端安全防護，包括了臺式電腦、筆記本電腦、移動手機、服務(wù)器和任何網(wǎng)絡(luò)的入口點，相當(dāng)于每個端口都配備了一個“警衛(wèi)”，可以根據(jù)來訪者的行為，判斷對方是否存在威脅，是否需要被緊急隔離。

但是這些負責(zé)終端設(shè)備安全的“警衛(wèi)”，成了信息孤島，和負責(zé)流量側(cè)安排隱患排查的“同事”NDR（網(wǎng)絡(luò)威脅檢測與響應(yīng)）各自為戰(zhàn)，缺乏交流，數(shù)據(jù)集成能力弱，導(dǎo)致系統(tǒng)警報不斷，但對真正的威脅情報，卻預(yù)警不夠及時不夠敏感。

運維人員需要應(yīng)付大量“狼來了”的“假警報”，工作壓力大，效率低，還有可能導(dǎo)致倦怠和松懈，等“狼真的來了”，反而無法及時應(yīng)對。

因此，數(shù)字化時代，企業(yè)若要提升自己的網(wǎng)安能力，對抗無孔不入的勒索攻擊，急需一次“頭腦”和“武力”的全面升級，整合云、網(wǎng)、邊、端的安全方案，從而打造立體防御體系。

方舟護航，立體攻防全域作戰(zhàn)，打贏黑產(chǎn)暗戰(zhàn)

數(shù)字化轉(zhuǎn)型一體兩面，既需要通過新技術(shù)的應(yīng)用，高速發(fā)展經(jīng)濟，提升效率，與此同時也需要保障安全。

而互聯(lián)網(wǎng)安全的底座基石，正是平臺化的安全體系，XDR的解決方案也就由此誕生。所謂XDR，可以理解為是對傳統(tǒng)EDR模式的擴展與增強，它能夠橫跨云、網(wǎng)、邊、端多個安全層，收集關(guān)聯(lián)信息，發(fā)現(xiàn)威脅事件，從而調(diào)整端口EDR或NDR的產(chǎn)品狀態(tài)，響應(yīng)威脅。

可以說，XDR模式讓安全系統(tǒng)擁有了統(tǒng)一的“頭腦”，全面清晰的視野，及時精準的告警，解放了運維人員的工作。近日，亞信安全推出的方舟計劃，就是以主動防范理念為指引，以XDR立體化防護的產(chǎn)品技術(shù)為根基，以安全服務(wù)為支撐，實現(xiàn)了三位一體的勒索治理新模式，形成全鏈條、立體化的勒索治理合力。

從發(fā)現(xiàn)威脅到清除漏洞，避免二次勒索，亞信安全有能力快速響應(yīng)并打贏勒索攻擊阻擊戰(zhàn)，最大化降低客戶的風(fēng)險和損失。

效率如此之高，打擊如此精準，得益于亞信安全構(gòu)建的立體防御體系。

其一，洞悉全局，遠矚高瞻的情報體系。

一封疑似釣魚郵件從被網(wǎng)關(guān)發(fā)現(xiàn)到送沙箱甄別檢測需要多久？亞信安全的答案是十分鐘以內(nèi)。

效率如此之高，在于亞信安全積累深厚，擁有“火眼金睛”。亞信安全自身的威脅情報優(yōu)勢，并與多個國際知名的網(wǎng)絡(luò)安全威脅情報公司建立合作關(guān)系，從而建設(shè)了一套國際化的威脅情報系統(tǒng)，能夠及時獲得第一手情報資料，掌握勒索團伙新動向。

這套先進的情報系統(tǒng)，相當(dāng)于“勒索攻擊團伙”的“全球通緝庫”。

當(dāng)亞信安全的保衛(wèi)團隊開始參與包圍企業(yè)建立的數(shù)字孿生環(huán)境時，勒索體檢中心會率先開展一次全面清查，部署端點及網(wǎng)絡(luò)探針EDR（終端安全響應(yīng)系統(tǒng)）、TDA（360度網(wǎng)絡(luò)安保巡查系統(tǒng)）巡視“孿生環(huán)境”，排查分析，發(fā)現(xiàn)可疑分子時，及時上報統(tǒng)一威脅運營平臺，通過比對畫像，將勒索攻擊前置工具、伴生木馬和勒索病毒等一舉擒獲。

依托于此，亞信安全能夠為客戶提供分行業(yè)、場景和需求的定制化專項體檢服務(wù)，全面評估、預(yù)判潛藏的隱秘威脅，并且針對勒索事件制定相應(yīng)預(yù)案，避免因突遇勒索陷入混亂。

除了定期體檢，治理漏洞，亞信安全的防護保衛(wèi)軍還會定期進行專項風(fēng)險排查，開展攻防演練，發(fā)現(xiàn)新的風(fēng)險點，不斷提升作戰(zhàn)能力。

其二，協(xié)同運作，高效聯(lián)動的XDR立體防護保衛(wèi)軍。傳統(tǒng)的EDR模式，終端側(cè)和流量側(cè)的警衛(wèi)們各自守衛(wèi)“一畝三分地”，而方舟計劃聚沙成塔，把零散的“警衛(wèi)”們，組成了一支戰(zhàn)斗力強悍的鐵軍。

亞信安全的專家們憑借著多年和黑客斗智斗勇積累起來的技術(shù)經(jīng)驗，打造了一個睿智的指揮部“XDR平臺”，全面覆蓋勒索團伙的攻擊鏈，通過“事前預(yù)防、事中處理、事后掃雷”三大手段，構(gòu)建立體化、平臺級的運營防護能力。在事前風(fēng)險排查階段，XDR平臺通過勒索體檢、提前部署、預(yù)案機制等手段解決蠢蠢欲動的暗網(wǎng)強盜，對他們起到了一定的震懾。

在事中應(yīng)急處置階段，XDR平臺通過本地+云端威脅情報研判，快速精準分析威脅事隱患，實現(xiàn)全網(wǎng)聯(lián)動，以虛擬補丁及時封堵漏洞，避免病毒進一步擴散。在事后掃除威脅階段，成功捕獲勒索威脅后，XDR平臺會再次進行體檢。通過TDA這輛“巡邏車”，沿流量側(cè)巡邏，察覺異常流量，檢測二次攻擊行為，并和終端的EDR、云端的威脅情報共同聯(lián)動，定期，持續(xù)，掃清城市周圍的威脅 “雷點”，避免黑客的多次攻擊。

其三，人機配合，24小時貼身服務(wù)的專家團隊。

亞信安全發(fā)現(xiàn)，傳統(tǒng)企業(yè)在網(wǎng)絡(luò)安全運維上的人才缺口，達到上百萬之多。因此，除了提供覆蓋全流程的解決方案之外，亞信安全還組建了一支3000人的專家“智囊團”，覆蓋全國31個省市，7×24小時在線，確保企業(yè)發(fā)生勒索攻擊風(fēng)險后，能夠第一時間找到可靠“軍師”精明決策。

如此一來，亞信安全的方舟計劃，徹底打破了傳統(tǒng)安全產(chǎn)品無法高效聯(lián)動的困局，以統(tǒng)一的XDR平臺，將碎片化安全能力融為一體，變?yōu)橄到y(tǒng)性、能夠全局聯(lián)動的遠程免疫系統(tǒng)，化繁為簡，實現(xiàn)了企業(yè)網(wǎng)絡(luò)安全的一次全面升級。隨著大數(shù)據(jù)、云計算、人工智能等新興技術(shù)不斷發(fā)展，新應(yīng)用、新場景層出不窮，美麗的云上世界徐徐展開，但危險與暗礁也無處不在，傳統(tǒng)企業(yè)面臨著嚴峻的安全挑戰(zhàn)。

而亞信安全之所以能夠護航企業(yè)，依賴于其多年的專業(yè)經(jīng)驗、全棧的技術(shù)優(yōu)勢，“懂網(wǎng)、懂云，懂安全”，才能實現(xiàn)“天下無賊”的美好愿景。面對內(nèi)卷的黑客和犯罪手法，獨木難成林，唯有平臺化的防御體系，百川聚江海，實現(xiàn)云網(wǎng)邊端協(xié)同一體化運作，才能護航千里，把來勢洶洶的暗網(wǎng)海盜們擋在門外。

生成海報

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個人觀點，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。