距離5.12,全球性勒索蠕蟲WannaCry(魔窟)攻擊的大規(guī)模爆發(fā)已經(jīng)過去了近兩周時間。中國大陸雖然也罕見地成為了這起全球性網(wǎng)絡(luò)攻擊事件的重災(zāi)區(qū),但本土安全廠商對此次安全事件的響應(yīng)表現(xiàn),小到廠商的每個客戶,大到某個行業(yè),以及和國家相關(guān)部門的配合,都是可圈可點的。
同時,作為一起造成全球范圍惡劣影響的勒索攻擊事件 (注:微軟甚至因此次攻擊而在5.13發(fā)布了針對Windows XP、Server 2003等老舊操作系統(tǒng)的追加安全補(bǔ)丁) ,還有諸如IBM等擁有更廣闊視野的國際IT/安全廠商,他們對勒索攻擊的認(rèn)識和防范思路也同樣值得我們思考和借鑒。
超過半數(shù)個人用戶未做針對性防護(hù) 近4成遭遇勒索企業(yè)支付超過1萬美元贖金
時間回?fù)艿桨肽昵啊?016年12月IBM X-Force團(tuán)隊發(fā)布了一份關(guān)于個人和企業(yè)如何透過勒索攻擊看待數(shù)據(jù)價值的報告,十分具有預(yù)見性。
目前企業(yè)和個人對勒索攻擊的認(rèn)知和有效防護(hù)手段及意識的缺失,是造成近兩年勒索攻擊事件幾乎成井噴式爆發(fā)的主要原因之一。
通過對1千余名美國居民的調(diào)研,IBM發(fā)現(xiàn),僅有 41% 的個人用戶采取了針對勒索軟件的保護(hù)措施,而超過1/3遭受勒索攻擊的個人最終會選擇以支付贖金的形式換回對數(shù)據(jù)的正常訪問權(quán)限(雖然FBI并不鼓勵這種行為),而典型針對個人用戶的贖金金額一般會介于200到10,000美元之間,但是有一半以上的人表示即使是財務(wù)數(shù)據(jù)也最多支付100美元用于數(shù)據(jù)找回。
而企業(yè)側(cè)遭受勒索攻擊的情況則與個人大相徑庭。
勒索攻擊往往通過對公司服務(wù)器和關(guān)鍵數(shù)據(jù)和備份的加密/公開,并以此要挾勒索贖金,而這些行為會對企業(yè)業(yè)務(wù)的正常運(yùn)營造成嚴(yán)重的負(fù)面影響。
據(jù)IBM統(tǒng)計(調(diào)查對象覆蓋大/中/小不同規(guī)模企業(yè)的各200名高管),近半數(shù)企業(yè)高管曾經(jīng)歷過勒索攻擊,其中選擇付費找回數(shù)據(jù)的高管占 7 成。
在金額方面,近半數(shù)選擇支付的企業(yè)支付了超過1萬美元的贖金,而這其中支付贖金超過 4萬 美元的企業(yè)約占 4 成。甚至部分高管還曾向黑客表示愿意支付更多費用,以獲取對企業(yè)IT資產(chǎn)修復(fù)和保護(hù)的建議。IBM還發(fā)現(xiàn),企業(yè)高管最終是否會選擇支付贖金以及支付數(shù)額,直接取決于被加密數(shù)據(jù)類型以及企業(yè)規(guī)模。
盡管不同行業(yè)企業(yè)對數(shù)據(jù)的風(fēng)險偏好不盡相同,但總體上來看,雖然差別不明顯,但 財務(wù)、客戶和銷售記錄是企業(yè)選擇支付贖金的強(qiáng)大驅(qū)動力 ,企業(yè)郵件系統(tǒng)/服務(wù)器、知識產(chǎn)權(quán)數(shù)據(jù)、人力資源檔案等則要次之。有意思的是,商業(yè)及研發(fā)計劃、源代碼等數(shù)據(jù)卻排到了末位。
而在企業(yè)規(guī)模上,無論是對于財務(wù)還是銷售記錄,愿意支付高額贖金(超過5萬美元)的大型企業(yè)占比幾乎是中/小型企業(yè)占比總和的2倍。
應(yīng)對勒索攻擊 更成熟的安全能力建設(shè)是關(guān)鍵
針對勒索攻擊,無論是從執(zhí)法部門打擊網(wǎng)絡(luò)犯罪還是企業(yè)高管挽回業(yè)務(wù)損失的角度,也無關(guān)具體勒索金額,支付贖金都不是上策。此次WannaCry勒索攻擊的爆發(fā),無疑再次給企業(yè)敲響了加強(qiáng)內(nèi)部安全能力建設(shè)的警鐘。
當(dāng)然,選擇具有更加及時、全面響應(yīng)能力的安全廠商在應(yīng)急響應(yīng)中顯得至關(guān)重要。但除此以外,企業(yè)安全建設(shè)成熟度和運(yùn)營能力也亟待提高。
IBM給出的企業(yè)安全能力建設(shè)最佳實踐模型
還是以WannaCry為例:
- 在攻擊爆發(fā)前不到兩個月的時間,微軟已經(jīng)推送了相應(yīng)安全補(bǔ)丁,企業(yè)的漏洞管理平臺未能及時對企業(yè)現(xiàn)有資產(chǎn)進(jìn)行漏洞掃描、告警管理員并實現(xiàn)各終端的補(bǔ)丁下發(fā),這體現(xiàn)了企業(yè)安全建設(shè)中 “預(yù)防” 能力的不足;
- 攻擊爆發(fā)后,各企業(yè)安全或IT部門的無法快速根據(jù)攻擊事件相關(guān)的威脅情報修改企業(yè)防火墻、IPS等安全產(chǎn)品規(guī)則和策略配置,并快速對企業(yè)內(nèi)部資產(chǎn)自檢,隔離受感染終端,而是沒有響應(yīng)流程可依據(jù),不知所措地等待供應(yīng)商能第一時間來現(xiàn)場幫助解決問題,雖然確實國內(nèi)很多安全廠商做到了這一點,但是遠(yuǎn)水解不了近渴,這是 “響應(yīng)” 能力的缺失;
- 在攻擊事件不斷蔓延,企業(yè)正遭受勒索蠕蟲入侵時,短時間內(nèi)加密大量文件、或者大量對某些不常用端口訪問等異常行為沒有持續(xù)性監(jiān)測,并即使與外部情報實現(xiàn)關(guān)聯(lián)分析確定攻擊的發(fā)生,是 “監(jiān)測” 能力的不足;
- 拓展到傳統(tǒng)的安全之外,對數(shù)據(jù)和系統(tǒng)的容災(zāi)備份和災(zāi)難恢復(fù)能力準(zhǔn)備的不充分,沒有持續(xù)的業(yè)務(wù)連續(xù)性規(guī)劃,是 “恢復(fù)” 能力的空白。除此以外,上文所涉及的報告還提及了應(yīng)加強(qiáng)員工對勒索攻擊等安全事件的認(rèn)知和安全防范意識的教育,包括郵件宏附件禁用、安全瀏覽站點等。
這些都是降低企業(yè)所面臨的勒索風(fēng)險,以及將來安全能力建設(shè)的方向。
Tips
特別在漏洞管理&補(bǔ)丁分發(fā)、網(wǎng)絡(luò)層阻斷、監(jiān)測和響應(yīng)這四個點,IBM給出了以下安全能力建設(shè)建議:
1. 漏洞管理&補(bǔ)丁分發(fā)
確保安全管理員不受位置和網(wǎng)絡(luò)帶寬限制地發(fā)現(xiàn)所有終端在安全漏洞方面的狀況,并將補(bǔ)丁開發(fā)自動化。同時,因為補(bǔ)丁的修復(fù)可以大幅減少企業(yè)的攻擊面,所以需要閉環(huán)確認(rèn)補(bǔ)丁安裝是否成功,并把以上工作通過內(nèi)部規(guī)定等形式常態(tài)化。
2. 網(wǎng)絡(luò)層阻斷
確保IP信譽(yù)庫、URL過濾庫、簽名、固件的隨時更新,以實現(xiàn)對惡意站點接入的自動阻斷。
3. 監(jiān)測
對與安全分析相關(guān)的日志、網(wǎng)絡(luò)流和用戶行為數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析;確保監(jiān)測的實時性和持續(xù)性;使用云端的惡意軟件分析服務(wù)可以更快速的對威脅進(jìn)行識別;利用認(rèn)知技術(shù)實現(xiàn)更快速有深度的決策輔助。
4. 響應(yīng)
提前做好事件響應(yīng)計劃并測試,確保響應(yīng)流程的一致性、容易重定義和合規(guī),注重流程的編排和自動化,遇到棘手情況要果斷求助專家服務(wù)。
-
| 
