Akamai北亞區(qū)技術(shù)總監(jiān)劉燁表示,從Akamai看到的數(shù)據(jù)顯示�,2023年第一季度的勒索軟件受害者數(shù)量與2022年第一季度同比增加了143%��。
從Akamai的分享可見����,過去一年�����,勒索軟件受害者數(shù)量有了顯著提高�。
勒索軟件團(tuán)伙會使用“零日”和“一日”漏洞等攻擊方法以及多種勒索攻擊方法,最大限度地增加受害企業(yè)的損失�����。
劉燁的介紹也提到了一些獨特的攻擊特點�,可以幫我們更好地認(rèn)識勒索軟件的一些趨勢。
首先����,65%的受害者其實都來自于中小企業(yè)的。這與很多人的印象相悖�,這可能是因為大企業(yè)影響范圍大,遭受攻擊之后更容易受到關(guān)注所致。
之所以中小企業(yè)容易被攻擊���,劉燁認(rèn)為�,這與這些中小企業(yè)的安全體系架構(gòu)���、安全能力�����、對于安全的重視程度不足有關(guān)�����。反之�����,大企業(yè)防護(hù)能力會更強(qiáng)一些�����,不容易被攻破��。
第二����,亞太地區(qū)的勒索受害者數(shù)量增長率非常高,達(dá)到了204%���,歐洲、中東和非洲地區(qū)的增幅是77%���。
對此�����,劉燁的解釋是�����,這可能與被攻擊企業(yè)系統(tǒng)的完善程度�、安全防護(hù)水平��、被勒索后交贖金意愿以及行業(yè)內(nèi)的安全從業(yè)者水平都有關(guān)系���。
第三��,只要被勒索過一次��,很容易再次被勒索���。劉燁介紹稱����,如果企業(yè)被勒索過一次����,在三個月之內(nèi)再次被勒索的概率,會是沒有被勒索過的企業(yè)的6倍�����。
這是因為被勒索過的企業(yè)在安全防護(hù)方面肯定是有所欠缺的�,意味著短期內(nèi)再次被攻破的概率通常也會更高。
第四�,制造行業(yè)的受害者數(shù)量增長了42%。在劉燁看來�����,這首先與制造行業(yè)仍然運行著一些陳舊的軟件系統(tǒng)���、安全防護(hù)和更新節(jié)奏慢有關(guān)��。同時�����,制造業(yè)的大量IoT設(shè)備也會帶來額外的安全風(fēng)險�。當(dāng)然,制造業(yè)的數(shù)據(jù)通常包括圖紙�、知識產(chǎn)權(quán)資料等重要的數(shù)據(jù)���,被加密勒索后企業(yè)有更高的付費意愿����。因此��,才更容易被攻擊者“照顧”到���。
越發(fā)成熟的勒索軟件攻擊產(chǎn)業(yè)
劉燁的介紹讓我們意識到���,攻擊者也很講究投入產(chǎn)出比,更關(guān)注如何拿到更多贖金��。事實上��,如今的勒索攻擊產(chǎn)業(yè)“商業(yè)化”程度其實也挺高的,已經(jīng)是一門非常成熟的產(chǎn)業(yè)���。
Akamai的數(shù)據(jù)統(tǒng)計出了TOP5的勒索軟件和組織��。其中�����,最活躍的就是Lockbit���,新聞報道中也經(jīng)常能看到。除此之外��,還有ALPHV�����、Royal����、CL0P和HiveLeak。
勒索軟件為自身發(fā)展進(jìn)行了很多經(jīng)營和投資����。從劉燁的介紹中了解到���,Lockbit軟件經(jīng)過了幾次版本迭代,有了很多改進(jìn)�。而且,Lockbit組織會付費懸賞鼓勵別人給軟件提修改意見��,為軟件找Bug��。
勒索軟件已經(jīng)進(jìn)化到了RaaS(勒索軟件即服務(wù))的階段����。劉燁提到��,ALPHV是一個“軟件即服務(wù)”方案�,軟件的開發(fā)者并不直接參與勒索,如果攻擊者利用ALPHV去勒索并拿到贖金之后�����,會分一部分贖金給開發(fā)者�����,這是RaaS的運營模式��。
能注意到,在提到一些勒索軟件和對應(yīng)的組織時�����,通常都會提到“運營系統(tǒng)”的概念��,可見��,勒索軟件攻擊是成體系的事情�����。有人說���,勒索軟件將帶來巨大的財富轉(zhuǎn)移�����,在現(xiàn)實利益推動下���,勒索軟件已經(jīng)發(fā)展到不得不防的階段了。
當(dāng)然�,面對越發(fā)猖獗的勒索軟件,正義的一方也采取了很多措施。
從劉燁的介紹中了解到��,在LockBit出現(xiàn)之前�����,在勒索軟件市場上占統(tǒng)治地位的Conti由于被很多政府懸賞�,加上勒索軟件的主要發(fā)起人的信息泄露,隨后才不得不關(guān)停了Conti�����。
排名第四的CL0P因為攻擊了很多企業(yè)�,所以,目前也有很高的曝光率�����。不過��,現(xiàn)在CL0P已被美國政府懸賞��,如果能找到它的組織者�����、破壞勒索軟件的機(jī)構(gòu)和組織�,基于CL0P的這一類攻擊也會遭到沉重打擊。
在此之前�����,還會有企業(yè)遭受攻擊����,也可能會出現(xiàn)新的勒索軟件,企業(yè)自己還是要有所作為���,掌握更多主動權(quán)��。
企業(yè)如何主動應(yīng)對勒索軟件
在提到企業(yè)如何應(yīng)對勒索軟件時��,劉燁提到了五點�����,包括���,了解自身攻擊面;制定可靠的流程/行動手冊����;監(jiān)控出站流量����,確定是否存在威脅指標(biāo)�����;確保法律團(tuán)隊隨時關(guān)注立法動態(tài)�����;開展修補����、培訓(xùn)、防護(hù)�。
首先,“攻擊面”指的是用戶環(huán)境中的應(yīng)用系統(tǒng)或者網(wǎng)絡(luò)系統(tǒng)中���,可能被攻擊的或者薄弱的部分。這里���,劉燁特別提到了IoT設(shè)備部分����,由于易被忽略,IoT設(shè)備容易被攻擊或作為跳板��。
第二個����,清晰可靠的流程和行動手冊。主要指�����,當(dāng)攻擊發(fā)生時�����,運維者或者安全的構(gòu)建者要能緊急應(yīng)對很多事情�����,應(yīng)對時要按照手冊或者流程來操作���,避免不知道如何應(yīng)對的情況��。
第三個����,監(jiān)測一些入侵指標(biāo)。通常��,被攻擊后會有一些典型特點�����。比如�����,可以通過檢查日志等信息判斷系統(tǒng)是否被入侵過��,有沒有數(shù)據(jù)被導(dǎo)出過等����,更及時地發(fā)現(xiàn)問題。
第四個��,在發(fā)生勒索事件后��,注意所在企業(yè)或者所在地區(qū)在法律上的要求���。因為��,有些地區(qū)有法律要求不允許支付贖金�。在具體操作前���,除了要跟技術(shù)團(tuán)隊對接���,還要咨詢法務(wù)團(tuán)隊的具體建議。
最后�����,培訓(xùn)指的是培養(yǎng)員工的安全防范意識�����。比如���,提醒員工謹(jǐn)慎打開來路不明的郵件���,更不要輕易點擊其中的鏈接,避免被勒索軟件攻擊�����。
除了這些建議,劉燁也提到了Akamai應(yīng)對勒索軟件的一些技術(shù)方案�����。
比如�����,Akamai Guardicore Segmentation(微分段)�,它能在企業(yè)的某一臺服務(wù)器被攻陷后,阻止黑客將這臺服務(wù)器作為跳板攻擊別的系統(tǒng)�,防止攻擊在企業(yè)內(nèi)部擴(kuò)散。
除此之外�,Akamai零信任方案里還有,Enterprise Application Access(Zero Trust遠(yuǎn)程訪問)����,Secure Internet Access Enterprise(安全Web網(wǎng)關(guān))、以及多因子認(rèn)證(Multi Factor Authentication)�����。
安全評估與咨詢服務(wù)(Akamai Hunt)是另外一個比較有意思的服務(wù)��,它像在打獵一樣在用戶的系統(tǒng)里巡邏,看用戶的系統(tǒng)是不是已經(jīng)被人入侵�,是否被安裝了勒索軟件,是否存在一些潛在的安全隱患��。
這些是Akamai在應(yīng)對勒索軟件方面的主要產(chǎn)品服務(wù)���,可以對企業(yè)在防范和應(yīng)對勒索軟件方面提供實質(zhì)性的幫助。
結(jié)束語
總的來說���,勒索軟件的威脅是現(xiàn)代企業(yè)在網(wǎng)絡(luò)安全方面不可忽視的重大挑戰(zhàn)���。不論是大型企業(yè)還是中小企業(yè),都需提高警惕�,加強(qiáng)安全防護(hù)措施。同時���,企業(yè)也應(yīng)該定期進(jìn)行安全培訓(xùn)�����,提高員工對于網(wǎng)絡(luò)安全的意識�,這樣才能在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境中保持堅固的安全防線�。
