腾讯安全吴石:数字化潮流不可逆 在对抗中让攻击者畏难而退

首页 / 业界 / 人物 /  正文
来源:安全419
发布于:4个月前
在刚刚过去的周末中,遭受勒索软件攻击的美国油气运输管道商Colonial Pipeline表示,其所有系统都恢复了正常运行,包括一周前因被攻击导致关闭的管道。据报道,该公司向攻击者缴纳500万美元赎金,目前仍不清楚Colonial Pipeline的哪些部分受到威胁,但该公司的一位发言人表示,该公司的运营系统似乎没有受到影响。


Colonial Pipeline公司在Twitter上说,它已经对其IT和网络安全进行了 "有意义的"投资,并表示它将 "继续把安全和系统完整性放在第一位"。

虽然这件事情已经暂时告一段落,但在当时所产生恶劣后果对于业内的警醒作用非常大,今日,安全419同腾讯安全旗下科恩实验室负责人——吴石进行了沟通,看看他在回顾此次事件时是怎么思考的。

工业互联网成勒索软件攻击高发区是金钱驱动及攻防博弈下的必然结果

如果我们回顾一下2020年疫情开始到现在,就会发现包括美国在内的全球范围下,医疗机构、工业企业等开始成为了网络犯罪分子关注和发动攻击的新目标,且这一趋势愈演愈烈。在吴石看来,其中的缘由还是在于金钱驱动以及攻防技术博弈的结果。

起初,勒索软件组织或者更大范围的网络犯罪团伙主要将目光集中在金融领域,这个逻辑非常容易理解,因为这个领域的资金量庞大且容易变现,即便在当前也是一个重要的目标。

同时,由于金融领域长期遭遇攻击,相关企业也在不断的提升自己的防御能力,在真实场景中的攻防对抗历经十几年后,无论是在网络安全产品的投入、人员的投入以及所有员工的安全意识培训等方面,都已经达到较高水平,致使攻击者已经很难像当初通过较低成本即可轻易入侵,攻击成本的不断上升导致其获利难度也随之提升。

这种情景下,这些网络犯罪团伙必然会去寻找新的易于攻击且可以获利颇丰的目标,因此我们可以看到包括石油化工、电网、交通运输以及工业互联网等基础设施领域成为了他们的新目标群体。

吴石认为,最近几年以来,尤其是在疫情冲击下,数字化转型的速度进一步的加快,攻击者往往会通过入侵办公网,随后再横向攻击到生产运营网,并最终可以达到控制甚至破坏企业、行业的运转,甚至对国家级别的生产、资源运转造成不良影响。

相比之下,这些传统的基础设施相关的厂商同此前早期就开始进行数字化转型的行业相比,早期并未广泛的受到网络犯罪分子的“光顾”,因此在网络安全建设方面普遍存在不足,安全能力较差,对于网络攻击时就会缺少应对的经验。此外还有关键的一点,就是前面大多针对IT网络的攻防经验很难无缝复制OT网中,主要是因为OT网中存在有大量的非标准设备,比如嵌入式的Linux及其他非标准的系统及芯片等等,因此不少传统网络安全领域中的技术和实践在这一领域中是无效的。

因此,当网络犯罪分子将目光转向这些基础设施领域时,安全问题就会暴露的非常突出。

勒索软件大肆传播和发展 会让企业更加重视安全


在当前数字化转型的进程中,当工业互联网、物联网及其他广泛涉及基础设施建设领域的企业在发展中不得不面对勒索软件攻击风险时,会给相关行业领域带来什么样的影响呢?

针对这个问题,吴石看到了积极的一面——企业会越来越重视安全建设。

前文提到,相关领域的企业在安全意识上的薄弱、安全建设上的轻视,成为攻击者们喜闻乐见的新目标。一旦遭遇攻击,当“亡羊”变成现实,真实的“疼痛感”就会刺激企业去进行“补牢”。

吴石谈到,“如果有一套成熟的安全机制存在于自己的系统之中,那么即使受到一些攻击,也还是可以将影响降下来,因此整体的安全方案建设必不可少。”

通过整体安全方案的建设,不断提升防御能力,进而增大攻击者的攻击成本,对于主要从获取利益角度出发的勒索软件团伙自然也会去衡量这其中的经济成本,那么也许会放弃攻击,让其畏难而退。

数字化潮流不可逆 政策与技术双管齐下驱动网络安全保障

针对新技术带来新风险这一话题,吴石也对安全419分享了自己的看法。

“数字化潮流是不可逆转的。”吴石谈到,同时,在面对这一问题时也应该要分析,新的风险虽然会多一些,但原有旧的风险是不是会少一些?对于问题不能只看眼前的困难,更是要避免因为只看风险而产生畏难情绪去放弃发展。

吴石以手机的发展来举例,当智能手机正处在发展起步期时,它的安全性是非常差的,但是经历了长时间的攻防对抗阶段后,这一状况得到了明显的改善,无论是谷歌、苹果还是国内的华为等等,它正在变得比PC更加安全。这个例子充分说明了只要经过长时间的努力,安全一定是向好的一面转变,而不是越来越糟。

吴石表示:“任何社会的任何发展阶段,都必然会遇到各种新的挑战,在数字化潮流中,新技术产生新的安全风险是不可避免的,但我们也应该要通过新的技术去规避它,让风险的影响变得越来越小,那么无论是传统领域的数字化转型,还是新技术催生的新兴领域,安全本身都是呈现出一个蓬勃向上的发展趋势。”

与此同时,吴石还强调了政策对于安全的推动作用。“在数字化潮流下,国家对于相关的网络安全保障要求也愈加严格,在诸多领域都推出了相应的强制措施,并推动相关网络安全标准的制定,进一步的要求企业必须重视安全。”

安全如何保障 专业人员与安全解决方案缺一不可

针对当前相关领域的安全问题现状应如何解决这一问题,吴石也为大家分享了一些操作建议。

1、    加大对安全人员能力的投入

对于一些较大的厂商或机构,自身就要有组织一个高水平安全团队的意识,只有有高水平的人才或团队,才可以针对网络安全进行一个有效的整体规划。同时,这个团队还需要时刻保持较高的战斗能力,具体的方式可以通过邀请外部高水平的安全团队来进行红蓝对抗,借此机会来发现自己系统中的安全问题以及其他不足,进行查漏补缺,提升风险防御能力。

2、    对员工进行长期的安全教育

吴石建议道,对关键岗位需要进行长期的安全教育,如果技术不合格不应令其上岗。吴石在这里拿出一个数据,网络攻击的成功率目前仍处在高位,其背后的主要原因之一就在于员工缺乏基本的安全知识和能力。攻击者在多数情况下,通过对员工进行诱骗而使其做出一些违背安全常识的操作,最终令攻击者得手。

这里另外还有一个关键词——长期,网络安全威胁随着技术也在不断地发展和进化,一次性或者短期的网络安全意识培养和灌输很难保证长期有效。

3、    从快引入成熟的网络安全解决方案

在IT网的安全建设方面,应当且有必要去引入成熟网络安全解决方案,配合高水平的安全团队运营,总体来说就可以具有较强的风险防御能力。

在OT网的安全建设方面,考虑到当前相关且优秀的防御体系在市场中仍存有不足的现状,还需要去进一步加大投入,而且建设的速度必须要加快。

就在本文行将结束之时,安全419又了解到一则新闻,专为欧洲能源及基础设施企业提供技术方案的厂商挪威公司——Volue于近日遭遇勒索软件攻击,据了解,该公司为挪威200个城市水处理设施提供的基础设施应用因此被迫全部关闭,覆盖全国约85%的居民。调查人员在Volue公司的计算机系统中发现了Ryuk勒索软件,考虑到Volue公司在全球44个国家及地区拥有2000多家客户,挪威安全响应单位建议所有Volue客户应立即关闭与该公司应用的连接并重置登录凭证。

由此可见,勒索软件团伙面向工业互联网及基础设施领域的攻击仍朝着愈演愈烈的趋势发展着,当你忽视安全,那么你就会成为攻击者喜闻乐见的目标之一。这更进一步的验证了吴石所说的——企业必须要将安全建设放在重要位置,在不断地对抗中提升自己的安全能力,让攻击者畏难而退。