三重防线守卫网络安全 腾讯安全“破局”勒索软件攻击

近年来，勒索软件攻击持续成为热点话题，作为网络攻击的一种最终表现形态，如果没有相应的防范能力，或者是中招后没有相应的处置机制，无论是被迫支付高额赎金还是业务停摆，都让企业难以承担。为帮助相关企业应对勒索软件带来的安全挑战，前不久《话说安全》节目联合腾讯安全与腾讯研究院共同策划“防范勒索软件攻击”系列节目，邀请多位业界知名专家从多维度、多行业一起探讨勒索软件攻击的应对之道。

 

 

 

 

勒索软件攻击向上追溯在1989年就曾出现，在2001年之后开始小规模传播，但真正开始大规模传播大约是在2015年之后，最著名的一次是“WannaCry”勒索蠕虫的传播，造成国内的部分机构受到严重影响。谭晓生表示，受虚拟货币支付方式出现影响，对该类犯罪难以形成有效溯源，这也造成了勒索软件攻击越演越烈。

 

近年来，勒索软件攻击增长速度惊人，甚至一度超过1000%，这一增长趋势主要归咎于更多的黑客犯罪组织将勒索工具商品化，即勒索软件即服务RaaS化。翟尤对这一趋势表示担心，“RaaS化的勒索软件即服务会将勒索攻击门槛进一步降低，因为这种无门槛式的服务，可能会让更多仅仅是想做恶作剧的攻击者和真正攻击者混为一体，对安全行业带来更大的挑战。”

 

李铁军则表示，除了勒索工具RaaS化降低了攻击门槛，勒索软件攻击产业化也越加成熟，此时攻击形态也将产生变化，以前“WannaCry”之类的勒索软件是无差别攻击，所有人、每一台机器都有可能中招。但现在其攻击越加APT趋势，其攻击更加精准，就是要瞄准高价值目标。

 

对于关基系统，因其主要承载民生服务，一旦被入侵就可产生勒索价值，而对于企业来讲，往往勒索攻击者更看重数据质量高低，甚至他们会潜伏下来评估数据价值，从而在某个时间点进行加密勒索。

 

安全专家们还发现，随着世界范围内政府层面对网络安全越加重视，相关的法律法规配套措施正在强化行业的安全性，如欧盟的GDPR，我国的数据安全法等，但与此同时也为勒索者提供了双重勒索手段，攻击者往往会威胁曝光受害者数据，从而造成数据泄露，这也是为什么支付赎金逐渐成为选项之一。

 

 

2021年，美国最大的燃油管道运营商Colonial Pipeline 公司就受到了勒索软件攻击，导致美国整个东海岸的成品油供应中断，勒索攻击一度导致美国宣布进入紧急状态。勒索软件攻击逐渐瞄向更加重要的关键信息基础设施，从而提高勒索成功率，对此刘磊表示，该事件对于我国石油石化行业起到了一个很好的警示作用，未来，该类攻击将是关基系统面临的主要安全威胁。

 

针对关基系统应对勒索攻击方面，刘磊表示要针对不同的阶段做相应的防范。应对勒索攻击，首先是强调人的因素，做好不同岗位人员的安全意识培训。其次建设重要信息系统时，就要提前考虑到系统的弹性，要保障业务系统的连续性。最后不管在本地还是云上，对重要的系统都要做好隔离措施。

 

 

安全专家们认为，企业将业务系统迁移至公有云会对抗勒索软件攻击能力有明显提升，首先，公有云系统有专业的安全团队7*24小时进行检测维护，往往可以在攻击的初始阶段及时处置；其次，绝大部分勒索病毒针对Windows系统开展攻击，公有云以Linux系统为主。虽不排除未来针对公有云的勒索软件增加的可能，但现阶段相对安全。相反，私有云在对抗勒索软件攻击方面，除了自身安全能力要求，往往要借助于第三方安全服务。

 

 

针对勒索软件攻击高压态势，腾讯安全已针对全行业用户推出综合性安全解决方案，该方案权衡用户公有云、私有云不同环境，推出对抗勒索软件攻击的三重防线，从事前、事中、事后全程赋能企业对抗勒索软件攻击安全能力。

 

通过资产扫描、基线检测、漏洞扫描降低入侵风险，通过事前风险排查、重要数据备份，在勒索攻击来临前做好充分准备。

 

公有云：

云硬盘CBS：提供用于CVM的持久性数据块级存储服务，提供高达99.9999%的数据可靠性。

安全托管服务：提供安全评估测评服务，以发现和修复网络弱点。

主机安全：提供基线检测与漏洞检测修复服务。

漏洞扫描服务：网络资产安全漏洞扫描修复服务。
 

私有云：

腾讯安全运营中心：提供资产盘点、漏洞检测、基线检测服务。

腾讯零信任iOA：提供客户端和服务器漏洞扫描修复服务、iOA基线检测服务。

 

通过流量侧，主机侧的检测响应机制，及时发现黑客入侵行为，防止勒索攻击在内网扩散，阻止攻击者窃取机密信息，及时响应处置告警事件，将威胁消灭在起始阶段，避免大的灾难发生。

 

公有云：

云安全运营中心（云SOC）：协调企业云端所有安全防护产品及时检测威胁、响应告警、分析日志、处置威胁。

主机安全：检测清除恶意病毒木马，拦截部分高危漏洞攻击，及时对攻击事件告警。

腾讯云防火墙：内置虚拟补丁机制，拦截利用高危漏洞发起的攻击活动，阻断横向移动，避免威胁扩散。

腾讯Web应用防火墙：通过对Web流量的实时检测，防护各种形式的网络攻击。

 

私有云：

腾讯安全运营中心：协调管理企业所有安全防护产品及时检测威胁、响应告警、分析日志、处置威胁。

腾讯高级威胁检测系统（NTA）：旁路部署流量分析检测系统，实时检测攻击行为，及时进行告警处置。

腾讯零信任iOA：通过多因子认证，安全策略下发和微隔离能力，阻止威胁横向扩散，同时可实时清除最新病毒木马。

腾讯天幕（NIPS）：通过和其他安全产品的实时联动，阻断所有与攻击活动有关的网络连接，同时确保正常服务不受影响。

 

遭遇勒索病毒攻击后，企业可以借助安全产品或服务快速恢复业务，并对事件进行溯源分析，及时对短板进行修复处理，避免被攻击者重复利用。

 

公有云：

云安全运营中心（云SOC）：对事件进行回溯调查，发现威胁源头，采取针对性的系统加固措施，避免攻击者再次来袭。

云硬盘CBS：通过镜像回滚，快速恢复业务，避免业务系统因黑客攻击而中断。

安全托管服务：为企业提供全方位的应急响应服务。

 

私有云：

安全运营中心：协调其他安全产品能力，对事件进行溯源分析，发现入侵源头，对发现的弱点、漏洞进行修复治理，避免被攻击者重复使用。

腾讯零信任iOA：分析事件日志，对威胁进行全面调查。通过内置的文档守护者恢复部分失陷系统的受损数据。

高级威胁追溯系统：通过相关威胁情报数据，追查事件源头。

安全专家服务：为企业提供全方位的安全响应服务。

 

可以看到，对抗勒索攻击“三重防线”涉及到腾讯云及腾讯安全的多款安全产品，而企业实际应用时可根据自身安全能力、安全建设情况适情选用。其标准如在公有云环境下，通过漏洞扫描、主机安全等产品，帮助及时发现系统存在的漏洞，并进行修复，是防范勒索病毒的核心工作；当主机被入侵之后，病毒会主动向外扩散，这个阶段需要防火墙等产品进行检测、识别攻击，阻断横向传播，将损失控制在极小的范围内。

 

针对私有云环境，安全专家认为零信任是行业公认的解决方案之一，再通过XDR的方式，让企业所有的产品尽可能具备检测和处置能力，也可以达到目的。对安全预算并不充裕的中小企业来说，也可以将重点放在员工安全意识培训及数据备份两方面。前者是成本最低且有效的防范方式；而数据备份可以将被锁定或损坏的数据进行恢复，从而减少损失。

 

 

勒索软件攻击之所以会让越来越多的人关注，主要是其最终的勒索结果所致，换言之企业要为低效的网络安全建设买单，付出金钱代价，当然背后的业务中断代价往往可能会更高。勒索软件攻击本质上就是网络安全问题，而网络安全本身又是一个大的系统工程，其威胁面很难系统概括，这也意味着没有“特效药”能解决所有问题。

 

安全专家一致认为，正是因为勒索攻击本质上是复杂的网络安全问题，对抗勒索攻击需要从多个层面，从国家主管部门、专业队伍、企业自身、安全厂家各个方面全方位协作对抗，要体系化、整体地去应对勒索攻击，才是根本解决之道。攻守之际最终还是人与人在对抗，这个战争可能永远没有尽头，必须做好长期对抗准备。