勒索攻击愈演愈烈趋势之下 “重前轻后”的安全建设思路必须放弃

首页 / 业界 / 资讯 /  正文
作者:闫小川
来源:安全419
发布于:2021-12-07
WatchGuard在一份针对网络攻击的调查报告中,明确指出在2021年上半年中,终端勒索软件检测总量打破了自2018年至2020年中所呈现的下降趋势,再一次开启上涨态势,数据显示,2021年上半年的检测总量略低于2020年全年的检测总量。如果在2021年剩下的时间里,每天的勒索软件检测量保持平稳,那么今年的数量将比2020年增加150%以上。


同时,SonicWall针对上半年勒索软件攻击的一份报告发现,勒索软件攻击在 2021 年上半年猛增,该公司发现了 3.047 亿次未遂的攻击,攻击量同比增长了 151%,并已超过 2020 年全年的 3.046 亿次。这一事实让 SonicWall 的研究人员感到震惊。

回到我国,谷歌与网络安全公司VirusTotal于本月(2021年10月)联合发布了一份全球地区勒索软件攻击影响研究报告,其数据显示,中国在受勒索软件攻击影响最严重的 10 个地区中排在以色列、韩国、越南之后位居第4。

尽管针对我国境内遭遇勒索软件攻击事件的相关报道或报告非常少,实际情况如何对于安全行业的人而言应该还是心中有数。2021年7月,国家互联网应急中心(CNCERT)编写了一份简洁扼要的《勒索软件防范指南》,整个指南被分为两部分,一是勒索软件防范的九要、四不要,二是在遇到被勒索软件感染时的应急处置方法。虽然这份指南中的内容不多,但这些通俗的文字背后,总能让人感觉到一些什么。

勒索软件攻击防御难度极高
应对其威胁是一个长期、全面的安全建设过程


因此,无论是国外还是国内,勒索软件攻击在全球范围内的肆虐必须要引起我们的重视。但我们也能看到,关于勒索软件攻击的防御谈了很多,但到底怎么防其实是没有答案的,就在几天前,安全419曾经发布内容《为什么我们始终无法抵御勒索软件攻击》,从安全措施的应用、用户的安全意识、工具化攻击的低成本优势、各类检测与响应类安全产品的不足、勒索软件家族之间的关系、勒索软件攻击的商业模式等诸多方面,阐述了如果想要彻底地抵御勒索软件攻击几乎是不可能的。

在2021年7月,安全419曾经就如何应对勒索软件攻击这一话题与腾讯安全玄武实验室负责人“TK教主”于旸、腾讯安全反病毒实验室负责人马劲松、以及翼盾智能和第五空间研究院创始人朱易翔Coolfrog三位经验颇丰的安全专家进行过交流。在这一过程中,于旸就明确地指出,“如今的勒索攻击在持续向‘APT化’演进”。他解释道,自动化的病毒感染只是勒索攻击的一部分,犯罪团伙会针对高价值的目标,利用一切渠道、弱点进行入侵。他们通过前期对选定目标相关信息的收集,持续渗透,找出薄弱攻击面,最终实现致命一击。


当时三位专家一致表示,安全建设是一个长期的过程,在这之中,企业的安全能力和攻击者的攻击能力间就会存在一个动态波动,因此,某一时期较强的安全防护能力并不意味着长期的高枕无忧。

正如几天前绿色兵团创始人,现连尚网络首席安全官龚蔚在看雪2021安全开发者峰会上所说的那样——“没有安全事件不等于没有安全,表面上没有安全事件,其背后也许就是没有感知到、没有识别到所造成的假象,但真当你发现安全问题的时候,也许就已经晚了。”

八成企业灾备能力无法应对勒索软件攻击
“重前轻后”思路导致安全建设严重欠缺整体平衡性


就在更多主流观点聚焦在如何防御并广泛建议针对攻击去置办什么样的安全产品、服务的当下,勒索软件攻击仍然很难防得住,因此也有一些别样的观点出现,例如同样是在看雪2021安全开发者峰会上,来自上海交通大学信息安全博士、(ISC)2中国上海分会主席施勇在发言中表示,当前几乎80%的企业所具备的灾备能力在应对此类攻击时是没有防护能力的,灾备在很多企业中都被视作是简单的一个数据备份,而根本没有考虑到在攻击者入侵后,是对所有的数据同时进行破坏,这种备份实际上不仅没有效果,而且没有任何意义。一旦企业的数据被加密后,赎金完全是攻击者说了算,因为企业根本没有讨价还价的余地,而一旦核心数据蒙受巨大损失,让企业一夜之间倒闭并非不可想象。因此企业的灾备观念以及相关建设必须要有一个大的改变,这样才能保护好自己的核心数据。


施勇的话引起了我们的思考,的确,在当前各种内外部因素驱动下,企业管理者的安全意识已经明显提高,但也应注意到,大家普遍重视在于如何做好事前防御,而在事后防御方面却并未给予足够的投入甚至关注。

灾备并非是简单地备份与恢复

就以灾备而言,严格的灾备定义又是灾难备份与恢复(disaster backup and recovery)的合意,即灾难前的备份,以及灾难后的恢复。在具体层面上,则指的是利用技术、管理手段以及相关资源确保关键数据、关键数据处理系统和关键业务在灾难发生后可以尽可能多且快速地恢复的过程。

其中灾难前的备份指的是:不仅仅做到数据信息的备份和日志,更重要的还包括信息系统构建过程中容灾体系结构的设计、提前制定的灾难应急预案与恢复计划等。

灾难后的恢复指的是:应急服务系统或者备份系统的业务接管、数据/系统/服务迁移过程中的安全管理、系统灾难损失评估等。

灾备的目的其实非常明确——确保关键业务持续运行以及减少非计划宕机时间。

通过上述定义可以看出,灾备绝不是简单的数据备份和恢复,所能带来也绝非只是数据恢复这么一个泛化的概念。而是需要一整套复杂的技术支撑以及专业的计划才能实现,可以保证企业在面对灾难或安全事件(如勒索软件攻击等)时,拥有高效的抵御能力,保障业务的持续运转。

事前防御和事后防御方面投入的不平衡

就在看雪安全开发者的峰会结束的当天,我们就同上海当地的一家专注于数据保护领域的厂商——CloudWonder嘉云取得联系,并就这一话题进行了简短的沟通。


在沟通中,嘉云的联合创始人任嘉曦表示,除了对灾备的认知存在问题之外,企业忽视灾备建设的原因其实还有很多,比如成本原因等等,但关键之处还是企业管理者在安全建设的理念上仍存有一些固有的惯性思维——事前防御的重要性远远高于包括灾备建设等在内的事后防御。

以勒索软件攻击为例,毫无疑问,这是当前几乎所有企业都会面临的一个巨大威胁,也是业界的普遍共识,大多数企业的管理者并未意识到在遭遇勒索软件攻击之后,灾备机制其实是可以帮助他们实现快速恢复业务的正常运转,在面对攻击者的勒索要求时也会更有底气,这一点无论是施勇博士在论坛中的发言还是嘉云的任嘉曦在接受安全419采访时所表达的内容都得到了肯定的答案。

任嘉曦表示,当前面对网络安全威胁更多是构筑事前安全,对事后的恢复能力投入相对较少,可以说两者是严重失衡状态。其中事前安全是不做不行,因为这种安全是直接的,表面就能看到的问题,而事后的问题是看不到的,这就导致很多人认为不值得,是被放弃的。

针对这一话题,安全419随后又采访了一位中等规模互联网企业的IT部门负责人,对方所给的答案也的确验证了前述观点。对方在接受采访时表示,他们目前主要还是以传统的数据备份为主,之所以未能选择制定灾备计划及选择相关解决方案,主要有两方面的原因:

一方面是对灾备有效性的怀疑。“我们的确也了解灾备所带来的好处,以目前的技术条件和环境,做好灾备建设其实并非难事,但到底如何确保其有效性呢?在遇到问题时它是否真的可以起到预期的作用呢?以我们建设需求方来看,这是一件难以评估的事情。”

另一方面,则是成本付出的代价偏高。“对于我们这种发展中的企业而言,拨给安全上的预算本就不多,而灾备建设的成本又明显偏高,比如以基于类似两地三中心这种概念的灾备更是我们连想都不敢想的,这会令基础投入翻倍增长。”

对方表示,这两方面的原因叠加在一起,必然会导致灾备建设方案即便提交上去,也很难获得通过并最终实施。相比那些可以通过态势感知就可以实时查看到整体安全状况的事前防御型安全产品,灾备这种事后防御产品毫无疑问并不占优势。

从常情上看,这一问题的出现并不难理解,事前防御是目前安全建设的主要方式,同时,相比事后防御,它拥有着“看得见”的优势,而灾备这种事后防御,就像是我们每年都会买的车险一样,只有在事故发生的时候,它才会“看得见”,而在大多数情况下,它都是“看不见”的状态,在这样的条件下,无论是合规驱动还是内在驱动的安全建设,在管理者看来自然都会优先考虑“看得见”的事前防御,而且普遍认为只要事前防御做得足够好,就能够抵御住大量的攻击,如此一来便无需那些事后防御措施,更何况还是“看不见”的灾备。

归根到底,这其实还是可以归结于灾备的“看不见”特性。对方也坦诚,由于无法清晰的解释这一问题,导致灾备建设的计划即便提出,也往往会被否决。

“我们认为,事前的防御一定是重要的,它就像是一个系统的大门,不能是任意一个人就可以随意进出的。但事后的能力也要建立,因为没有100%安全的系统,一旦被破坏你能接受这个代价吗?”任嘉曦说道。

的确,在安全建设上,事前防御和事后防御同样重要,厚此薄彼并不能让安全形成一个有效的闭环。

通过施勇博士的发言和对CloudWonder嘉云的任嘉曦的简单采访,我们已经不难看出当前企业在安全建设中欠缺平衡的现实。

近几年来,相当多的厂商都发出类似于网络安全要从“事后补救”的方式转向“事前防控”,这个说法的确非常合理,但从整体的安全建设考量,也只是说明了其中的一部分,因为安全建设本身要平衡,无论是横向还是纵向,都应有合理的布局和投入,厚此薄彼对安全而言绝不是最佳选择。

没有勒索攻击事件发生时看似无关紧要,但真到了重金打造的防线被攻破的那一刻,不要后悔当初没有给自己留下退路。