瑞数信息马蔚彦: “防”“反”并重,告别亡羊补牢式反勒索

科技   2024-11-15 10:54   北京  

Sophos的 “2024 年勒索软件状况”调查报告显示,2024 年勒索软件攻击要求的平均赎金已飙升至约 273 万美元,比上一年增加了近 100 万美元。另据ENISA  2024 年威胁态势报告,勒索软件占网络安全事件的很大一部分,已报告事件超过 1.1 万起。更大的目标、更多的赎金、更复杂的攻击手段,勒索攻击威胁日益严峻复杂。然而,勒索攻击防不甚防。企业在构筑网络安全城堡的同时,恐怕还要改变原有的防护思维。那么,企业究竟该如何在这片波涛汹涌的网络海洋中筑牢防线,抵御勒索软件攻击的惊涛骇浪呢?


本期《牛人访谈》邀请到瑞数信息CTO马蔚彦,围绕我国勒索攻击的现状、面临的挑战,以及如何构建新一代反勒索防御体系进行了深入的讨论,期望能够帮助企业更好地应对愈演愈烈的勒索攻击安全威胁。

 

马蔚彦  瑞数信息 CTO

负责管理瑞数信息公司技术支持团队,规划并制定公司产品技术发展策略和公司经营战略。马蔚彦女士在信息安全技术领域有着超过20年的丰富经验,是最早从事信息安全领域技术开发及管理的专家之一,主导并负责国内多个大型企业的信息安全架构设计、规划及解决方案的顾问咨询工作,参与设计、开发了若干国家重大IT工程项目,广泛涉猎运营商、能源、金融、政府等行业。


01


安全牛

当前,勒索攻击威胁日益复杂,特别是勒索即服务的出现大大降低了勒索软件的使用门槛。在您看来,现在勒索软件攻击呈现什么样的新特点?

 

马蔚彦

现在勒索攻击呈现出一些新特征,具体表现在以下几点:


勒索攻击日益呈现出定制化的趋势。攻击者的目标直指资金雄厚、防御手段完备的大型企业。攻击者为达成目的,无所不用其极,致使企业原有的防御措施失效。这种定制化攻击使得传统的查杀工具难以奏效,就像早期的新冠病毒一般,没有有效的应对手段,只能通过及时检测、阻断传播路径来降低损失。


攻击手段更加多样化。除传统的邮件感染终端等方式外,勒索攻击的供给路径愈发多样。外部服务器、API 等都可能成为新的攻击入口,企业边界防御和端点安全面临严峻挑战。此外,社会工程学手段也被广泛应用。攻击者通过策反内部人员或外包厂商,提供定制勒索病毒让内部人员带入企业内部传播,由外围的专业黑客团队负责其他技术工作。以前我们认为勒索攻击主要是外部入侵,但对大型企业来说,现在更需要防范内部人员被策反。


攻击深度不断逼近核心数据。以前攻击范围多在企业边界,而现在在众多案例中发现,攻击深度已逼近核心数据区域。企业核心数据遭受加密或窃取的风险不断增加,不仅对企业业务连续性造成严重影响,还可能因数据泄露导致企业声誉受损、经济利益遭受巨大损失。大型企业在面对此类攻击时,即便拥有丰富的资源和技术储备,也往往陷入困境。这也解释了为什么一些大企业遭受攻击后会很快支付赎金。

 

02


安全牛

这对企业的安全防护带来了哪些挑战? 您认为企业在勒索防护方面还存在哪些误区?


马蔚彦

勒索攻击的变化就像现代战争的变化:以前是从边界不断进攻,现在更像特种部队直接空降到核心区域。

这就要求企业必须改变传统的边界防护思维。


我们过去的防护主要集中在边界,如端点、网络层、互联网出口等,目的是减少暴露面、提高边界防护能力。但是针对勒索攻击,如果我们仍然主要还是从外部攻击角度来防护是不够的,需要强化围绕核心数据的防护体系建设,但企业针对核心数据的防护普遍缺失。


因此,企业要建立新的防护体系,新的防护体系要同时考虑边界防护和内部核心区域的防护。


目前,多数企业在遭受勒索攻击后才开始重视安全防护,采取亡羊补牢式的措施,但往往局限于单一攻击路径的加固,缺乏整体规划。所以说,虽然现在部分企业已开始关注数据安全,但在实际操作中,仍面临诸多问题。这些问题主要包括以下几点:


责任划分不清:很多企业缺乏针对勒索攻击的跨部门协作机制。传统的网络安全主要关注网络层面,而勒索攻击本质是数据安全问题,而数据的安全防护往往不在安全部门职责范围内,系统部门认为这是安全事件也不会考虑,由此形成了一个管理空白。此外,在攻击发生后,还需要有公关、合规等更多的部门加入才能更好地应对。


观念意识滞后:许多企业仍将勒索攻击视为单纯的外部攻击,忽视内部威胁。同时,企业往往缺乏底线思维,未制定有效的应对预案,一旦攻击发生,只能手足无措,坐以待毙。因此要从“防勒索”的观念转向“反勒索”。


缺乏反制措施:多数企业在勒索软件防护体系建设中重防御而轻反制,因此在系统被加密、业务停摆、数据被盗时,往往束手无策,似乎除了支付赎金别无选择。即便采用常规手段恢复系统,耗时也往往超出企业承受范围。


低估威胁风险:部分企业未意识到自身面临的勒索风险,对威胁情报感知不足,甚至在攻击发生后仍浑然不知,导致无法及时采取措施,损失扩大。

 

03


安全牛

那么针对这些误区,企业在制定勒索软件防护规划时,要重点考虑哪些因素,避开这些误区? 


马蔚彦


我们长期在服务企业用户的过程中,已经与用户达成了一个共识,那就是“没有绝对的安全”,单纯靠防勒索是无法真正意义上避免勒索攻击的,要考虑在攻击没有被拦下的时候,直面勒索攻击者时能不能击退它。


因此,瑞数信息强调勒索防护应秉持 “防”与“反”相结合的理念;"防"就是提高门槛,包括端点防护、API安全等;"反"是指建立有效的反制能力,如构建勒索事件管理体系、备份恢复、快速检测等。


我们建议用户在加强基础防护能力的同时,优先构建反制能力,如勒索事件管理体系、系统备份、恢复能力、威胁检测等,在预算允许的情况下,进一步提升防护能力,形成完整的防护闭环,确保在遭受勒索攻击时能够守住底线,减少损失。


我们有客户做了一个很好的总结,那就是针对勒索攻击需要"守住底线、推进防线"。也就是说,通过及时发现攻击、精准定位受损数据、快速恢复系统,保证业务系统正常运行,或者在可接受的时间内恢复。在此基础上,再把防护能力往前推进。


所以说,企业在制定勒索软件防护规划时,不但要考虑技术,还要关注流程、制度、培训、演练等方面。在当前情况下,我们建议企业重点做好以下四点:


明确部门职责分工清晰界定安全部门与系统部门在勒索攻击防护中的职责,加强跨部门协作,形成有效的应急响应机制,确保在攻击发生时能够迅速协同应对。我们有个客户是某省电力公司,他们将勒索事件纳入业务连续性管理,实现跨部门协作。安全部门负责事件发现与数据检测,提供恢复建议;系统部门根据建议进行针对性恢复;公关部门负责对外公告。


构建全面防护体系:企业应建立涵盖边界防护、内部核心防护的多层次防护体系,加强对各类攻击路径的监控与防御,提高系统的安全性和稳定性。


强化反制能力建设:制定反制策略,建立数据备份与恢复机制,提升系统在遭受攻击后的快速恢复能力,确保业务连续性,同时降低对赎金的依赖。


加强员工安全意识培训:定期组织安全培训和演练,提高员工对勒索攻击的认识和防范意识,减少因人为因素导致的安全漏洞。


为了帮助用户更好地应对勒索攻击,我们不断升级、优化瑞数反勒索解决方案,以 API 应用数据全景安全体系补足了应用勒索防护的新途径;以动态安全防护收敛资产风险暴露面的同时,建立对各类应用接入渠道的风险主动防御。以数据安全检测与响应系统,建立和完善针对数据的事前体检、事中检测、事后快速恢复的完整数据保护链条和攻防演练体系。

 

04


安全牛

勒索软件防护方案是企业做好防护的重要抓手。那么企业选择评估勒索软件防护方案时,要重点考核哪些指标?


马蔚彦

每个厂商勒索攻击防护解决方案各不相同,传统防勒索解决方案大多从勒索软件特征识别、恶意代码识别和攻击行为分析角度实现防护;或是从传统备份恢复角度进行数据保护。


企业选择评估勒索软件防护方案时,检测率、误报率、响应时间、可扩展性这几个指标都非常重要:


1.检测率。作为反勒索攻击的最后一道防线,检测率至关重要。我们需要应对所有类型的勒索攻击,理论上要覆盖到100%的勒索软件,确保及时发现勒索加密行为,避免数据损失扩大。软件要有针对各种复杂攻击手法的检测能力,包括低频慢速加密、跳跃式加密等高级、隐秘的攻击手段。其中,低频慢速加密中,攻击者可能对100万个文件每天只加密100个。这种悄悄污染生产数据和备份数据的方式很难被检测到。


2. 误报率。误报率直接影响运维效率和企业对防护系统的信心。在日常运营中,应确保防护系统准确判断攻击行为,避免因误报导致资源浪费和不必要的干扰。因为勒索攻击不是每天都发生,过多误报会影响运维团队的信心。


3. 检测速度。面对海量数据和快速演变的攻击手段,防护系统需具备快速响应能力,及时检测数据变化,缩短从发现攻击到采取措施的时间间隔,降低攻击造成的损害。


4.可拓展性。随着企业数据量的不断增长和业务环境的变化,防护系统应具备良好的可扩展性,能够适应不同规模企业的需求,灵活应对未来可能出现的新挑战。


瑞数应用数据反勒索解决方案从补足现有防勒索方案的角度出发,覆盖现有防护手段的盲点,通过“防“”反” 相结合的思路,以底线思维的态度,助力客户建立更具网络韧性的勒索防护体系。


05


安全牛

恶意软件的快速演变是勒索软件检测和防护面临的一大挑战。您认为该如何应对?

马蔚彦


勒索软件的快速演变确实是一个长期的挑战。我们主要从跟踪加密手法变化和优化检测技术来应对这一挑战:


一方面,密切关注勒索组织加密手法的变化。我们通过多种渠道获取相关信息,如外网公开分析、勒索加密样本研究等,及时掌握攻击手段的动态;


另一方面,持续改进检测算法,适应加密手法的变化,确保检测的准确性和有效性。现在,我们已经不再依赖病毒特征库进行检测,而是基于数据本身特征,通过分析数据混乱度等方式,判断是否被勒索加密。


比如说今年9月,某银行伦敦分行被Hunters International勒索组织攻击后,我们第二天就获取了样本并验证检测能力。


06


安全牛

您怎么看接下来的勒索软件防护市场?

 

马蔚彦

随着勒索攻击威胁的不断增加,企业对勒索软件防护的需求日益迫切,市场空间广阔。然而,当前市场仍处于发展阶段,需要加强市场培育,提高企业对勒索攻击的认识和重视程度,推动防护产品和解决方案的广泛应用。


未来的防护体系需要更全面、更智能,能够适应各种复杂的攻击场景。为此,瑞数信息将重点做好两项工作:


1. 强化环境适配扩展,包括支持公有云环境,对接各类数据库系统并将检测能力集成到数据库安全功能中,适配不同存储系统。


2.进一步提升检测能力,旨在更好地检测长期、低频的数据窃取行为,提高检测精准度,使用AI技术等技术提升自动化检测和响应能力。


07


安全牛

AI对勒索检测防护带来了哪些影响?应该如何应对?

 

马蔚彦

AI 的发展使勒索攻击更加频繁、多样化且难以检测。病毒生成变得更加容易,攻击手法迭代加速,黑客可利用 AI 定制个性化攻击策略,通过搜索企业信息实现精准打击,同时采用更隐蔽的攻击方式,如慢速低调加密,以躲避检测。


我们认为,我们应该充分利用AI来提升对勒索软件攻击的防护能力:


一是以 AI 对抗 AI:在防护端建立针对企业环境的AI模型,实现更精确、局部化和针对性的检测与反制,有效应对黑客的 AI 技术攻击。


二是提升自适应与自我进化能力:企业 AI 应具备自适应环境变化的能力,及时发现并应对新的攻击形式,减少对安全厂商更新的依赖,提高响应时效。


三是自动化响应与恢复:利用 AI 实现自动化的分析、响应和恢复流程,包括备份数据验证、系统恢复和取证等环节,确保系统在遭受攻击时能够快速恢复运营,降低损失。

 

编者的话

面对愈演愈烈的勒索软件威胁,企业安全防护已经到了必须转型升级的关键时刻。正如马蔚彦所言,传统的被动防御思维已经难以应对当前的安全态势,企业需要建立"防反并重"的新型防护体系。在AI技术推动攻防手段快速进化的背景下,企业只有主动拥抱变革,构建从边界到核心、从预防到恢复的全方位防护体系,才能在这场没有硝烟的数字战争中立于不败之地。

相关阅读

观成科技刘晨曦:攻防对抗下加密流量检测的实战之道

长扬科技李飞:破解工业安全靶场“建而不用“谜局

安帝科技周磊:CrowdStrike“蓝屏宕机”教训深刻,做好OT终端设备安全防护应坚持“可装、可用、可管”原则

美创科技周杰:数据安全进入体系化建设阶段,数据安全管理平台应用正当时



合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com



安全牛
发现、挖掘与推荐、传播优秀的安全技术、产品,提升安全领域在全行业的价值,了解机构与企业的安全需求,一家真正懂安全的专业咨询机构,我们是安全牛!
 最新文章