勒索攻击事件仍然高发 企业如何改善安全策略?

作为IT行业中最为普遍,也最具破坏性的威胁之一,勒索软件往往以网络钓鱼、漏洞攻击的方式向目标电脑植入病毒程序,通过加密或破坏磁盘上的文件甚至所有数据的方式进行攻击,随后以解密密钥为筹码向目标政府、企业或个人要求数额不等的赎金,并一跃成为近年来数量增加最快的网络安全威胁之一。

虽然大众近几年来对勒索软件的关注度有所下降,但这并不意味着勒索攻击的数量在变少,事实上,根据Akamai的相关数据显示,与2022年第一季度和2023年第一季度相比,过去六个月中零日和单日漏洞的猖獗滥用导致受害者数量增加了143%。这是个相当恐怖的数字,那么在2023年,勒索软件有着什么样的变化?企业又应该如何改善自身的安全策略呢?不久前Akamai北亚区技术总监刘烨接受了中关村在线的采访,并对上述问题做出了解答。

Akamai北亚区技术总监刘烨

三大业务,五大关键安全基础助力企业应对安全问题

今年适逢Akamai成立25周年,在这25年的时间里,Akamai对于自身的定位也有着微妙的变化,在成立之初的第一个十年里,Akamai的业务都在围绕CDN进行,但在第二个十年里,Akamai则把非常多的精力投入到了“安全解决方案”里,目前来看,Akamai在2022年全部的营收里,有43%都是来自安全业务,这也标志着“安全”成为了Akamai营收里非常重要的一个部分。从去年开始,Akamai则开始了“云计算”的征程,并希望在未来能够在边缘和数据中心为企业提供公有云的解决方案。

不难看出,到现在安全解决方案已经成为了Akamai整体业务中相当重要的一部分,而在这些年里,Akamai围绕安全所做的技术创新也有很多,在2010年之前,Akamai就推出了自研的WAF和DDoS防护解决方案,用以帮助用户阻断互联网DDoS攻击;而为了保证客户的架构安全,Akamai则在2014年收购了Prolexic来帮助客户进行流量清洗;最近两年,Akamai又分别收购了Guardicore和Neosec,来为客户提供网络微分段和API行为分析的解决方案。

事实上,解决方案只是Akamai安全服务中的一部分,在多年的发展历程中,Akamai围绕安全服务构建了五大关键基础,用来帮助客户应对越来越频发的网络安全威胁。

第一个是全球平台。Akamai具备非常完善的平台,并在过去25年的时间里不断保证自己平台的健壮性、安全性和稳定性。

第二个是安全解决方案。Akamai通过不断改善自己的安全产品,通过不同的解决方案助力客户应对不同的安全问题。

第三个是安全情报。在平台上收集的数据在经过分析之后,可以很大程度上对安全趋势做出预测,通过这些趋势,可以帮助客户了解在哪些方面着重发力,以解决安全隐患。

第四个是安全服务。安全服务主要是根据客户的要求提供定制化的服务,为客户提供定制化的策略来发现安全隐患。通过Akamai的安全服务,客户也可以进一步完善自身的安全架构。

最后一个则是支持与教育。Akamai会为客户提供很多的培训和综合知识,让客户在进一步了解Akamai解决方案的同时,明白市场上流行的可能产生安全隐患的恶意软件的运作方式以及防护方法。

“安全情报是非常重要的一部分,通过Akamai平台上每天承载的多大750TB的攻击数据和日志,我们可以更加清晰地洞察到勒索软件在互联网上是如何传播的,趋势如何,哪些行业的客户更容易被影响,以及这些客户的画像是什么。对客户来说,他们有很大的一个问题是在处理安全问题的时候,只能被动防守而不能主动出击,通过分析这些数据,客户自然能去优化和强健自身的架构,从而更好地进行应对。”刘烨表示。

勒索攻击形式依然严峻,企业如何重点防护?

实际上,从Akamai平台所收集到的数据来看,勒索攻击的形式也确实不容乐观,与Web应用攻击、DDoS攻击一起呈现出了上升的趋势。作为网络攻击届的“新秀”,勒索攻击通常是伴随系统漏洞或者钓鱼邮件/软件出现的,在使用者中招后,攻击者会通过横向移动的方式登陆到重要服务器,然后将数据拷贝到攻击者的存储里去,并对原有的数据进行加密,最后通过勒索邮件的方式索要赎金,后来随着时间的推移,攻击者出了使用传统方法拷贝加密数据之外,也会使用DDoS攻击来威胁企业和组织。

从Akamai的相关数据中可以看到,与前两年相比,被勒索的受害者数量是有非常显著的提升的。从行业上看,在过去一年里,制造行业的受害者增长人数达到了42%;从企业规模上看,有多达65%的受害者都来自于中小企业;从地区分布上看,亚太地区的勒索受害者增长率非常之高,达到了204%;从勒索行为上看,那些被勒索过的企业,无论有没有交赎金,再次被勒索的概率是没有被勒索过的企业的6倍。

显而易见的是,勒索攻击在今年依然在持续瞄准关键行业,刘烨也对制造行业为何成为勒索攻击受害者最多的行业进行了解答。

首先,制造行业里有很多系统和服务的软件更新,以及工业设备的支持,相对老旧和没有被更新的系统会更容易成为攻击的目标。

其次,由于制造行业中的图纸、数据以及知识产权方面的东西涉及到很多机密,一旦泄露对企业的影响会不可估量,为此付费的可能性也更大。

最后,在制造行业有大量的IoT设备接入,这些IoT设备连入互联网并且有自己的系统和应用,但其安全性却比较低,相当于变相增加了勒索攻击的攻击面。

那么对企业而言,应当如何完善自身的安全壁垒呢?刘烨总结了五个建议。

第一,全面了解自身攻击面。所谓攻击面,实际上就是指在企业的应用系统或者网络系统里,可能被攻击的系统有哪些,资产有哪些,网络薄弱的地方在哪里。对部分客户而言,可能并没有意识到IoT设备是潜在的攻击面,因此,对企业来说,要明确IT资产里有哪些可能会成为攻击的目标或者成为攻击跳板。

第二,企业需要制定非常清楚的流程和行动手册。这一点同样适用于Web应用攻击和DDoS攻击,在攻击发生时,运维人员或者安全构建人员要应对非常多的事情,这种时候就需要按照手册或者流程去做的,从而避免不知道如何应对突发情况。

第三,监控出站流量,确定是否存在威胁指标(IOC)。很多漏洞如果被攻击者利用之后,实际上是具备一些典型特点的,很多安全咨询公司和安全服务商都会告诉企业如何从日志、IP里看自己是否被攻击过,这对企业来说是很重要的,从不同的系统查看这些入侵指标,可以明确自己的系统是不是被入侵过。

第四,确保法律团队随时关注立法动态。与其他网络安全事件不太相同的是,勒索攻击的最终目的是为了赎金,但企业在付赎金的时候,实际上需要明确法律上有什么样的要求,例如在美国的部分州就是不允许付赎金的,如果一个企业被勒索后付了赎金,实际上是不符合法律规定的。针对中国企业出海过程中可能遇到的勒索攻击威胁,Akamai给出的第一建议就是,一旦确定系统已经被攻陷并且已经收到勒索邮件,除了和技术团队交流之外,也要第一时间咨询法务团队,看看他们有没有什么建议。

第五,开展修补、培训、防护。这里的培训更多指的是全体员工的培训,在很多勒索攻击事件中,实际上往往是普通员工点击了钓鱼链接造成的,因此,员工需要意识到在所有需要输入密码或者点击外部链接的场景都是存在潜在风险的,提高员工的安全防护意识,从多个层面防止勒索软件攻击。

此外在文件备份层面,刘烨也给了一些建议,“数据备份、文件备份对企业而言仍然是需要执行的操作,但这不意味着做完数据备份后就可以躺平了,现在以LockBit为代表的勒索组织已经不满足于加密这个操作了,在利用完企业的漏洞之后,它还会将你的重要数据拷贝走,这时候备份的重要性就被极大削弱了,不过这也不是说企业就可以不进行数据备份了,只不过在数据备份以外,也要避免漏洞被利用和内部数据的流失。”

值得一提的是,Akamai有着一套完整的零信任的解决方案,涵盖了多个服务,例如AkamaiGuardicoreSegmentation网络微分段可以将网络划分成为不同的段,以确保在某一部分遭受攻击时,攻击者也无法进一步访问到内部的重要数据和系统;而Akamai Hunt则能帮助用户检测系统是否已经遭受入侵,是否存在某些勒索软件或安全隐患;此外也有Enterprise Application Access(Zero Trust远程访问)、Secure Internet AccessEnterprise(安全Web网关)、以及多因子认证(Multi Factor Authentication)等多项服务以确保企业的流量能够被有效监控和防范。

身处数字化转型时代,企业对业务的连续性要求变高,同时对数据丢失能忍受的限度越来越低,无论是外部或者内部对数据的侵害,都是企业发展的隐藏威胁,在愈发复杂的网络安全形势下,企业也需要时刻敲响警钟,对自己的安全策略进行升级,以避免来自勒索攻击等方面的风险。

新华三(H3C)F100-S-G5-EI 企业级防火墙 8*GE+2*SFP+2*SFP+ 万兆光VPN网络安全上网行为管理 带机700¥ 11975 京东 购买