當(dāng)?shù)貢r間5月9日,美國政府宣布美國17個州和華盛頓特區(qū)采取緊急措施,原因是當(dāng)?shù)刈畲笕加凸艿肋\(yùn)營商Colonial Pipeline遭網(wǎng)絡(luò)攻擊下線。美聯(lián)社報道,這是美國關(guān)鍵基礎(chǔ)設(shè)施迄今遭遇的最嚴(yán)重網(wǎng)絡(luò)攻擊。
該公司在一份聲明中表示:“作為應(yīng)對,我們主動切斷某些系統(tǒng)的網(wǎng)絡(luò)連接以遏制威脅,這使得所有的管道運(yùn)輸臨時暫停,也影響了我們的一些IT系統(tǒng)。”
圖自Colonial PipeLine
白宮發(fā)言人稱,拜登總統(tǒng)在上周六早上被通報此事,聯(lián)邦政府正在積極評估影響,避免供應(yīng)中斷,幫助科洛尼爾公司恢復(fù)運(yùn)營。美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局表示,這次事件凸顯了勒索病毒對組織的威脅。
奇安信集團(tuán)董事長齊向東表示,美國多州因網(wǎng)絡(luò)攻擊宣布進(jìn)入緊急狀態(tài),再次說明網(wǎng)絡(luò)安全不是加強(qiáng)某個環(huán)節(jié)就能解決的,需要提升整體的防護(hù)水平,建立完整的網(wǎng)絡(luò)安全體系。
猖狂的DarkSide組織,嚴(yán)峻的勒索攻擊形勢
根據(jù)多方外媒報道,據(jù)知情人士透露,該攻擊由DarkSide勒索團(tuán)伙發(fā)起,該組織在周四僅兩個小時的時間內(nèi)就從位于佐治亞州阿爾法利塔的Colonial公司網(wǎng)絡(luò)中竊取了近100 GB的數(shù)據(jù)。
如此猖狂的DarkSide團(tuán)伙到底是何許人?據(jù)奇安信對DarkSide團(tuán)伙的長期跟蹤發(fā)現(xiàn),該團(tuán)伙是一個母語為俄語的網(wǎng)絡(luò)犯罪團(tuán)伙,會使用掃描工具來尋找目標(biāo)網(wǎng)絡(luò)中的漏洞(通常是已知漏洞),從而獲取初始訪問權(quán)限。
當(dāng)獲取到文件服務(wù)器的權(quán)限后,該組織會將目標(biāo)的數(shù)據(jù)進(jìn)行手動上傳,隨后加密目標(biāo)公司的文件,并將部分信息上傳至其暗網(wǎng)博客,并聲稱若不交付贖金,就公布目標(biāo)公司的敏感數(shù)據(jù)。
圖自BBC
另外,該組織使用的勒索軟件除了會進(jìn)行常規(guī)的加密文件的操作外,還會連接并發(fā)送受害者信息到攻擊者的命令控制服務(wù)器(C2),這可能是攻擊者記錄受害者具體信息的一種方法,方便在日后作為入侵證據(jù)。
值得關(guān)注的是,DarkSide組織在2021年1月份一筆勒索病毒的交易中便獲45個比特幣,約合人民幣1700多萬元。對此,奇安信反病毒專家判斷,面對如此巨額的收益,未來針對組織的定向勒索攻擊會愈加猖狂,針對的目標(biāo)公司體量也會愈來愈大。
又是勒索攻擊 是時候給基礎(chǔ)架構(gòu)安全補(bǔ)課了
時至今日,大家對于勒索攻擊早已不感到陌生。根據(jù)Group-IB研究人員的報告,僅在過去一年,全球勒索攻擊次數(shù)就增長150%以上,能源行業(yè)因此也遭受了較大打擊。比如美國某天然氣運(yùn)營商遭到勒索攻擊,被迫關(guān)閉2天,并被國土安全部通報;歐洲能源巨頭Enel Group年內(nèi)兩次遭遇不同勒索攻擊,多達(dá)5TB數(shù)據(jù)被竊取,威脅索要1400萬美元贖金;臺灣最大兩家煉油廠遭到勒索攻擊,波及整個供應(yīng)鏈,甚至加油站的IT系統(tǒng)也無法使用。
美國安全機(jī)構(gòu)預(yù)測,2021年預(yù)計每11秒將發(fā)生一次勒索攻擊,全年超過300萬次。今年3月,電腦巨頭宏碁遭到勒索攻擊,黑客開出了迄今為止最高數(shù)額的贖金,約合人民幣3.25億元。勒索病毒已經(jīng)成為全球范圍各大企業(yè)揮之不去的夢魘。
有趣的是,研究表明,軟件漏洞,尤其是高齡漏洞和Windows遠(yuǎn)程訪問工具漏洞,是勒索病毒滲透企業(yè)防御體系的重要突破口。從宏碁遭到的REvil勒索攻擊,到震驚業(yè)界的永恒之藍(lán)(WannaCry)病毒事件,都是因為舊漏洞未及時修補(bǔ),讓勒索病毒輕松攻破和肆意傳播。
“抵御勒索病毒是檢驗企業(yè)安全運(yùn)行健康度的重要標(biāo)尺。拿本次勒索攻擊來說,天擎3月8號以后的病毒庫可以查DarkSide相關(guān)樣本,4月27號以后的天擎庫可以全部檢測。”奇安信系統(tǒng)安全專家表示。“勒索病毒不像高級APT那樣長期隱蔽且難于防御,只要基礎(chǔ)安全架構(gòu)、即系統(tǒng)安全工作保障到位,實戰(zhàn)化安全運(yùn)行開展起來,勒索病毒就很難有可乘之機(jī)。”
做好系統(tǒng)安全 讓勒索病毒“無機(jī)可乘”
奇安信威脅情報中心提供了本次勒索攻擊的解決方案,建議用戶需要及時做好漏洞修復(fù)、采用高強(qiáng)度密碼、定期備份重要資料、關(guān)閉不必要的網(wǎng)絡(luò)端口和不必要的文件共享、訪問權(quán)限控制、安裝專業(yè)殺毒軟件并及時更新等基礎(chǔ)工作,就能防范絕大多數(shù)的勒索攻擊。
就本次攻擊事件而言,早在3月8日,奇安信就已經(jīng)捕獲了DarkSide團(tuán)伙勒索病毒樣本,同時更新了天擎終端安全管理系統(tǒng)的病毒庫,天擎用戶只需更新病毒庫至最新版本,即可查殺該組織所有已知勒索病毒。
不難發(fā)現(xiàn),這些措施基本都屬于基礎(chǔ)安全架構(gòu)層面的系統(tǒng)安全問題。換句話說,只要做好系統(tǒng)安全,勒索病毒就會無機(jī)可乘。然而,為什么勒索病毒近年來仍然泛濫成災(zāi)、愈演愈烈呢?奇安信安全專家認(rèn)為,在過去的幾年時間里,安全人員將注意力過多的集中在檢測和防御上,往往忽略了最基礎(chǔ)的安全工作。近年來全球很多攻擊案例證明,如果系統(tǒng)安全沒打好基礎(chǔ),那么后面的縱深防御、積極防御都是不牢靠的。
奇安信認(rèn)為,資產(chǎn)、配置、漏洞、補(bǔ)丁是安全工作的基礎(chǔ),但卻是各大機(jī)構(gòu)的安全體系的最短板。本工程建設(shè)以數(shù)據(jù)驅(qū)動的系統(tǒng)安全運(yùn)行體系,聚合IT資產(chǎn)、配置、漏洞、補(bǔ)丁等數(shù)據(jù),提高漏洞修復(fù)的確定性,實現(xiàn)及時、準(zhǔn)確、可持續(xù)的系統(tǒng)安全保護(hù),夯實業(yè)務(wù)系統(tǒng)安全基礎(chǔ),保障IT及業(yè)務(wù)有序運(yùn)行。
抵御勒索攻擊不能一勞永逸 系統(tǒng)安全亟需常態(tài)化
“面對愈加強(qiáng)大的定向勒索攻擊者,我們對網(wǎng)絡(luò)安全防御需要提升整體的防護(hù)水平,要以面對APT組織攻擊的策略進(jìn)行防御體系建設(shè),才能夠抵御目前網(wǎng)絡(luò)攻擊技術(shù)水平愈加高強(qiáng)的定向針對性勒索攻擊。” 奇安信基于本次勒索事件如此研判。
此次事件中,CISA的官員建議:“我們鼓勵每一個機(jī)構(gòu)都采取行動去加強(qiáng)‘網(wǎng)絡(luò)安全的防御姿態(tài)(Cybersecurity Posture)’,以減小對各類威脅的暴露面。” 這里面提到的“防御姿態(tài) - Posture” 是非常值得關(guān)注的,這也是“安全左移”的關(guān)鍵點。就像空戰(zhàn)中,戰(zhàn)機(jī)需要保持優(yōu)勢的戰(zhàn)斗姿態(tài),占據(jù)有利位置,是贏得戰(zhàn)斗的基礎(chǔ)。這個我們通常說的安全態(tài)勢(Security Situation Awareness)還是有差異的。而在網(wǎng)絡(luò)安全領(lǐng)域,基礎(chǔ)結(jié)構(gòu)安全的Posture,主要就是解決“資產(chǎn)-漏洞-配置-補(bǔ)丁”問題的系統(tǒng)安全;縱深防御的Posture,是防護(hù)策略有效性,以構(gòu)成堅實的防御“陣地”;積極防御的Posture,是威脅發(fā)現(xiàn)能力和處置及時性有效。這次事件中,系統(tǒng)安全就是面對勒索攻擊,收縮暴露面的重要舉措。只有整體的網(wǎng)絡(luò)安全防御體系中,各個構(gòu)成系統(tǒng)與環(huán)節(jié)的“防御姿態(tài) - Posture”都能通過體系化建設(shè)與實戰(zhàn)化運(yùn)行得以保障,整體的防御效果,才能實現(xiàn)。
系統(tǒng)安全是做好基礎(chǔ)結(jié)構(gòu)安全的基石,實戰(zhàn)化運(yùn)行實現(xiàn)體系化、常態(tài)化運(yùn)營的核心方法。要建好基石,首先要盤清資產(chǎn),在此基礎(chǔ)上,實現(xiàn)對資產(chǎn)的全面納管;其次,通過資產(chǎn)納管,進(jìn)而真正實現(xiàn)對資產(chǎn)安全的全程掌控,包括了從發(fā)現(xiàn)資產(chǎn),到使用資產(chǎn),以及資產(chǎn)變更等各種場景,以及在這些狀態(tài)下的風(fēng)險全面掌控。第三,掌控風(fēng)險是為了驅(qū)動處置工作,包括系統(tǒng)加固、漏洞修復(fù),以及其他各種手段,提升整個信息化系統(tǒng)的基礎(chǔ)架構(gòu)安全性,形成真正的內(nèi)生安全。最后,通過盤點資產(chǎn)、納管資產(chǎn)、掌控風(fēng)險、數(shù)據(jù)驅(qū)動、安全運(yùn)行等層層遞進(jìn)的工作,幫助客戶在數(shù)字化運(yùn)營時,建立時刻保持最佳安全狀況的信息化底座。
“掌握自身的網(wǎng)絡(luò)安全姿態(tài)是支撐實戰(zhàn)化安全運(yùn)行的基本能力。首先,安全要發(fā)揮價值在于實戰(zhàn)化運(yùn)行,也就是要真正用起來。而安全運(yùn)行起來后,所有的安全事件和問題的處置最終都會歸結(jié)到資產(chǎn)、配置、漏洞、補(bǔ)丁上來。同時,抽象的漏洞威脅情報與應(yīng)對措施,需要和具體資產(chǎn)實現(xiàn)掛鉤,進(jìn)而全生命周期(資產(chǎn)生命周期和漏洞生命周期)跟蹤,驅(qū)動支撐安全運(yùn)營融入到IT大運(yùn)維中,為信息化保駕護(hù)航。”奇安信安全專家談到。
面對巨大的利益誘惑,居高不下的成功率,勒索攻擊永遠(yuǎn)不可能休止,安全防護(hù)不能一勞永逸。只有重視以網(wǎng)絡(luò)資產(chǎn)為核心的系統(tǒng)安全建設(shè),筑牢實戰(zhàn)化安全運(yùn)行的基石,才能避免重蹈勒索病毒造成重大損失的覆轍。
