國(guó)外運(yùn)營(yíng)商中招，支付系統(tǒng)癱瘓！國(guó)內(nèi)運(yùn)營(yíng)商能躲得過(guò)勒索病毒嗎？

厄瓜多爾國(guó)家電信公司CNT正在緩慢恢復(fù)服務(wù)。

7月22日開始，支付系統(tǒng)逐漸恢復(fù)，截至7月25日，用戶可在全國(guó)4萬(wàn)多個(gè)充值點(diǎn)支付賬單。被勒索病毒攻擊至今，已過(guò)了將近10天。攻擊者表示，他們從CNT竊取了超過(guò)190GB的文件，CNT的支付系統(tǒng)、客戶聯(lián)絡(luò)系統(tǒng)一度陷入癱瘓。

這是今年又一次大型基礎(chǔ)設(shè)施類企業(yè)被攻擊，此前5月，美國(guó)甚至因?yàn)槿珖?guó)最大的燃油管道公司被黑客勒索而宣布進(jìn)入緊急狀態(tài)。數(shù)據(jù)顯示，2021年上半年勒索病毒爆發(fā)量已超過(guò)去年總和，平均每11秒發(fā)生一次勒索攻擊，帶來(lái)的直接經(jīng)濟(jì)損失超過(guò)300億美元，是2015年的57倍。

“勒索攻擊正在APT（高級(jí)可持續(xù)威脅）化。”國(guó)內(nèi)知名白帽子、被稱為“TK教主”的騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸日前在接受包括《IT時(shí)報(bào)》在內(nèi)的媒體采訪時(shí)表示，人工入侵和勒索病毒相結(jié)合的定向攻擊將成為今后黑客攻擊的主流趨勢(shì)。

道高一尺，魔高一丈，不怕賊偷，就怕賊惦記。

無(wú)論是城市還是傳統(tǒng)大型企業(yè)，中國(guó)正掀起一陣“數(shù)字化轉(zhuǎn)型浪潮”，與之而來(lái)的風(fēng)險(xiǎn)是，可能成為國(guó)際黑客組織的目標(biāo)。

那么，中國(guó)電信運(yùn)營(yíng)商會(huì)成為下一個(gè)CNT嗎？

“信息化程度越高、對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)依賴程度越高、企業(yè)IT系統(tǒng)越復(fù)雜，被勒索的可能性越高。”騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松透露，全球勒索病毒已演進(jìn)至標(biāo)準(zhǔn)化和專業(yè)化，甚至有成套完整的代碼可參考，一旦被攻破防線，企業(yè)很難破解。

百分百防御成功的“安全墻”并不存在，做好防護(hù)和數(shù)據(jù)備份是應(yīng)有之義。

不久前，上海市經(jīng)濟(jì)和信息化委員會(huì)軟件和信息服務(wù)業(yè)處處長(zhǎng)裘薇曾在世界人工智能大會(huì)上透露，在今年發(fā)布的網(wǎng)絡(luò)安全“十四五”規(guī)劃以及即將發(fā)布的網(wǎng)絡(luò)安全產(chǎn)業(yè)的行動(dòng)計(jì)劃當(dāng)中，將進(jìn)一步明確政府和公共企事業(yè)單位在網(wǎng)絡(luò)安全上的投入比例不低于10%。

難被破解的勒索攻擊

“我們沒有遇到過(guò)。”一位國(guó)內(nèi)省級(jí)電信運(yùn)營(yíng)商安全負(fù)責(zé)人王淼（化名）告訴《IT時(shí)報(bào)》記者，至少在他所知范圍內(nèi)，國(guó)內(nèi)電信運(yùn)營(yíng)商并沒有被大規(guī)模襲擊的事件。這與國(guó)內(nèi)運(yùn)營(yíng)商在網(wǎng)絡(luò)安全防護(hù)、預(yù)防措施以及危機(jī)處理等方面管理相對(duì)嚴(yán)謹(jǐn)有關(guān)，卻也并不排除有企業(yè)擔(dān)心“家丑外揚(yáng)”而內(nèi)部自行處理的可能。

中國(guó)正成為勒索病毒的頭號(hào)重災(zāi)區(qū)。

“勒索攻擊已是常態(tài)。”僅去年一年，知名白帽子、網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍知曉的國(guó)內(nèi)攻擊案例便超過(guò)百例，受損最多的一家企業(yè)被勒索數(shù)百萬(wàn)元，大多數(shù)企業(yè)并沒有聲張，默默自行處理。

全球范圍內(nèi)，針對(duì)大型企業(yè)的定向APT攻擊正變得普遍。早期勒索病毒以自發(fā)性傳播為主要特征，攻擊者“廣泛撒網(wǎng)”，只看誰(shuí)自動(dòng)跳到“網(wǎng)”里，但近兩年來(lái)，定向的APT攻擊基本成為大型黑客組織的主要“生財(cái)之道”。

此次攻擊CNT的勒索軟件RansomEXX 臭名昭著，此前已有巴西政府網(wǎng)絡(luò)、美國(guó)得克薩斯州交通部(TxDOT)、柯尼卡美能達(dá)、IPG Photonics和Tyler Technologies等政府和企業(yè)“中招”。

翼盾智能和第五空間研究院創(chuàng)始人朱易翔分析，基礎(chǔ)設(shè)施類的企業(yè)通常對(duì)信息化依賴程度較高，支付能力強(qiáng)，而且受影響程度比較大，有動(dòng)力支付贖金，“能源、金融、電信運(yùn)營(yíng)商、交通公共事業(yè)以及政府相關(guān)部門，都會(huì)面臨勒索挑戰(zhàn)”。

一個(gè)悲觀的結(jié)論是，一旦被勒索病毒攻擊成功，“解鎖”是一件相當(dāng)困難的事，病毒的密鑰通常采用非對(duì)稱加密算法，很難靠暴力反向破解，只要算法和密鑰足夠復(fù)雜，破解密碼需要幾萬(wàn)年。

“一旦被攻擊成功，只要兩條路徑：第一，交贖金，第二，被加密的數(shù)據(jù)不要了，恢復(fù)備份。”王淼認(rèn)為，數(shù)據(jù)備份的恢復(fù)，是遭遇勒索后最有效的措施，但黑客也可能在竊取企業(yè)重要系統(tǒng)數(shù)據(jù)后，威脅泄漏企業(yè)敏感信息。

這個(gè)新風(fēng)險(xiǎn)在CNT案例中已經(jīng)顯露，黑客威脅，如果不繳納贖金，將公開CNT的用戶數(shù)據(jù)。在數(shù)據(jù)安全被進(jìn)一步重視的國(guó)內(nèi)，這是個(gè)新“雷區(qū)”。

“不能簡(jiǎn)單認(rèn)為把數(shù)據(jù)保護(hù)好了就完全不怕，攻擊者完全可以采取另一種模式的勒索對(duì)你進(jìn)行攻擊。”于旸表示。

關(guān)鍵在于“御敵于門外”

勒索病毒攻擊如同晚期癌癥，一旦發(fā)現(xiàn)，便很難控制癌細(xì)胞擴(kuò)散，因此，最有效的“抗癌”手段，便是防止“癌細(xì)胞”第一次進(jìn)入。

王淼列舉了勒索軟件攻擊電信運(yùn)營(yíng)商常見的三種模式：第一，利用系統(tǒng)通用漏洞進(jìn)行傳播攻擊，如果系統(tǒng)存在可以被命令執(zhí)行等的高危漏洞，則勒索病毒可能借此入侵傳播；第二，利用社會(huì)工程學(xué)方式進(jìn)行攻擊，例如使用釣魚郵件，將勒索軟件捆綁在正常軟件中誘導(dǎo)受害者執(zhí)行等；第三，通過(guò)對(duì)系統(tǒng)進(jìn)行賬號(hào)密碼（如：RDP，SSH等）的破解，獲得系統(tǒng)控制權(quán)，從而植入勒索病毒。

王淼所在的電信運(yùn)營(yíng)商備有相當(dāng)規(guī)范的防范勒索病毒攻擊預(yù)案，其中包括各種終端的預(yù)防措施、發(fā)現(xiàn)中毒后防止蔓延的措施以及啟用數(shù)據(jù)備份。早些年，WannaCry病毒第一次爆發(fā)時(shí)，盡管也有員工電腦被感染，因?yàn)榉婪兜卯?dāng)，并未形成事實(shí)性影響。

然而，近幾年來(lái)，隨著上云、大數(shù)據(jù)、數(shù)字化等企業(yè)信息化應(yīng)用的發(fā)展，系統(tǒng)邊界正變得模糊。馬勁松分析，以前黑客可能接觸到的只有企業(yè)網(wǎng)站，現(xiàn)在員工個(gè)人的郵件、社交網(wǎng)絡(luò)、App等都可能成為攻擊點(diǎn)，被攻擊者的暴露面正越來(lái)越廣。

“對(duì)人員培訓(xùn)是防范攻擊最重要的環(huán)節(jié)”，馬勁松認(rèn)為，對(duì)員工的安全教育、安全素養(yǎng)的培訓(xùn)是長(zhǎng)期持久的工作，比如，收到莫名的電子郵件、社交網(wǎng)絡(luò)上的奇怪連接、撿到可疑的U盤，都要保持高度警惕。

除了教育和自律，加固安全措施、做好備份，都是降低風(fēng)險(xiǎn)的方式。王淼所在的電信運(yùn)營(yíng)商，員工弱口令登錄被堅(jiān)決杜絕，系統(tǒng)不僅對(duì)口令格式有要求，而且定期要求員工更改密碼，否則無(wú)法登錄內(nèi)網(wǎng)系統(tǒng)。

沒有“銀彈”只有動(dòng)態(tài)攻防

“攻擊到了APT層面，便很難解決。”于旸認(rèn)為，每天都有新的員工入職、新的漏洞出現(xiàn)、新的攻擊技術(shù)出現(xiàn)，單純筑墻式的“邊界防御”不再能完全御敵于門外。

“NeverTrust，AlwaysVerify（永不信任，持續(xù)驗(yàn)證）”零信任模型（ZeroTrustModel)的出現(xiàn)，部分解決了員工端被攻擊的風(fēng)險(xiǎn)，其核心思想是，對(duì)任何用戶、設(shè)備、應(yīng)用程序都不因一次身份驗(yàn)證而給予“終身信任”，內(nèi)外網(wǎng)一視同仁，不相信任何人，驗(yàn)證一切。

也就是說(shuō)，系統(tǒng)對(duì)所有進(jìn)入企業(yè)網(wǎng)絡(luò)的人，都要基于身份、動(dòng)作、特征、數(shù)據(jù)等變量不斷核驗(yàn)，同時(shí)把“城市”分割成無(wú)數(shù)個(gè)大大小小的房子，允許通過(guò)身份核驗(yàn)的用戶，只擁有進(jìn)出和使用小房子的權(quán)限。這樣確保了無(wú)論業(yè)務(wù)如何變化和擴(kuò)展，企業(yè)的數(shù)字資產(chǎn)始終處于動(dòng)態(tài)安全狀態(tài)。

不過(guò)，王淼認(rèn)為，零信任可以從一定程度上提高攻擊難度，降低被攻破的風(fēng)險(xiǎn)，但企業(yè)整體安全的真正提升，還需要建立人、技術(shù)、管理的綜合防御體系。

“安全防范要謹(jǐn)防銀彈思維，企業(yè)主經(jīng)常問(wèn)，是否有一套系統(tǒng)可以徹底解決問(wèn)題？但從來(lái)沒有天下無(wú)敵的武器。”馬勁松對(duì)此也十分贊同，攻防是動(dòng)態(tài)過(guò)程，需要持續(xù)的投入、持續(xù)的運(yùn)營(yíng)、持續(xù)的升級(jí)和關(guān)注。

只是長(zhǎng)期以來(lái)，安全作為一項(xiàng)長(zhǎng)期、潛在收益的投入，在企業(yè)IT成本中占比往往只在3%-5%之間，“隨著國(guó)家監(jiān)管日益增強(qiáng)、網(wǎng)絡(luò)安全攻防挑戰(zhàn)越來(lái)越激烈，如果建立完善的防御體系，這個(gè)比例的確比較低。”王淼認(rèn)為，上海前段時(shí)間提出的10%占比，是非常有必要的。

新挑戰(zhàn)：供應(yīng)鏈攻擊

一旦被攻擊，數(shù)據(jù)備份的恢復(fù)，依然是被勒索后最有效的解決措施。但有些時(shí)候，攻擊組織非常狡猾，通過(guò)暴力破解服務(wù)器或者利用漏洞進(jìn)入網(wǎng)絡(luò)，在獲得管理員密碼的訪問(wèn)權(quán)限后，手動(dòng)部署勒索軟件并加密被攻擊者的核心關(guān)鍵設(shè)備，甚至?xí)绕茐钠鋫浞莘?wù)器。

“出現(xiàn)這種情況，一般是數(shù)據(jù)備份并沒有做到位，沒有異地分開存儲(chǔ)，如果是備份在同網(wǎng)段、同類型服務(wù)器，也很有可能被攻破。”王淼介紹，其所在電信運(yùn)營(yíng)商都是跨網(wǎng)絡(luò)備份，而且會(huì)對(duì)數(shù)據(jù)進(jìn)行分級(jí)管理，重點(diǎn)保護(hù)核心資產(chǎn)數(shù)據(jù)。

在萬(wàn)事皆云的年代，企業(yè)上云是把雙刃劍，既擴(kuò)大了受暴露面，但同時(shí)可以更好地依賴云技術(shù)。

據(jù)馬勁松介紹，當(dāng)騰訊云的客戶主機(jī)出現(xiàn)很多異常行為時(shí)，比如高負(fù)載情況、高CPU占用、高磁盤占用，系統(tǒng)會(huì)自動(dòng)告警甚至直接阻斷，這些措施都是基于云端實(shí)施，部署、交付成本很低。此外，基于云的數(shù)據(jù)加密、備份可以做得更加充分和及時(shí)，即使被攻擊，也會(huì)有多種數(shù)據(jù)恢復(fù)手段，做相應(yīng)彌補(bǔ)。

朱易翔則補(bǔ)充介紹，目前有一種磁盤快復(fù)制技術(shù)，可以在遠(yuǎn)端或者異地，對(duì)磁盤做快照或者鏡像，這樣數(shù)據(jù)傳輸不多，占用帶寬較少，但同樣可以實(shí)現(xiàn)備份，且數(shù)據(jù)恢復(fù)也比較快。

但朱易翔同時(shí)提醒，國(guó)內(nèi)電信運(yùn)營(yíng)商要注意的是新挑戰(zhàn)——對(duì)供應(yīng)鏈的攻擊。

2020年12月，知名IT公司Solars旗下的Orion網(wǎng)絡(luò)監(jiān)控軟件更新服務(wù)器遭黑客入侵并植入惡意代碼，由于其客戶群體覆蓋了大量重要機(jī)構(gòu)和超9成的世界500強(qiáng)企業(yè)，導(dǎo)致美國(guó)財(cái)政部、商務(wù)部等多個(gè)政府機(jī)構(gòu)用戶受到長(zhǎng)期入侵和監(jiān)視。

電信運(yùn)營(yíng)商信息系統(tǒng)龐雜，內(nèi)有相當(dāng)多數(shù)量的軟件和組件，一旦其供應(yīng)商被大規(guī)模侵入，很有可能成為病毒污染鏈上的一個(gè)“分子”，朱易翔認(rèn)為，這個(gè)潛在威脅，將可能給國(guó)內(nèi)電信運(yùn)營(yíng)商帶來(lái)諸多“麻煩”。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。