國外運營商中招，支付系統(tǒng)癱瘓！國內(nèi)運營商能躲得過勒索病毒嗎？

厄瓜多爾國家電信公司CNT正在緩慢恢復服務。

7月22日開始，支付系統(tǒng)逐漸恢復，截至7月25日，用戶可在全國4萬多個充值點支付賬單。被勒索病毒攻擊至今，已過了將近10天。攻擊者表示，他們從CNT竊取了超過190GB的文件，CNT的支付系統(tǒng)、客戶聯(lián)絡系統(tǒng)一度陷入癱瘓。

這是今年又一次大型基礎設施類企業(yè)被攻擊，此前5月，美國甚至因為全國最大的燃油管道公司被黑客勒索而宣布進入緊急狀態(tài)。數(shù)據(jù)顯示，2021年上半年勒索病毒爆發(fā)量已超過去年總和，平均每11秒發(fā)生一次勒索攻擊，帶來的直接經(jīng)濟損失超過300億美元，是2015年的57倍。

“勒索攻擊正在APT（高級可持續(xù)威脅）化。”國內(nèi)知名白帽子、被稱為“TK教主”的騰訊安全玄武實驗室負責人于旸日前在接受包括《IT時報》在內(nèi)的媒體采訪時表示，人工入侵和勒索病毒相結合的定向攻擊將成為今后黑客攻擊的主流趨勢。

道高一尺，魔高一丈，不怕賊偷，就怕賊惦記。

無論是城市還是傳統(tǒng)大型企業(yè)，中國正掀起一陣“數(shù)字化轉(zhuǎn)型浪潮”，與之而來的風險是，可能成為國際黑客組織的目標。

那么，中國電信運營商會成為下一個CNT嗎？

“信息化程度越高、對計算機系統(tǒng)和網(wǎng)絡依賴程度越高、企業(yè)IT系統(tǒng)越復雜，被勒索的可能性越高。”騰訊安全反病毒實驗室負責人馬勁松透露，全球勒索病毒已演進至標準化和專業(yè)化，甚至有成套完整的代碼可參考，一旦被攻破防線，企業(yè)很難破解。

百分百防御成功的“安全墻”并不存在，做好防護和數(shù)據(jù)備份是應有之義。

不久前，上海市經(jīng)濟和信息化委員會軟件和信息服務業(yè)處處長裘薇曾在世界人工智能大會上透露，在今年發(fā)布的網(wǎng)絡安全“十四五”規(guī)劃以及即將發(fā)布的網(wǎng)絡安全產(chǎn)業(yè)的行動計劃當中，將進一步明確政府和公共企事業(yè)單位在網(wǎng)絡安全上的投入比例不低于10%。

難被破解的勒索攻擊

“我們沒有遇到過。”一位國內(nèi)省級電信運營商安全負責人王淼（化名）告訴《IT時報》記者，至少在他所知范圍內(nèi)，國內(nèi)電信運營商并沒有被大規(guī)模襲擊的事件。這與國內(nèi)運營商在網(wǎng)絡安全防護、預防措施以及危機處理等方面管理相對嚴謹有關，卻也并不排除有企業(yè)擔心“家丑外揚”而內(nèi)部自行處理的可能。

中國正成為勒索病毒的頭號重災區(qū)。

“勒索攻擊已是常態(tài)。”僅去年一年，知名白帽子、網(wǎng)絡尖刀創(chuàng)始人曲子龍知曉的國內(nèi)攻擊案例便超過百例，受損最多的一家企業(yè)被勒索數(shù)百萬元，大多數(shù)企業(yè)并沒有聲張，默默自行處理。

全球范圍內(nèi)，針對大型企業(yè)的定向APT攻擊正變得普遍。早期勒索病毒以自發(fā)性傳播為主要特征，攻擊者“廣泛撒網(wǎng)”，只看誰自動跳到“網(wǎng)”里，但近兩年來，定向的APT攻擊基本成為大型黑客組織的主要“生財之道”。

此次攻擊CNT的勒索軟件RansomEXX 臭名昭著，此前已有巴西政府網(wǎng)絡、美國得克薩斯州交通部(TxDOT)、柯尼卡美能達、IPG Photonics和Tyler Technologies等政府和企業(yè)“中招”。

翼盾智能和第五空間研究院創(chuàng)始人朱易翔分析，基礎設施類的企業(yè)通常對信息化依賴程度較高，支付能力強，而且受影響程度比較大，有動力支付贖金，“能源、金融、電信運營商、交通公共事業(yè)以及政府相關部門，都會面臨勒索挑戰(zhàn)”。

一個悲觀的結論是，一旦被勒索病毒攻擊成功，“解鎖”是一件相當困難的事，病毒的密鑰通常采用非對稱加密算法，很難靠暴力反向破解，只要算法和密鑰足夠復雜，破解密碼需要幾萬年。

“一旦被攻擊成功，只要兩條路徑：第一，交贖金，第二，被加密的數(shù)據(jù)不要了，恢復備份。”王淼認為，數(shù)據(jù)備份的恢復，是遭遇勒索后最有效的措施，但黑客也可能在竊取企業(yè)重要系統(tǒng)數(shù)據(jù)后，威脅泄漏企業(yè)敏感信息。

這個新風險在CNT案例中已經(jīng)顯露，黑客威脅，如果不繳納贖金，將公開CNT的用戶數(shù)據(jù)。在數(shù)據(jù)安全被進一步重視的國內(nèi)，這是個新“雷區(qū)”。

“不能簡單認為把數(shù)據(jù)保護好了就完全不怕，攻擊者完全可以采取另一種模式的勒索對你進行攻擊。”于旸表示。

關鍵在于“御敵于門外”

勒索病毒攻擊如同晚期癌癥，一旦發(fā)現(xiàn)，便很難控制癌細胞擴散，因此，最有效的“抗癌”手段，便是防止“癌細胞”第一次進入。

王淼列舉了勒索軟件攻擊電信運營商常見的三種模式：第一，利用系統(tǒng)通用漏洞進行傳播攻擊，如果系統(tǒng)存在可以被命令執(zhí)行等的高危漏洞，則勒索病毒可能借此入侵傳播；第二，利用社會工程學方式進行攻擊，例如使用釣魚郵件，將勒索軟件捆綁在正常軟件中誘導受害者執(zhí)行等；第三，通過對系統(tǒng)進行賬號密碼（如：RDP，SSH等）的破解，獲得系統(tǒng)控制權，從而植入勒索病毒。

王淼所在的電信運營商備有相當規(guī)范的防范勒索病毒攻擊預案，其中包括各種終端的預防措施、發(fā)現(xiàn)中毒后防止蔓延的措施以及啟用數(shù)據(jù)備份。早些年，WannaCry病毒第一次爆發(fā)時，盡管也有員工電腦被感染，因為防范得當，并未形成事實性影響。

然而，近幾年來，隨著上云、大數(shù)據(jù)、數(shù)字化等企業(yè)信息化應用的發(fā)展，系統(tǒng)邊界正變得模糊。馬勁松分析，以前黑客可能接觸到的只有企業(yè)網(wǎng)站，現(xiàn)在員工個人的郵件、社交網(wǎng)絡、App等都可能成為攻擊點，被攻擊者的暴露面正越來越廣。

“對人員培訓是防范攻擊最重要的環(huán)節(jié)”，馬勁松認為，對員工的安全教育、安全素養(yǎng)的培訓是長期持久的工作，比如，收到莫名的電子郵件、社交網(wǎng)絡上的奇怪連接、撿到可疑的U盤，都要保持高度警惕。

除了教育和自律，加固安全措施、做好備份，都是降低風險的方式。王淼所在的電信運營商，員工弱口令登錄被堅決杜絕，系統(tǒng)不僅對口令格式有要求，而且定期要求員工更改密碼，否則無法登錄內(nèi)網(wǎng)系統(tǒng)。

沒有“銀彈”只有動態(tài)攻防

“攻擊到了APT層面，便很難解決。”于旸認為，每天都有新的員工入職、新的漏洞出現(xiàn)、新的攻擊技術出現(xiàn)，單純筑墻式的“邊界防御”不再能完全御敵于門外。

“NeverTrust，AlwaysVerify（永不信任，持續(xù)驗證）”零信任模型（ZeroTrustModel)的出現(xiàn)，部分解決了員工端被攻擊的風險，其核心思想是，對任何用戶、設備、應用程序都不因一次身份驗證而給予“終身信任”，內(nèi)外網(wǎng)一視同仁，不相信任何人，驗證一切。

也就是說，系統(tǒng)對所有進入企業(yè)網(wǎng)絡的人，都要基于身份、動作、特征、數(shù)據(jù)等變量不斷核驗，同時把“城市”分割成無數(shù)個大大小小的房子，允許通過身份核驗的用戶，只擁有進出和使用小房子的權限。這樣確保了無論業(yè)務如何變化和擴展，企業(yè)的數(shù)字資產(chǎn)始終處于動態(tài)安全狀態(tài)。

不過，王淼認為，零信任可以從一定程度上提高攻擊難度，降低被攻破的風險，但企業(yè)整體安全的真正提升，還需要建立人、技術、管理的綜合防御體系。

“安全防范要謹防銀彈思維，企業(yè)主經(jīng)常問，是否有一套系統(tǒng)可以徹底解決問題？但從來沒有天下無敵的武器。”馬勁松對此也十分贊同，攻防是動態(tài)過程，需要持續(xù)的投入、持續(xù)的運營、持續(xù)的升級和關注。

只是長期以來，安全作為一項長期、潛在收益的投入，在企業(yè)IT成本中占比往往只在3%-5%之間，“隨著國家監(jiān)管日益增強、網(wǎng)絡安全攻防挑戰(zhàn)越來越激烈，如果建立完善的防御體系，這個比例的確比較低。”王淼認為，上海前段時間提出的10%占比，是非常有必要的。

新挑戰(zhàn)：供應鏈攻擊

一旦被攻擊，數(shù)據(jù)備份的恢復，依然是被勒索后最有效的解決措施。但有些時候，攻擊組織非常狡猾，通過暴力破解服務器或者利用漏洞進入網(wǎng)絡，在獲得管理員密碼的訪問權限后，手動部署勒索軟件并加密被攻擊者的核心關鍵設備，甚至會先破壞其備份服務器。

“出現(xiàn)這種情況，一般是數(shù)據(jù)備份并沒有做到位，沒有異地分開存儲，如果是備份在同網(wǎng)段、同類型服務器，也很有可能被攻破。”王淼介紹，其所在電信運營商都是跨網(wǎng)絡備份，而且會對數(shù)據(jù)進行分級管理，重點保護核心資產(chǎn)數(shù)據(jù)。

在萬事皆云的年代，企業(yè)上云是把雙刃劍，既擴大了受暴露面，但同時可以更好地依賴云技術。

據(jù)馬勁松介紹，當騰訊云的客戶主機出現(xiàn)很多異常行為時，比如高負載情況、高CPU占用、高磁盤占用，系統(tǒng)會自動告警甚至直接阻斷，這些措施都是基于云端實施，部署、交付成本很低。此外，基于云的數(shù)據(jù)加密、備份可以做得更加充分和及時，即使被攻擊，也會有多種數(shù)據(jù)恢復手段，做相應彌補。

朱易翔則補充介紹，目前有一種磁盤快復制技術，可以在遠端或者異地，對磁盤做快照或者鏡像，這樣數(shù)據(jù)傳輸不多，占用帶寬較少，但同樣可以實現(xiàn)備份，且數(shù)據(jù)恢復也比較快。

但朱易翔同時提醒，國內(nèi)電信運營商要注意的是新挑戰(zhàn)——對供應鏈的攻擊。

2020年12月，知名IT公司Solars旗下的Orion網(wǎng)絡監(jiān)控軟件更新服務器遭黑客入侵并植入惡意代碼，由于其客戶群體覆蓋了大量重要機構和超9成的世界500強企業(yè)，導致美國財政部、商務部等多個政府機構用戶受到長期入侵和監(jiān)視。

電信運營商信息系統(tǒng)龐雜，內(nèi)有相當多數(shù)量的軟件和組件，一旦其供應商被大規(guī)模侵入，很有可能成為病毒污染鏈上的一個“分子”，朱易翔認為，這個潛在威脅，將可能給國內(nèi)電信運營商帶來諸多“麻煩”。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。