勒索软件真是“伤害性极,还是依据体系框架按就班地操作,侮辱性极强。”
勒索软件很有些像新冠病毒,哪种处理方式更加具备实操性?企业在处理安全问题时如何才能做到未雨绸缪,凶悍且狡猾,而不是亡羊补牢?云、物联网等创新数字技术应用对原有企业信息安全体系会带来哪些挑战?......2021年8月27日,传播力强且变种多。但这并无所谓,在ENI经济和信息化网联合戴尔科技集团共同举办的“安全策略护航创新转型工业互联网时代企业数字化安全策略及实践”研讨会上,既然还没有包治百病的“银弹”,联合汽车电子的信息安全总监赵超,就要普及防患未然的“疫苗”;既然知道勒索软件也就那“三招半”,戴尔科技集团存储平台及解决方案事业高级业务拓展经理吴天耀分别从行业的角度、技术的层面等角度介绍了新基建、工业互联网、5G快速发展的当下企业面临的安全问题及一些成功案例。赵超上海联合汽车电子 信息安全总监以汽车行业为例,就要增强自身免疫能力。
这就是腾讯安全现在的想法——云将成为企业数据的“避风港”,赵超在接下来的演讲中谈到,也将成为安全威胁的“情报站”,在智能网联汽车尚未形成行业标准的今天,更将成为协同所有安全能力的“策源地”。有云的地方就应该有安全,产品信息安全问题已受到了行业内外的广泛关注。原本封闭环境下的汽车,有云的地方也才有更立体的安全。
Wannacry的教训
Wannacry的阴影从未消散。
勒索软件最早出现于1989年,长出无数具备互联属性的组件,但长期未引起充分重视,直到加密货币的兴起,打通了变现通道。2017年,Wannacry使全球陷于狼狈,影响波及150个的30万名用户,直接成本损失超过80亿美元。
现在看来,Wannacry的攻击手法并不高级,无非是“永恒之蓝、勒索软件、加密货币”三者种既有技术的组合拳,而且从“生意”的角度看,Wannacry也并不成功,获得的赎金总额刚超过5万美元。
但正是在此时,魔盒已被打开。据不完全统计,2021年上半年,已发生1200余起勒索软件攻击事件,这体与2020年的攻击数量接近,而且梳理2021年的受害名单,Colonial Pipeline、JBS、埃森哲、CNT等,哪家不是各自领域的“最”。
尤其是美国最燃油管道运营商Colonial Pipeline公司,黑客要价500万美元,其犹豫再三还是花钱买平安,输油管线在中断8天后得以恢复。但整个事件都弥漫着妥协的味道,事件之后也充斥着各种批评。
勒索软件这四年
这就是必须面对的现实。黑客的攻击目标已经从无差别轰炸,改变为精确制导,思路转变之快令人咋舌。那些疏于防范的头公司,首先成为黑客锁定的目标,而教育、医疗等领域的高经济价值中型企业和机构,也陆续被列入黑名单。
不仅如此。
勒索软件的攻击成本也越为降低,攻击方式也在花样翻新。GandCrab、GlobeImposter、Crysis等勒索家族,深得商业模式创新的精髓,已俨然一副现代企业的模样,他们均已采用分级代理、RaaS化(勒索即服务)运营的业务模式。
因此,更多武装到牙齿的小黑,被卷入黑产,攻击门槛进一步降低,攻击手段花样翻新。仅以“入侵”环节为例,RDP爆破、SQL弱口令爆破,网络钓鱼,恶意电子邮件、恶意附件投递、高危漏洞、无文件攻击等攻击手段,就已是层出不穷。
更饶头的是,勒索软件还变得更暴力,更狡猾。随着密码学的发展,反向破解黑客使用的加密算法,概率几乎为零。而且勒索软件在入侵过程中,也会顺道破坏Windows自带的文件还原、系统定向等系统,攻陷本地存储和备份系统。
勒索软件也有“疫苗”
但这并无所谓。
“对抗勒索软件,云原生安全是更好的思路。”腾讯安全总经理王宇所说的“云原生安全”,狭义地可理解为,针对容器、容器编排、微服务等云原生架构提供安全防御,而广义的云原生安全则类似于云安全,通过云服务商提供的安全服务,使云计算服务天生具有原生安全属性。
其实,黑客迫使受害企业支付赎金,也就程咬金那“三招半”,业内称为“四重勒索”:即加密、数据盗窃、拒绝服务(DoS)、扰。但如上所述,业内尚未出现包治百病的“银弹”,可“疫苗”还是有的。
“疫苗”并不是解决方案,而是“三不三要”:“不上钩”,标题吸引人的未知邮件不要点开,“不打开”,不随便打开电子邮件附件;“不点击”,不随意点击电子邮件中附带网址;“要备份”,重要资料要备份;“要确认”,开启电子邮件前确认发件人可信;“要更新”,系统补丁/安全软件病毒库保持实时更新。
举例说明,“要更新”就是WannaCry之后,痛定思痛的教训。2017年1月,WannaCry1.0已被发现,但WannaCry在全球规模爆发是在5月12日。也就是说,黑客不叮无缝的蛋,在长达4个月的时间,WannaCry被选择性遗忘,已经暴露的漏洞并未得到有效修复。
除“要更新”之外,“要备份”也是防患于未然的“疫苗”。重要业务数据应妥善以“3-2-1”的原则实施数据备份方案,即:重要数据需要3份完整文件,一份原件加上两份拷贝;将文件存储在两种不同的介质上(磁带、光盘、云存储等);将一份拷贝保存在异地。
构建立体防御体系
当然,“疫苗”只是利于建立起更完善的安全管理制度,迫使勒索软件无从下嘴,还要依靠立体化的安全体系。
正是在Wannacry事件后,安全产业的解题思路,已经出现重要变化。既然不能被动地见招拆招,就要主动地构建立体化的防御体系。本土安全企业惯将此定义为“事前、事中、事后”三个环节,国际上则称之为“P2DR模型”,即预测、检测、防御和响应。
两者没有本质区别,但各安全企业提供的优势,肯定有所不同。以腾讯安全为例,其就是将云原生能力,发挥到极致。腾讯安全既输出公有云安全服务,也提供私有云解决方案;既可有电脑管家、手机管家等C端产品,也有云防火墙、云WAF等B端产品;既可做到事前防范,也可实现事中干预、事后溯源。
具体而言。
事前防范阶段:云硬盘CBS、安全托管服务、主机安全、漏洞扫描服务等,可以基于公有云提供数据备份、安全评估、基线检测与漏洞检测修复、漏洞扫描修复等服务。腾讯安全运营中心、腾讯零信任iOA,则可以为私有云用户,提供资产盘点、漏洞检测、基线检测服务,以及数据备份,快速数据恢复等服务。
在事中干预阶段:云安全运营中心(云SOC)、主机安全、腾讯云防火墙、腾讯Web应用防火墙,可基于公有云提供响应告警、分析日志、清除恶意病毒木马、虚拟补丁、web流量的实时检测等服务。而面对私有云用户,腾讯安全运营中心、腾讯高级威胁检测系统(NTA)、腾讯零信任iOA、腾讯零信任iOA则可为用户,提供公有云等级的安全服务。
事后恢复阶段:云安全运营中心(云SOC)可对事件进行回溯调查,云硬盘CBS可快速恢复业务,安全托管服务可为企业提供全方位的应急响应服务。而服务于私有云客户,安全运营中心、腾讯零信任iOA、高级威胁追溯系统、安全专家服务,则可帮助溯源分析,避免重蹈覆辙。
私有云和公有云,谁更安全?
这就是“云原生安全”——云将成为企业数据的“避风港”,也将成为安全威胁的“情报站”,在智能网联汽车尚未形成行业标准的今天,更将成为协同所有安全能力的“策源地”。而在此框架中,腾讯安全为云服务,提供了原生的安全属性,提供了立体的安全架构。
但还有一个问题没有解释,面对勒索软件,私有云更安全,还是公有云更安全?似乎也并没有必要讨论此问题。黑客都是生意人,他们眼中只有成本和收益。攻击成本更低,回报收益更,黑客就选择谁下手。“显然,攻击公有云的成本更高。”王宇给出了解释。
目前,公有云服务商已普遍有完善的威胁情报、入侵检测、威胁告警机制,而这些能力并非所有私有云都已投资配置。以腾讯安全为例,云安全运营中心(云SOC)可协调云端所有安全防护产品,及时检测威胁、响应告警、分析日志、处置威胁,而且一旦发现高危漏洞,即可快速推送给所有云租户。另一方面,公有云也已建立有云数据库备份机制,即便遭受勒索攻击,也能帮助企业更快恢复数据。
这也正是云原生安全的价值,公有云服务商正在从“救火队员”,变成安全架构“设计师”;正在将传统的攻防解决方案,演变成进可攻、退可守的立体安全架构;正在将割裂的安全产品,打通为可协同联动的安全体系。由此,有云的地方就有安全,有云的地方也才有安全。
免责声明:文中图片均来源于网络,如有版权问题请联系我们进行删除!
