随着企业不断向数字化和转型转型,近年来勒索攻击和数据采集等黑灰产活动不断专业化、团队化,并开始借助转型手段加速发展。
勒索攻击不再是一个传统意义上的病毒,而是趋向于定制化。各种新型、智能化破坏力的攻击方式层出不穷,例如供应链攻击、定时勒索模式和AI驱动的攻击等,攻击者对漏洞的利用日益深入,攻击路径也越来越复杂多变。
显然,它已然成为了网络安全领域一大核心,不容忽视的问题。站在这样数字化浪潮汹涌而来的节点,企业此前传统的防勒索的思维已然落后,企业究竟应该怎么办?
“勒索病毒,不仅仅是要‘防’,更要引入‘反’的机制。”深耕网络安全领域多年的瑞数信息,得出了这样一个结论,面对新的勒索病毒危机,企业需要在思维观念上作出改变,建立一套完整的“防反结合”体系。
对于企业而言,在日常运营过程中,该建立什么样的安全意识?在制度和技术上的呈现又是什么样的?又该如何抵御勒索攻击?
一、勒索攻击“与时俱进”,企业亟需构建完整的“制度+技术”管理体系
先来看一组数据。
据国外知名咨询机构Verizon《 2024 年数据泄露调查报告》的数据显示,经济利益驱动下,高ROI的攻击手段备受青睐,攻击者愈发倾向使用能高投资回报率的攻击技术手段。其中最为严重的就是勒索攻击,占据高ROI攻击事件的近三分之二(59%至66%之间波动)。
另外,Sophos的 “2024 年勒索软件状况”调查报告显示,2024 年勒索软件攻击要求的平均赎金已飙升至约 273 万美元,比上一年增加了近 100 万美元。
此外,值得注意的是,勒索攻击并不是一层不变的。一方面,随着黑客组织不断更新和改进攻击策略和技术,衍生出 RaaS 勒索软件即服务,自动化、智能化、多重勒索等复合勒索攻击形态。另外一方面,企业内部的危机不亚于外部的危机,内部人员的安全意识以及不确定性带来的“威胁”,是除了技术外,亟需关注的另一视角。这些都使得勒索攻击的门槛不断降低,攻击频率持续上升。
从企业的角度来看勒索攻击,新变化具体呈现了如下特征:
1、 内部攻击的威胁并不亚于外部攻击。
对于企业而言,尤其是大型企业,除了防范来自外部的勒索攻击之外,更重要的是需要警惕内部攻击。
实际上,目前大部分企业内部围绕着核心数据的防护,这实际上是有缺失的。在安全观念里,有一个说法是“三分靠技术,七分靠管理。”
这里的“七分靠管理”更多的是指防止内部的恶意行为。在当前的攻击模式中,我们发现,攻击并非都是从外部攻击进入,尤其是对于大型企业来说,现在更需要防范的是内部人员被策反的攻击。
攻击者的手段越来越社会工程化,他们利用各种手段,目的都是为了突破大型企业的防线。
2、勒索攻击深入核心区域
以往的勒索攻击模式往往是在企业网络空间的边缘进行,例如针对单点的攻击或者API接口的攻击。这种攻击方式相对容易防御,因为它们通常只影响网络的局部区域。
然而,现在的攻击者已经变得更加狡猾和准确,他们的攻击范围已经从边缘扩展到了企业的核心数据。而核心数据,往往也是企业的核心资产所在。
勒索病毒攻击核心数据后,可能导致数据无法访问或被加密,到后期恢复阶段,还需要确保备份数据的干净、考虑恢复时间等,而这可能无异于会拉长时间成本、拉高经济成本。
这种攻击能力的提升,使得企业不得不重新考虑其安全防护策略,从仅仅保护网络边界转变为保护整个网络空间,特别是核心数据的安全。
因此,对于企业而言,安全防护是需要有从边界到内部核心的全面防护。
企业需要加强对内部网络的监控和保护,确保核心数据的安全,防止攻击者通过内部网络渗透到企业的核心区域。同时,企业应秉承底线思维,必须确保在核心数据被攻击后的应急预案,这就需要企业在技术、人员和管理等多个层面进行综合考虑,构建起一个全面、立体的勒索事件管理体系。
二、面对勒索攻击,不止要防,还要反
全面、立体的勒索事件管理体系,企业应该如何构建呢?
目前,面对勒索攻击时,不少企业依旧停留在传统的“防勒索”概念上,这就容易陷入误区:
1、责任划分不清楚
传统的网络安全定义主要集中在网络层面的安全,而勒索攻击实际上是一种数据安全问题。勒索应对机制也不仅仅是技术问题,更是管理问题。在传统的网络安全组织架构中,勒索事件的应对往往纳入其职责范围内。这导致了一个问题,即许多企业没有专门针对勒索事件建立跨部门、跨组织的有效应对机制。勒索应急预案应该归类于哪个部门,需要重新界定和梳理。
2、安全意识不到位
很多企业在安全意识的提升上做了很多工作,包括日常的培训和演练,但针对勒索攻击的防护仍然不足。企业往往将勒索攻击想象成纯粹的外部攻击,而忽视了内部威胁的可能性。这种观念上的误区导致企业在数据层面的防护体系建设不足。
另一面,企业过于自信地认为已经实施的安全措施足以防范所有威胁,包括勒索攻击。然而,他们往往忽视了当这些安全措施失效时应该如何应对。
这指向的其实是企业缺乏底线思维,导致企业在面对勒索攻击时没有备份计划或其他应急机制。
3、低估勒索攻击的风险
有些企业可能此前没有经历过勒索攻击,就误以为自己没有被勒索的风险。然而,这种低估威胁风险的心态,使得企业在内部威胁管理上存在盲点。
另外,许多企业认为勒索软件只通过单点进入,但实际上攻击路径已经变得更加多样化。勒索攻击可能通过外部服务器直接进入,或者利用企业内网与外网之间的数据交换进行攻击,或者采用社会化工程利用内部员工和外包人员实现攻击。这种攻击路径的多样化是许多企业在防御勒索攻击时未能充分考虑的误区。
企业在面对勒索攻击时的这些思维误区具象化的表现,就是依然在强调“防勒索”,而并非“反勒索”,即依然是防护而并非反制勒索攻击。那么该如何理解“反勒索”呢?
第 一步,其实是思维观念的转变。企业有防护思维还不够,还应该有反制思维。而这种思维背后,涉及安全、系统、法律、合规等多个部门的合作,且需要多种技术的支撑,因此,瑞数信息建议企业首先需要专门针对勒索事件建立一套完整的流程和体系,例如,基于企业原有的BCP(业务连续性计划)或BCM(业务连续性管理)体系或者安全事件响应预案,将勒索事件的管理纳入体系框架中,并梳理出相对应的流程,从而构建全面、立体的勒索事件管理体系。
第二步,企业需要具备底线思维,这意味着除了基础的防护能力外,还需要构建反制能力。这种反制能力包括系统的备份、恢复能力的建设,以及在数据被攻击后能够及早发现并定位受影响的数据。这些能力构成了企业面对勒索攻击时的最后防线,确保业务系统的连续性和数据的可恢复性。
当然,企业构建一个全面、安全的方案之前,并非完全抛弃“防”,而是“防”+“反”的有机结合。防护措施是必要的,但不足以应对所有情况。企业需要构建更加立体和完善的勒索事件管理体系,在预算允许的情况下,提高防护能力的门槛,同时也要建立反制能力。这种结合防护和反制的策略可以帮助企业在遭受勒索事件时,不仅能够减少损害,还能够快速恢复正常运营,避免支付赎金。
值得关注的是,企业在“反勒索”思维上的缺失也导致了其在安全防御上的投入往往不平衡,更多地关注于防护而忽视了反制。这种不平衡的成本配置在真正遭遇勒索攻击时会导致巨大的损失。
因此,企业也需要平衡防护和反制的成本,确保在遭受攻击时能够快速恢复,从而相对控制损失。
三、结语
当企业同时具备防勒索和反勒索思维之后,则可以开始构建一个全面、立体的解决方案。这种解决方案不仅要能够应对当前的勒索攻击,还要能够预测和防范未来可能出现的威胁。
瑞数信息正是基于这样的理念,打造了一套完整的“防+反”的解决方案——数据安全检测与应急响应系统(DDR)。通过事前、事中和事后的数据安全闭环防护体系,可对结构化数据和非结构化数据实现细粒度勒索加密检测,及时识别勒索事件,准确定位被加密数据,快速响应恢复,并确保恢复数据的完整性,缩小勒索事件的影响范围,确保企业数据安全。 DDR有效解决了传统终端安全软件被绕过、备份系统恢复过程冗长等严峻的安全问题,让勒索软件等新兴数据安全威胁无处遁形。
瑞数信息这一套解决方案,不仅是为了提升了企业数据安全的防护能力,更是为企业构建了一个智能、有效的数据安全应急响应体系。
(推广)