國外運營商中招,支付系統(tǒng)癱瘓!國內(nèi)運營商能躲得過勒索病毒嗎?

厄瓜多爾國家電信公司CNT正在緩慢恢復(fù)服務(wù)。

7月22日開始,支付系統(tǒng)逐漸恢復(fù),截至7月25日,用戶可在全國4萬多個充值點支付賬單。被勒索病毒攻擊至今,已過了將近10天。攻擊者表示,他們從CNT竊取了超過190GB的文件,CNT的支付系統(tǒng)、客戶聯(lián)絡(luò)系統(tǒng)一度陷入癱瘓。

這是今年又一次大型基礎(chǔ)設(shè)施類企業(yè)被攻擊,此前5月,美國甚至因為全國最大的燃油管道公司被黑客勒索而宣布進(jìn)入緊急狀態(tài)。數(shù)據(jù)顯示,2021年上半年勒索病毒爆發(fā)量已超過去年總和,平均每11秒發(fā)生一次勒索攻擊,帶來的直接經(jīng)濟(jì)損失超過300億美元,是2015年的57倍。

“勒索攻擊正在APT(高級可持續(xù)威脅)化。”國內(nèi)知名白帽子、被稱為“TK教主”的騰訊安全玄武實驗室負(fù)責(zé)人于旸日前在接受包括《IT時報》在內(nèi)的媒體采訪時表示,人工入侵和勒索病毒相結(jié)合的定向攻擊將成為今后黑客攻擊的主流趨勢。

道高一尺,魔高一丈,不怕賊偷,就怕賊惦記。

無論是城市還是傳統(tǒng)大型企業(yè),中國正掀起一陣“數(shù)字化轉(zhuǎn)型浪潮”,與之而來的風(fēng)險是,可能成為國際黑客組織的目標(biāo)。

那么,中國電信運營商會成為下一個CNT嗎?

“信息化程度越高、對計算機(jī)系統(tǒng)和網(wǎng)絡(luò)依賴程度越高、企業(yè)IT系統(tǒng)越復(fù)雜,被勒索的可能性越高。”騰訊安全反病毒實驗室負(fù)責(zé)人馬勁松透露,全球勒索病毒已演進(jìn)至標(biāo)準(zhǔn)化和專業(yè)化,甚至有成套完整的代碼可參考,一旦被攻破防線,企業(yè)很難破解。

百分百防御成功的“安全墻”并不存在,做好防護(hù)和數(shù)據(jù)備份是應(yīng)有之義。

不久前,上海市經(jīng)濟(jì)和信息化委員會軟件和信息服務(wù)業(yè)處處長裘薇曾在世界人工智能大會上透露,在今年發(fā)布的網(wǎng)絡(luò)安全“十四五”規(guī)劃以及即將發(fā)布的網(wǎng)絡(luò)安全產(chǎn)業(yè)的行動計劃當(dāng)中,將進(jìn)一步明確政府和公共企事業(yè)單位在網(wǎng)絡(luò)安全上的投入比例不低于10%。

難被破解的勒索攻擊

“我們沒有遇到過。”一位國內(nèi)省級電信運營商安全負(fù)責(zé)人王淼(化名)告訴《IT時報》記者,至少在他所知范圍內(nèi),國內(nèi)電信運營商并沒有被大規(guī)模襲擊的事件。這與國內(nèi)運營商在網(wǎng)絡(luò)安全防護(hù)、預(yù)防措施以及危機(jī)處理等方面管理相對嚴(yán)謹(jǐn)有關(guān),卻也并不排除有企業(yè)擔(dān)心“家丑外揚”而內(nèi)部自行處理的可能。

中國正成為勒索病毒的頭號重災(zāi)區(qū)。

“勒索攻擊已是常態(tài)。”僅去年一年,知名白帽子、網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍知曉的國內(nèi)攻擊案例便超過百例,受損最多的一家企業(yè)被勒索數(shù)百萬元,大多數(shù)企業(yè)并沒有聲張,默默自行處理。

全球范圍內(nèi),針對大型企業(yè)的定向APT攻擊正變得普遍。早期勒索病毒以自發(fā)性傳播為主要特征,攻擊者“廣泛撒網(wǎng)”,只看誰自動跳到“網(wǎng)”里,但近兩年來,定向的APT攻擊基本成為大型黑客組織的主要“生財之道”。

此次攻擊CNT的勒索軟件RansomEXX 臭名昭著,此前已有巴西政府網(wǎng)絡(luò)、美國得克薩斯州交通部(TxDOT)、柯尼卡美能達(dá)、IPG Photonics和Tyler Technologies等政府和企業(yè)“中招”。

翼盾智能和第五空間研究院創(chuàng)始人朱易翔分析,基礎(chǔ)設(shè)施類的企業(yè)通常對信息化依賴程度較高,支付能力強(qiáng),而且受影響程度比較大,有動力支付贖金,“能源、金融、電信運營商、交通公共事業(yè)以及政府相關(guān)部門,都會面臨勒索挑戰(zhàn)”。

一個悲觀的結(jié)論是,一旦被勒索病毒攻擊成功,“解鎖”是一件相當(dāng)困難的事,病毒的密鑰通常采用非對稱加密算法,很難靠暴力反向破解,只要算法和密鑰足夠復(fù)雜,破解密碼需要幾萬年。

“一旦被攻擊成功,只要兩條路徑:第一,交贖金,第二,被加密的數(shù)據(jù)不要了,恢復(fù)備份。”王淼認(rèn)為,數(shù)據(jù)備份的恢復(fù),是遭遇勒索后最有效的措施,但黑客也可能在竊取企業(yè)重要系統(tǒng)數(shù)據(jù)后,威脅泄漏企業(yè)敏感信息。

這個新風(fēng)險在CNT案例中已經(jīng)顯露,黑客威脅,如果不繳納贖金,將公開CNT的用戶數(shù)據(jù)。在數(shù)據(jù)安全被進(jìn)一步重視的國內(nèi),這是個新“雷區(qū)”。

“不能簡單認(rèn)為把數(shù)據(jù)保護(hù)好了就完全不怕,攻擊者完全可以采取另一種模式的勒索對你進(jìn)行攻擊。”于旸表示。

關(guān)鍵在于“御敵于門外”

勒索病毒攻擊如同晚期癌癥,一旦發(fā)現(xiàn),便很難控制癌細(xì)胞擴(kuò)散,因此,最有效的“抗癌”手段,便是防止“癌細(xì)胞”第一次進(jìn)入。

王淼列舉了勒索軟件攻擊電信運營商常見的三種模式:第一,利用系統(tǒng)通用漏洞進(jìn)行傳播攻擊,如果系統(tǒng)存在可以被命令執(zhí)行等的高危漏洞,則勒索病毒可能借此入侵傳播;第二,利用社會工程學(xué)方式進(jìn)行攻擊,例如使用釣魚郵件,將勒索軟件捆綁在正常軟件中誘導(dǎo)受害者執(zhí)行等;第三,通過對系統(tǒng)進(jìn)行賬號密碼(如:RDP,SSH等)的破解,獲得系統(tǒng)控制權(quán),從而植入勒索病毒。

王淼所在的電信運營商備有相當(dāng)規(guī)范的防范勒索病毒攻擊預(yù)案,其中包括各種終端的預(yù)防措施、發(fā)現(xiàn)中毒后防止蔓延的措施以及啟用數(shù)據(jù)備份。早些年,WannaCry病毒第一次爆發(fā)時,盡管也有員工電腦被感染,因為防范得當(dāng),并未形成事實性影響。

然而,近幾年來,隨著上云、大數(shù)據(jù)、數(shù)字化等企業(yè)信息化應(yīng)用的發(fā)展,系統(tǒng)邊界正變得模糊。馬勁松分析,以前黑客可能接觸到的只有企業(yè)網(wǎng)站,現(xiàn)在員工個人的郵件、社交網(wǎng)絡(luò)、App等都可能成為攻擊點,被攻擊者的暴露面正越來越廣。

“對人員培訓(xùn)是防范攻擊最重要的環(huán)節(jié)”,馬勁松認(rèn)為,對員工的安全教育、安全素養(yǎng)的培訓(xùn)是長期持久的工作,比如,收到莫名的電子郵件、社交網(wǎng)絡(luò)上的奇怪連接、撿到可疑的U盤,都要保持高度警惕。

除了教育和自律,加固安全措施、做好備份,都是降低風(fēng)險的方式。王淼所在的電信運營商,員工弱口令登錄被堅決杜絕,系統(tǒng)不僅對口令格式有要求,而且定期要求員工更改密碼,否則無法登錄內(nèi)網(wǎng)系統(tǒng)。

沒有“銀彈”只有動態(tài)攻防

“攻擊到了APT層面,便很難解決。”于旸認(rèn)為,每天都有新的員工入職、新的漏洞出現(xiàn)、新的攻擊技術(shù)出現(xiàn),單純筑墻式的“邊界防御”不再能完全御敵于門外。

“NeverTrust,AlwaysVerify(永不信任,持續(xù)驗證)”零信任模型(ZeroTrustModel)的出現(xiàn),部分解決了員工端被攻擊的風(fēng)險,其核心思想是,對任何用戶、設(shè)備、應(yīng)用程序都不因一次身份驗證而給予“終身信任”,內(nèi)外網(wǎng)一視同仁,不相信任何人,驗證一切。

也就是說,系統(tǒng)對所有進(jìn)入企業(yè)網(wǎng)絡(luò)的人,都要基于身份、動作、特征、數(shù)據(jù)等變量不斷核驗,同時把“城市”分割成無數(shù)個大大小小的房子,允許通過身份核驗的用戶,只擁有進(jìn)出和使用小房子的權(quán)限。這樣確保了無論業(yè)務(wù)如何變化和擴(kuò)展,企業(yè)的數(shù)字資產(chǎn)始終處于動態(tài)安全狀態(tài)。

不過,王淼認(rèn)為,零信任可以從一定程度上提高攻擊難度,降低被攻破的風(fēng)險,但企業(yè)整體安全的真正提升,還需要建立人、技術(shù)、管理的綜合防御體系。

“安全防范要謹(jǐn)防銀彈思維,企業(yè)主經(jīng)常問,是否有一套系統(tǒng)可以徹底解決問題?但從來沒有天下無敵的武器。”馬勁松對此也十分贊同,攻防是動態(tài)過程,需要持續(xù)的投入、持續(xù)的運營、持續(xù)的升級和關(guān)注。

只是長期以來,安全作為一項長期、潛在收益的投入,在企業(yè)IT成本中占比往往只在3%-5%之間,“隨著國家監(jiān)管日益增強(qiáng)、網(wǎng)絡(luò)安全攻防挑戰(zhàn)越來越激烈,如果建立完善的防御體系,這個比例的確比較低。”王淼認(rèn)為,上海前段時間提出的10%占比,是非常有必要的。

新挑戰(zhàn):供應(yīng)鏈攻擊

一旦被攻擊,數(shù)據(jù)備份的恢復(fù),依然是被勒索后最有效的解決措施。但有些時候,攻擊組織非常狡猾,通過暴力破解服務(wù)器或者利用漏洞進(jìn)入網(wǎng)絡(luò),在獲得管理員密碼的訪問權(quán)限后,手動部署勒索軟件并加密被攻擊者的核心關(guān)鍵設(shè)備,甚至?xí)绕茐钠鋫浞莘?wù)器。

“出現(xiàn)這種情況,一般是數(shù)據(jù)備份并沒有做到位,沒有異地分開存儲,如果是備份在同網(wǎng)段、同類型服務(wù)器,也很有可能被攻破。”王淼介紹,其所在電信運營商都是跨網(wǎng)絡(luò)備份,而且會對數(shù)據(jù)進(jìn)行分級管理,重點保護(hù)核心資產(chǎn)數(shù)據(jù)。

在萬事皆云的年代,企業(yè)上云是把雙刃劍,既擴(kuò)大了受暴露面,但同時可以更好地依賴云技術(shù)。

據(jù)馬勁松介紹,當(dāng)騰訊云的客戶主機(jī)出現(xiàn)很多異常行為時,比如高負(fù)載情況、高CPU占用、高磁盤占用,系統(tǒng)會自動告警甚至直接阻斷,這些措施都是基于云端實施,部署、交付成本很低。此外,基于云的數(shù)據(jù)加密、備份可以做得更加充分和及時,即使被攻擊,也會有多種數(shù)據(jù)恢復(fù)手段,做相應(yīng)彌補(bǔ)。

朱易翔則補(bǔ)充介紹,目前有一種磁盤快復(fù)制技術(shù),可以在遠(yuǎn)端或者異地,對磁盤做快照或者鏡像,這樣數(shù)據(jù)傳輸不多,占用帶寬較少,但同樣可以實現(xiàn)備份,且數(shù)據(jù)恢復(fù)也比較快。

但朱易翔同時提醒,國內(nèi)電信運營商要注意的是新挑戰(zhàn)——對供應(yīng)鏈的攻擊。

2020年12月,知名IT公司Solars旗下的Orion網(wǎng)絡(luò)監(jiān)控軟件更新服務(wù)器遭黑客入侵并植入惡意代碼,由于其客戶群體覆蓋了大量重要機(jī)構(gòu)和超9成的世界500強(qiáng)企業(yè),導(dǎo)致美國財政部、商務(wù)部等多個政府機(jī)構(gòu)用戶受到長期入侵和監(jiān)視。

電信運營商信息系統(tǒng)龐雜,內(nèi)有相當(dāng)多數(shù)量的軟件和組件,一旦其供應(yīng)商被大規(guī)模侵入,很有可能成為病毒污染鏈上的一個“分子”,朱易翔認(rèn)為,這個潛在威脅,將可能給國內(nèi)電信運營商帶來諸多“麻煩”。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2021-07-30
國外運營商中招,支付系統(tǒng)癱瘓!國內(nèi)運營商能躲得過勒索病毒嗎?
國外運營商中招,支付系統(tǒng)癱瘓!國內(nèi)運營商能躲得過勒索病毒嗎?,厄瓜多爾國家電信公司CNT正在緩慢恢復(fù)服務(wù)。7月22日開始,支付系統(tǒng)逐漸恢復(fù),截至7月25日,用戶可

長按掃碼 閱讀全文