本期研讨会由CIO时代联合创始人兼COO、新基建创新研究院秘书长刘晶主持。她首先对参与嘉宾表示欢迎和感谢,并对本次研讨会的举办背景进行了介绍。当前,云计算、大数据、人工智能、物联网、区块链等新技术飞速发展,各类数字货币在全球市场持续火爆,使勒索攻击呈现出持续爆发的态势。勒索攻击已经成为企业面临的主要威胁之一,如何有效防御勒索攻击已成为企业关注和讨论的焦点。
体系化作战的六大方式
北京赛博英杰科技有限公司创始人、董事长谭晓生作为研讨会的首位演讲嘉宾,发表了《用体系化作战思想应对勒索软件攻击》主题演讲。谭晓生指出,勒索攻击正呈现出赎金和攻击形式双双增加的趋势,不仅出现了双重勒索、勒索即服务,还有越来越多攻击者使用0Day作为攻击手段。大家必须认清勒索攻击的严峻挑战——勒索攻击是一种极高ROI的网络犯罪。常见的对抗勒索攻击方式包括能够提供反勒索软件功能的终端安全软件、数据备份和恢复系统,以及解密工具。
谭晓生强调,针对勒索攻击需要体系化作战:
其一,可以通过加大执法力度,追回赎金,追踪数据货币交易的方式来降低勒索攻击的收益;
其二,通过加大执法力度、开展全球警方协同、政府和民间协作的方式,对RaaS运营商进行精准打击;
其三,通过云、管、边、端协同联动的方式对抗勒索攻击,如共享勒索威胁情报、边界安全设备、利用威胁情报阻断勒索攻击、让抗勒索软件攻击成为终端安全软件的必备功能;
其四,采用欺骗防御的方式,设置勒索蜜罐,吸引勒索攻击;
其五,通过在线服务,为广大中小企业提供抗勒索攻击服务,用SecaaS降低来抗过攻击的成本;
其六,树立勒索攻击的人防工事,进行“人人为我,我为人人”的安全意识教育。
最后,谭晓生还特别强调,由于工业控制系统的安全漏洞比较多,且安全防护较差,很可能成为勒索攻击的下一个重点目标。
恶意挖矿治理四步走
中国信通院安全所数字产业部主任郑威带来了题为《虚拟货币恶意挖矿的安全风险分析》主题演讲。郑威介绍,截止2021年11月,全球加密货币种类已经超过9000种,总市值达到2.7万亿美元,且处于不断增长之中。常见的虚拟货币“矿产”包括比特币、狗狗币、以太币等等。恶意挖矿是指在未经用户同意或知情的情况下使用设备挖掘虚拟币,以隐蔽的方式使用其设备的计算资源的行为,这个劫持系统运算资源挖掘虚拟货币的过程也被称为“加密劫持”。恶意挖矿通常与设备感染挖矿木马有关,主要包括基于浏览器的驱动式网页挖矿和二进制文件的恶意挖矿。
郑威解释到,攻击者通常是出于经济动机才进行挖矿恶意,因为挖矿是有利可图的业务,与勒索软件网络犯罪相比,其攻击成本更低,更易于实施,收益直接可见,单靠个人就能完成整个攻击流程。常见的挖矿木马传播方式包括钓鱼邮件、网页和浏览器插件、软件捆绑下载、僵尸网络、漏洞、软件供应链、云容器和移动存储介质等等。
郑威还对挖矿带来的风险进行了解析,挖矿不仅会影响到我国能源战略实现,扰乱正常的经济金融秩序,还会导致严重的网络安全风险,造成企业和个人经济损失。所以,自2021年5月以来,国家已经陆续出台了多条限制挖矿活动的政策。
在本次分享中,郑威还提出了识别检测、分析处置、溯源定位和持续运营四步挖矿治理方案的总体思路,并从政府监管机构、安全厂商、企事业单位和个人用户不同的维度给出了对策建议。
五个阶段实现应急响应
上海交通大学网络空间安全学院高级讲师、(ISC)²上海分会主席施勇带来了《防范网络勒索,保障数据安全》的主题演讲。施勇首先分享了多家国际知名企业机构遭受勒索软件攻击的真实案例、数据安全相关的法规和多家数据泄密站点。
施勇建议,分五个阶段来制定应急响应计划:
第一个阶段进行预处理,在最短时间内控制事态发展,确定恢复方案;
第二阶段是数据及业务恢复,在最短时间内恢复业务系统至最低可用水准;
第三阶段是黑客驱离,确认入侵源头及方式,将黑客从网络中驱离;
第四阶段是安全加固,发现基础架构漏洞和弱点,进行修复及加固;
第五阶段是安全意识培训,提升全员安全意识,提升企业整体安全水平。
全阶段的目标是第一时间发现风险,第一时间处置风险,并且要在全程中持续监控和响应。
此外,施勇还指出了勒索事件处置的误区、缺乏完善应急预案的风险、支付勒索赎金的风险,以及引入真实勒索处理演练,提前做好功课的必要性。
三重防线对抗勒索攻击
最后,来自腾讯安全的总经理杨育斌围绕主题《牢筑对抗勒索攻击的三重防线》分享了勒索病毒的攻击态势、入侵手段和腾讯安全提供的三重防线。
据杨育斌介绍,在2021年上半年,数据价值较高的传统行业、医疗、政府机构遭受的勒索攻击较为严重,主要攻击方式包括弱口令、漏洞、僵尸网络、垃圾邮件等等。勒索攻击呈现出APT化、SaaS化的特点,勒索病毒产业链条也日趋成熟,犯罪团伙分工明确、国内解密代商盈利不菲,不仅有内鬼配合渗透的案例,甚至还出现了双重勒索和多重勒索。而入侵攻击过程通常包括信息搜集、获取入口、权限维持与提升、内网渗透、痕迹清理几个步骤。
随后,杨育斌从公有云、私有化和用户、技术人员不同的维度,详细解析了应对勒索攻击的三重防线:事前防范于未然,事中精准阻击,事后备份还原。
杨育斌指出,在事前,要对用户和整个流程涉及到的运维人员进行安全意识教育和技能培训;如果是在私有化的环境里,要进行数据备份,对主机安全进行有效的保护,通过安全运营中心进行整体的安全态势感知;如果在公有云上,同样要进行备份,对漏洞进行扫描,对云主机采取安全保护措施。在事中,用户和技术人员要进行应急演练,让各个角色知道碰到问题的时候该如何处置;在私有化环境里要做动态权限的限制和动态行为的监控,通过零信任等有效工具进行联动,进行全网的态势感知;在公有云上同样要对云主机进行相应的安全保护和防御。如果不幸中了勒索病毒,也就是事后,可以尝试恢复、加固、溯源等挽回措施,也可以向安全专家寻求帮助,或者进行安全托管。
杨育斌还分享了腾讯零信任 4T 理念:iOA,即可信身份、可信终端、可信应用、可信链路,通过做到各类接入关键对象场景的可信,降低企业在多样办公场景下的企业安全风险。
最后,杨育斌强调,基于云备份能力、云攻击难度、云原生安全以及云托管服务的优势,上云是对抗勒索攻击的更优选择。在沙利文《2021年中国安全托管市场报告》中,腾讯云安全托管服务已经成功入选并处于领袖位置。
后续精彩预告
腾讯安全与CIO时代将继续围绕《2022产业互联网安全十大趋势》举办系列线上研讨会,邀请行业大咖、企业CSO、CIO代表,共同拆解最受关注的安全建设问题:
6月—— 云原生安全专题研讨会
欢迎通过CIO时代和腾讯安全公众号、视频号持续关注!