專家視點 | 阻擊勒索軟件病毒,共建數字安全世界
責編:gltian |2019-04-19 11:08:472019年RSA的Slogan是Better,這也是自從1995年以來RSA大會每年一個的主題詞中,最簡潔、有力的一個。會前,關于“Better”含義的猜測見仁見智:更堅固的安全方案?更清晰的風險預測算法?更智能的安全運維?各路豪杰的觀點都沒錯,但都只回答了一方面。RSA官方的解釋是,讓我們一起創造一個更安全的數字世界,從而讓現實世界變得更加美好。
創造一個更安全的數字世界,需要我們創造更多的技術,聯動更多的力量,抵御更多的風險,從而擺脫勒索軟件、APT攻擊、數據竊取等黑暗力量的籠罩。
勒索軟件的30年發展,從理想主義到利益至上
近年來,以勒索軟件為代表的“新威脅”不斷出現,這讓許多用戶感到束手無策。但是,很多人也許并不了解,許多威脅的起源可以追溯到30年前或者更久。
1989年,2萬張感染了“AIDS Trojan”病毒的軟盤被分發給國際衛生組織國際艾滋病大會的與會者,造成了大量文件被加密,這也是歷史上第一個勒索軟件。
無論從哪個角度來看,第一個勒索軟件的誕生都充滿了一定的理想主義,它并沒有被大規模分發,而是僅針對艾滋病大會進行定向傳播,目的更像是宣傳自己的政治與學術態度,或只是簡單的惡作劇。而且,由于其只使用了簡單的對稱密碼,因此很快就被解密工具輕松恢復。
技術是一把雙刃劍,勒索軟件用事實再次證明了這句名言。在此后的17年間,由于沒有更好的加密方法,勒索軟件基本上“銷聲匿跡”——直到2006年“Archievus”的出現。Archiveus是第一個使用非對稱加密的勒索軟件,它主要采用RSA加密方法,會對“我的文檔”目錄里面的所有內容進行加密。更值得關注的是,這個勒索軟件開始把魔爪伸向受害者的錢包,黑客會要求用戶從特定網站來購買以獲取解密文件的密碼。
勒索軟件發展的另一個標志性事件是以數字貨幣為代表的匿名支付方式的出現。由于銀行轉賬等傳統的支付方式讓網絡勒索者很容易暴露在執法機關的打擊力量之下,而通過區塊鏈技術可以更好地隱藏自己、“安全”地獲得高額收益。同時,隨著數字貨幣價格飆升,勒索軟件開始在地下網絡市場中逐漸流行起來。
2013年9月,網絡不法分子找到了適用于勒索軟件的新型加密方法,即采用AES-256lai加密特定擴展名的文件,并利用2,048位RSA密鑰來加密AES-256位密鑰,這讓被加密文件的恢復變得極度困難,束手無策的受害者往往只能選擇向不法分子支付贖金。大名鼎鼎的“WannaCry”勒索蠕蟲采用的正是這種加密方式,并在2017年肆虐爆發,至少150個國家、30萬名用戶中招,造成損失達80億美元,影響極為深遠。
如今,勒索軟件已經成長為主流的安全威脅之一。亞信安全2018年的安全總結報告顯示,勒索軟件病毒已經在全球范圍內呈現爆發態勢,美國、日本、中國、歐洲都成為勒索軟件肆虐的“重災區”。并且,為了躲避網絡安全防護系統的查殺,勒索軟件新變種正在不斷產生,并通過與魚叉式釣魚郵件、漏洞利用傳播、軟件捆綁安裝和APT技能相組合,這使得傳統基于特征碼的防護方式效用大減。此外,網絡不法分子還針對每個地區的語言及經濟文化特點,對勒索軟件進行了本地化,以提升索要贖金的成功率。
成功攔截“WannaCry”勒索蠕蟲,“機器學習”只是功臣之一
把時間倒退到2017年5月14日零時,全球“WannaCry”勒索蠕蟲席卷全球,整個攻擊遍布全世界100多個國家。在這次大規模的威脅事件中,亞信安全服務的所有客戶通過以機器學習技術為核心的桌面安全解決方案成功抵御這次瘋狂的攻擊,成為了國內首個在終端利用新興技術成功抵御此次攻擊的安全企業。和傳統網絡廠商定制的戰略不同,亞信安全將重點聚焦在“事前縝密的準備工作”,并在這次事件中的表現很好地佐證了這一理念,在沒有防毒碼之前,就進行了有效防護。
【WannaCry的勒索信息提示】
不過,勒索軟件也在攻防交替中迅速演化。目前,圍繞著勒索軟件新變種的開發、傳播,以及感染渠道與工具的交易,已經形成了一個組織嚴密、規模龐大的勒索軟件地下灰色交易市場。亞信安全的研究人員發現,地下黑市非常流行的一種勒索軟件交易鏈條:黑客負責勒索軟件最新變種的開發,并可以將其轉讓給任何用戶,前提是他們必須支付一定比例的收益贖金(“分賬”的方式)。除了核心的勒索軟件產品外,地下黑色市場還提供與勒索行為相關的額外功能與服務,包括對于多平臺的支持、針對特定產品的漏洞進行定制化等。
與此同時,機器學習所代表的人工智能在網絡安全領域同樣得到了迅速發展,其直接動因在于越來越復雜的網絡安全形勢,因為,不論威脅的數量、或是威脅的處理速度,都已經在很大程度上超過了人工的處理能力。就比如在2018年這一年,亞信安全共攔截了勒索軟件 207,722 次,在這些勒索軟件攻擊事件中,犯罪分子為了追求更大的利益,重點將目標瞄準了制造業、保險、石油和天然氣等網絡安全相對薄弱的企事業單位,如果仍然堅持通過傳統的特征碼分析處理模式,根本無法處理,而且其對人力、網絡、資金成本的損耗也是驚人的。
可以說,機器學習、虛擬補丁管理、異常行為檢測、沙箱分析等技術手段在“WannaCry”及后續勒索軟件、挖礦病毒的災情中發揮了重要作用。但我們認為,在可預見的未來,網絡攻防的對抗都不會到達終點,網絡攻擊者也會利用人工智能、機器學習等技術來進行自動化攻擊,這讓企業很難再豎起堅不可摧的防線。因此,在不斷改進和融入新工具的同時,企業還應該將更多的資源投入到威脅發現之后的應急響應上,將損失降低到最小值。
未來安全防御是一場與時間賽跑的游戲
不論是勒索軟件還是其他手段混合而成的APT攻擊,網絡攻擊者無時無刻不在找尋滲透企業IT環境的途徑,其中一個最容易的通道,就是利用終端上的各種漏洞。有的時候這些漏洞可能影響極小、或是沒有被廠商公布,甚至人為的漏洞,就比如:只是操作人員用鼠標點擊了一封冒名郵件,一場蓄謀已久的APT攻擊就此發作……
此時,雖然企業在正面已經構建起堅固的安全防線,但是網絡攻擊者采用了迂回的策略,滲透到防線背后,讓網絡安全防護系統喪失作用。這就像是“馬奇諾防線”在網絡世界的再現:一旦企業的應急響應能力不足,那么其遭受的損失將以指數級別進行擴散。
所以,我們的網絡安全戰略思維必須重新擬定,也就是說做好最壞的打算:假設黑客已經進入到網絡,下一步怎么辦?
未來的安全防御將是一場與時間賽跑的比賽,時間決定了效果、能力和范圍。為何這樣說呢,這與“突破時間(breakout time)”和“1-10-60規則”密切相關。
“突破時間”是指入侵者發起攻擊到成功獲得系統權限的時間,而“1-10-60規則” 則是指:在1 min內檢測出威脅;事件發生后在10 min內尋找出解決方法;60 min內修復并控制攻擊行為。這提醒著企業用戶要竭盡所能地提升應急響應時間,與時間賽跑、與黑客賽跑。
在惡意攻擊“搶跑”的條件,亞信安全為用戶爭取時間的方法則是最新發布的XDR戰略。即:通過精密編排的網絡空間恢復補救能力,逐漸形成了包含安全編排(security orchestration)、自動化(automation)和響應(response)的SOAR框架,通過標準化的預案、專業化的調查工具和安全響應專家團隊的合力,形成XDR解決方案,利用精密編排的智能聯動技術將安全產品以及安全流程連接和整合起來,進而協助用戶實現安全防御能力的進階。其中,XDR中的“X”代表安全風險的不確定性和變量,甚至未知,同時也包含了EDR,NDR,MDR等創新技術和專業化的管理平臺。
做好最壞的打算,未雨綢繆才是上策。從執行時間點上看,亞信安全的XDR解決方案以面向失效為原則,“即使在最壞的結果面前,不再束手無策”,這可以進一步解除用戶的擔憂。而從方案部署的核心要素來概括則包括:標準的預案、專業的調查工具、安全響應專家。
1)標準的預案
這包括“準備、發現、分析、遏制、消除、恢復、優化”策略,進而來確定用戶碰到不同的威脅類型的時候該怎么處置。
2)專業的調查工具
高效、精準的應急響應需要專業設備層面的支撐,這些具備人工智能算法的設備能夠在服務器和終端內核里面發現異常現象,這是確保查清楚黑客到底做了什么、目的是什么,通過什么方式的關鍵。
3)安全響應專家
安全專家的服務將覆蓋到準備、執行和結束階段,第一時間找到關鍵攻擊的線索,找出完整的證據鏈,同時提供配套的處理方法,并防止再次出現同類攻擊。
未來已至:以術識道,化道為術,術道合一
目前,全球數字化正滲透所有行業,跨界、融合會使行業界限變得越來越模糊,到2022年全球GDP的60%都會是數字化的,而每一個行業的增長都是由數字化增強的產品、運營和觀念來驅動。在這個全數字化時代,現實世界與虛擬世界已相互交織,驅動著網絡安全行業從技術思想、方法論到產業思維進行演進,推動我們重新審視現有的安全防護模式。
正所謂有道無術尚可求,有術無道止于術。網絡安全的未來已來,亞信安全以“安全數字世界”為愿景,以“護航產業互聯網”為使命,全面發揮獨有的無代理、跨平臺的云安全技術,構建網絡空間可信身份基石,打造終端安全智能聯動體系,并以全天候覆蓋的安全態勢感知場景,以及“10秒感知天下”的威脅情報技術、持續演進的高級威脅治理戰略,創造網絡安全產業的新勢能和新動能,助力國家網絡強國夢。
“C3安全峰會”精彩預告
為了推我國網絡安全防護能力的進階提升,亞信安全將在2019年5月7日召開的C3安全峰會上設定相關議題,共同探討當下所面對的風險變化與應對手段。據了解,作為中國最高規格的網絡安全行業閉門盛會,2019年C3安全峰會將開設8個技術和管理論壇與7個行業論壇,一同研討的數字經濟時代的新挑戰與新機遇,未雨綢繆,共建安全的數字世界。
##
關于亞信安全
亞信安全是中國網絡安全行業領跑者,以安全數字世界為愿景,旨在護航產業互聯網。亞信安全是云安全、身份安全、終端安全、態勢感知、高級威脅治理、威脅情報技術領導者,同時是5G、云計算、物聯網、大數據、工控、移動六大安全場景引領者。在國內擁有3個獨立研發中心,2,000人安全專業團隊。欲了解更多,請訪問: http://www.asiainfo-sec.com
更多媒體垂詢,敬請聯絡:
| 亞信安全 | 謀信傳媒 |
| 劉婷婷 | 雷遠方 |
| 電話:010- 58256889 | 電話:010-67588241 |
| 電子郵件: liutt5@aisainfo-sec.com | 電子郵件:leiyuanfang@ctocio.com |