随着5G、边缘计算、数字孪生等技术的发展,传统企业进入了数字化转型时代,但相对而言,这是一个同步演化的威胁病毒和威胁集团。
根据云时代网络安全解决方案提供商Palo Alto Networks (派拓网络)最近的发布的《2022年Unit 42事件响应报告》,投机网络攻击者发现了软件的漏洞和弱点
从行业来看,金融和房地产赎金金额位居前茅,平均被勒索近800万美元和近520万美元。 总体而言,威胁病毒和商务电子邮件泄露( BEC )是事件响应团队过去12个月响应的最重要事件类型,约占事件响应案例的70%。
随着国家互联网信息办公室公开募股《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》,企业在推进技术转型的同时,也越来越重视网络安全和风险应对。
作为国内的网络安全制造商,亚信安全拥有大量“堆积”的安全产品和零散的部签名安全检测技术,无法抵挡现代的威胁病毒攻击,apt(advancedpersistentthreat )
进化的胁迫病毒
亚信安全首席研发官吴湘宁表示,在数字化转型过程中,企业IT水平的不断提高,意味着安全防护能力也需要与整个基础设施同步进行。 目前,大型部行业的客户都有这种意识,但离“解决问题”还有差距。 这种差距主要是由于对整个网络安全的认识还不够,这是当前行业客户面临的一大挑战。
亚信安全副总裁徐业礼认为,2010年至2015年,是网络安全真空期,在此期间,网络黑产集团主要利用漏洞进行组织渗透、木马植入和信息破坏。 勒索病毒真正大范围流行是从2016年开始的,当时出现的勒索病毒Cerber和Loki现在仍在流行。
2016年,特别是2017年出现恐吓病毒WannaCry后,出现了多种恐吓攻击的前置木木马和工具条件。
2018年至2019年间,随着采掘软件的兴起,部名人员转向采掘,使产业数量暂时缩小。 徐业礼说,从这一点来看,整个互联网安全黑产变化的背后,其实是利益的变化。目前,随着技术的发展,勒索黑产也在逐步升级,勒索病毒攻击已成为网络安全的最大威胁,大量形成分工精细、专业化、职业化的勒索集团组织。 徐业礼表示,恐吓攻击目前已正式进入2.0时代,其攻击特征高度符合行业对APT攻击的认定标准。 现代威胁攻击的转换升级主要体现在作战模式、攻击目标和威胁方式上。
什么是RaaS团队攻击
恐吓作战模式从传统的小型群体单独作战转变为模块化、产业化、专业化的大型群体作战,背后是恐吓模式运营演化————RAAS的兴起。
RaaS的流行使恐吓攻击范围更广,危害程度明显增加; 其次,恐吓攻击目标也由过去的广域网蠕虫型攻击升级为对政府、重要信息基础设施和各类企业的定向攻击; 此外,从恐吓方式来看,现代恐吓攻击从传统的支付赎金恢复数据的恐吓方式演化为同时进行双重威胁甚至三重威胁。
北京邮电大学网络空间安全学院教授、彭海朋副院长说:“勒索病毒的攻击能力非常惊人,而勒索病毒的作者持续开发周期,其产生新变种的更新速度和攻击方式变化非常快,软件的弹性、驻留能力、固件另一方面,RaaS的攻击形式进一步加强了攻击的隐蔽性,恐吓攻击从个人或单一黑客群体的攻击,转向层次清晰、分工明确的黑色产业活动,恐吓行为越来越专业化。
据亚信安全报告,2022年度包括RaaS集团在内的威胁病毒家族数量逐渐增加,截至目前为65人,预计到今年年底将增加到90人左右。
徐业礼表示,2018年底,行业内出现新的恐吓攻击组织——Maze。 以前的恐吓攻击方式是破坏企业系统,但没有对外泄露。 Maze的攻击方式是窃取企业数据,然后加密企业本地计算机中的文件,进行双重胁迫。 以前的勒索病毒赎金一般在100美元到10万美元之间,而现在的勒索攻击赎金为100万美元,有的甚至达到2、3亿美元的规模。
徐业礼表示,2019年,传统的勒索病毒从业者陆续跳槽到RaaS,这种模式也在不断升级,虽然采用加盟模式,但RaaS开发和运营的门槛也很高,核心员工多为顶级人士,所以家庭成员并不多
例如,科技巨头英特尔、三星等也遭遇过威胁病毒攻击。 2022年2月,新兴的勒索组织Lapsus$公开承认窃取NVIDIA约1TB的数据; 3月,Lapsus$攻击三星电子,将被盗的约190GB的数据分割为3个压缩文件,泄露到外部。企业如何提高网络安全意识
派拓网络大中华区总裁陈文俊表示,目前整个金融服务业正在向数字化转型,业务数据量爆发,增长迅速。 同时,企业开始使用一些公共云服务,与客户的交流类型也在——年前开始在分店办理业务。 目前,客户更重视银行服务等的体验和交流。 业内从业人员也因疫情增多,人员逐渐流动,使用网上银行。
在此背景下,陈文俊表示,金融业面临着非常大的挑战,也是网络攻击的首要目标。 金融业客户拥有大量的金融资产和数据资产,在受到攻击后,黑客可以相对容易地获利较多,因此目前金融业是遭遇安全事件和数据泄露最多的行业之一。
总体而言,面向任何行业,威胁病毒攻击可分为6个阶段——初始入侵、持续驻留、内网渗透、命令控制、信息泄露、威胁执行。 亚信安全保障认为,单一的防御安全系统很难对这种与传统病毒不同的“杀伤链”发挥作用。 例如,现代威胁攻击集团在入侵后潜伏数日、数周或数月,在实际运行威胁病毒加密删除文件之前偷偷寻找并向外传播有价值的文件和数据。 另外,在勒索密码并实际启动前,一般会进行无杀处理,禁用杀毒软件。
因此,亚信安全通过对终端、云、网络、边界、身份、数据的检测和响应以及威胁数据、行为数据、资产数据、身份数据、网络数据等的联动分析,形成了反威胁病毒的全链条,“事前、事件中
徐业礼对记者说,每次企业在网络攻击面前受到攻击,他们都越来越认识到黑灰产业带来的破坏力,提高了对互联网的安全意识。 企业在早期防护方面的投资远远少于受到攻击后发生的停产、停业和停机的成本。
“网络安全公司一定会对所有行业的企业和部的数字转换起到基本的辅助作用。 果然企业自身需要有这种意识。 ”吴湘宁对记者说。