如今,勒索软件已成为增长最快的网络犯罪,是人类已知的最具传染性的“数据疾病”。
同时事实证明,经历了几年的攻防演进,勒索软件攻击不仅没有减少,反而变本加厉,攻击事件层出不穷。可以预见,2022年勒索软件攻击事件还将显著增长,攻击者的数量也将达到空前的程度。
2022年勒索软件更加猖獗 呈现三大新趋势
随着勒索软件攻击被证明越来越有利可图,今天的勒索软件攻击比以往更加危险和猖獗。瑞数信息认为,2022年勒索软件将呈现三大新趋势,需要密切关注。
趋势一:勒索软件数量继续上升,勒索软件成为最大的安全威胁
高利润的回报,刺激着更多的犯罪分子加入勒索行业。在众多勒索软件攻击事件中,大部分的勒索团伙采用了双重勒索策略,即攻击者会首先窃取大量的敏感商业信息,然后对受害者的数据进行加密,并威胁受害者如果不支付赎金就会公开这些数据,以数据泄露引发的商誉损害与法律追责等手段威胁受害者支付巨额赎金,这给企业带来了巨大的压力。
同时,RaaS(勒索软件即服务)商业模式的兴起,使得从业者无需任何专业技术知识就可以毫不费力地发起网络敲诈活动,这也导致勒索软件呈现低成本、低门槛趋势,让勒索攻击愈演愈烈。
2022年,随着网络犯罪分子专业化以及对供应链利用程度的提升,勒索软件数量还将显著增长,攻击者的数量也将达到空前的程度。同时,勒索软件攻击也将迅速蔓延至整个攻击面,勒索软件威胁将无处不在,成为当今大多数企业面临的最大安全威胁。
趋势二:勒索软件对医疗行业的攻击加剧
受企业级安全攻击高回报率的诱惑,勒索软件攻击对政府、金融、教育、医疗等多个高价值行业都构成了严重威胁,但医疗机构因其丰富的医疗设备和患者信息成为了攻击者的最佳目标。
据FBI发布的安全通告显示,在过去一年内至少发现了16起针对美国医疗和应急响应机构的Conti勒索软件攻击,该勒索软件在全球攻击了超过400家医疗和应急响应机构。
在欧洲网络与信息安全局(ENISA)威胁景观报告中,2019年有超过66%的医疗组织遭遇了勒索软件攻击,45%的医疗组织被迫支付了赎金,但有一半的医疗组织在支付赎金后仍然丢失了他们的数据。
2022年,勒索软件针对医疗行业的攻击还将持续加剧,精确打击、不断革新的加密技能、规模化的商业运作,将对世界范围的医疗机构持续产生严重危害。在这种形势下,医疗机构的IT团队将面临空前挑战。
趋势三:勒索软件导致的数据泄露规模更大、成本更高
数字化进程的加速,使得数据价值日益凸显,一次数据泄露可能会影响数亿甚至数十亿人。同时随着云计算的快速普及,勒索软件越来越多地将以云存储为目标,以最大程度地发挥影响力并增加杠杆作用以提高利润、扩大企业数据泄露的规模和风险。据Cybersecurity Ventures研究表明,2021年全球勒索软件的损失成本预计达到200亿美元。
进入2022年,数据泄露还将继续增加,规模会更大,各国政府和企业将付出更多的代价来进行恢复,不限于事件响应成本、数据备份成本、系统升级成本,还包括数量泄露带来的声誉损失成本、法律风险成本等隐性成本,其损失甚至数倍、数十倍于显性损失。
传统安全手段失效 无法应对新型勒索软件攻击
疯狂的增长速度,和惊人的破坏力,使得勒索软件攻击已成为笼罩在全球企业心头的一团“乌云”。尽管很多大型企业都有着严密的安全防控系统和数据灾备系统,但仍没能防住勒索软件的攻击,最终导致数据泄露。这是因为面对不断升级的新型攻击技术和勒索方式,传统安全手段已无法有效抵御勒索软件攻击。
从传统防病毒软件看,由于其安全策略是基于特征和规则,应对勒索病毒主要采取“截获样本——分析处理——升级更新”的方式,这种模式会给勒索病毒的传播和破坏带来一个“空窗期”。一方面,特征匹配无法防御未知或多态病毒,而靠漏洞修补无法防御0day漏洞,此外,病毒还可以通过低可见度慢速攻击策略,绕过安全系统的行为分析,进行深度潜伏的攻击行为;另一方面,白名单的规则设置也过于复杂,难以保证业务与安全之间的平衡。
从传统备份和容灾系统看,尽管可以很好地实现数据备份和容灾,但却无法判断在遭遇勒索软件攻击时,灾备数据的可用性和安全性,例如:备份数据是否被感染了?哪些数据需要恢复?备份恢复的时间点是什么?多少时间可以恢复?是否会被重复攻击?数据是否实时可用?数据保存是否完整?能否仅恢复损毁的数据......
如果灾备系统已被勒索软件攻击,存在大量被损毁的文件,却盲目地完成备份/容灾任务、恢复“脏数据”,反而会加重感染范围,造成恢复后的系统仍无法正常使用,部分企业即使有备份,仍然被迫支付赎金的后果。另一方面,传统灾备系统需要数天甚至数周的恢复时间,无法满足快速恢复的应急响应需求,将业务中断的损失降至最低。
随着国内《数据安全法》《个人信息保护法》等法律陆续出台,欧盟《通用数据保护条例》(GDPR)正式生效,数据安全监管日趋严格,安全合规要求持续提升,保护高价值的数据和业务连续性,防止数据泄露,成为各大企业安全防护的刚需。
面对日渐失效的传统安全手段,企业该如何应对勒索软件攻击高发趋势,有效反击黑客勒索,保护数据安全?
瑞数构建数据安全“三道防线”让企业轻松反勒索
针对这些挑战,瑞数信息基于数据安全的三要素——机密性、完整性和可用性,推出以数据安全底座,具有“数据风险管理+智能威胁感知+快速应急响应”三大防护能力的瑞数“数据安全检测与应急响应系统” (Data Detection and Response, DDR),构筑起事前、事中、事后三道防线的纵深防御体系,有效对抗勒索软件攻击,让企业可以在数分钟内恢复系统的正常运作。
第一道防线——事前数据风险管理
盘点数据资产与排查系统隐患是做好数据安全的第一步。瑞数信息创新的智能数据资产识别引擎,基于“深度文件内容检测”技术,能够高效识别企业数据中心内各类结构化与非结构化数据,生成数据完整性、敏感数据分布及权限审计等报告,从而全面掌控企业内数据资产的管控现状。此外,更通过漏洞检测与配置核查等机制,排查系统隐患,保护数据资产的安全。同时,对备份数据进行安全隔离,防止恶意软件或黑客进行破坏或篡改。
第二道防线——事中智能威胁感知
传统数据防护手段主要通过对恶意软件特征和文件内容进行识别,但面对未知的恶意自动化攻击几乎无能为力。瑞数信息创新的AI行为智能识别引擎,提供了基于“数据访问行为模式”的智能分析与识别能力,从而不再受制于复杂繁琐的攻击特征与行为规则,实现全链路智能行为与内容变化追踪,对批量数据窃取及高度隐蔽性异常访问等恶意行为进行智能安全分析,高效识别各类已知与未知的攻击,同时也弥补了传统杀毒软件无法对未知恶意软件特征进行识别的短板。
此外,瑞数“数据安全检测与应急响应系统”(DDR)可对攻击过程中损毁的文件进行检测,帮助企业快速恢复IT系统。瑞数信息通过独有的文件与数据库动态变化追踪技术,可以在备份过程中发现损毁或异常的文件或数据,检测准确性达到98%以上。
第三道防线——事后快速响应恢复
瑞数信息创新智能检测沙箱与溯源引擎能够有效定位攻击事件根源,协助安全管理人员快速移除勒索软件并对系统进行加固,自动生成可直接挂载的干净磁盘镜像,达到分钟级的数据恢复,将业务中断的时间降到最低。
通过以上三道防线,瑞数“数据安全检测与应急响应系统”(DDR)有效解决了传统终端安全软件被绕过、备份系统恢复过程冗长、备份数据不可用等严峻的安全问题,为企业用户带来四大价值:
首先,通过数据资产排查,帮助企业用户摆脱无法掌握数据资产分布以及数据安全威胁不可见的窘境。
其次,建立数据安全预先防护能力,通过动态隔离和安全存储保障备份数据的安全,有效防备勒索软件和黑客的破坏,基于增量备份技术进行变动追溯,大幅度提升智能检测的速度,从而避免被黑客威胁后,才发现大量数据被窃取;避免大量数据被加密后,才发现已经长时间被勒索软件攻击;避免备份数据被破坏、遇到紧急状况时,才发现无法恢复数据。
再次,防止数据恢复进程过于漫长,缩短业务中断时间。
最后,数据验证沙箱,分钟级搭建模拟真实生产数据的隔离测试环境,解决企业测试数据更新不及时且搭建时间冗长,以至于难以在测试环境快速重现和定位生产环境发现的问题。
结语
在产业分工更加精细、技术手段愈加成熟的勒索软件攻击趋势下,如何跳脱赎金“绑架”、防止数据泄露,已成为各行业的必答题。面对日益猖獗、信用度不高的勒索软件团伙,依赖赎金支付的数据修复策略已经失效,防患于未然的主动安全防御体系显然更为重要。瑞数“数据安全检测与应急响应系统”(DDR)作为主动防御理念下的代表产品,能够最大限度规避勒索软件攻击风险、降低攻击成本,保护企业应用数据安全,为企业数字化建设提供基础安全支撑。