在美剧《傲骨贤妻》中,有一个关于律师事务所遭受勒索软件攻击的场景。当律师事务所遭受攻击后,他们无法访问任何文件,不得不停止一切工作,甚至将无法出席法庭为客户辩护,并且还面临企业和客户保密信息泄露的风险。然而,他们所面临的不仅仅是支付巨额赎金的威胁,甚至将面临法律制裁。可想而知,律师事务所面临着前所未有的危机。
这不仅仅是电视剧中的场景,更是现实生活中企业和个人面临的攻击事件。就在前不久,记者的朋友就遭遇了勒索软件攻击,攻击者放话交付比特币即可放过她。最终,朋友无奈放弃了电脑中的所有数据,拒缴赎金。值得庆幸的是电脑刚刚使用不久,基本没有机密文件。朋友中招勒索软件后的页面,如下:
当企业遭受攻击后,所面临的后果不仅仅是数据被加密,还要面临企业运营活动中断、商业机密泄露、客户信息泄露等无法挽回的风险。对于中小企业而言,在缺乏安全防护的情况下,一次勒索软件攻击或许是致命的。那么勒索软件造成的后果如此严重,其发展趋势是怎样的呢?有什么特点呢?有应对对策么?带着这些疑问,记者采访了赛门铁克公司大中华区总裁陈毅威先生和赛门铁克公司大中华区首席运营官罗少辉先生。
赛门铁克公司大中华区总裁陈毅威先生(左)和赛门铁克公司大中华区首席运营官罗少辉先生(右)
勒索软件成为当下发展最快的网络安全威胁之一
近日,赛门铁克正式发布了《勒索软件与企业2016》调查报告。通过赛门铁克对全球勒索软件攻击数量的监测显示,2015年10月至11月,全球勒索软件的感染数量出现激增,随后出现回落;直至2016年3月,全球勒索软件感染数量再次激增。赛门铁克发现,这一增长与全球同期爆发的勒索软件Locky时间相一致。
对此,陈毅威认为:“目前,勒索软件正呈现出快速增长的态势的主要原因有三点:第一,黑客发现使用勒索软件进行攻击具有高回报率,能够轻松获得较好的金钱利润。第二,企业遭遇勒索后,由于担心数据受到损害,受害企业通常会具有较为急迫的心态,希望通过交付赎金尽快赎回企业信息。第三,黑客不仅对PC,笔记本电脑等一般终端实施攻击,更是对企业的服务器端进行攻击。因此,企业如果感染勒索软件文件,文件服务器中的内容也会面临加密风险。”
另外,从攻击者的角度来讲,影响勒索软件增长的主要因素有以下四点:
第一,攻击者能够相对容易地实现文件加密。
第二,更多攻击者会采用垃圾邮件和攻击工具包等有效载体进行勒索软件感染。
第三,部分攻击者会采用APT等高级攻击手段对重要目标进行攻击,以确保能够成功侵入目标企业的网络,这些采用APT手段进行的勒索软件攻击往往会对金融机构以及政府相关机关进行攻击。
第四,勒索软件攻击已形成“勒索软件即服务”模式,黑客会将从黑市中获取的链接和论坛中分享的恶意程序相关服务发布到云中,从而扩大恶意程序的传播面积。
今天,勒索软件呈现出了哪些新特点?
勒索软件在发展的同时,也呈现出新特点。
特点一:使用脚本语言躲避检测。为了应对安全厂商不断更新升级的安全防护手段,部分勒索软件家族会利用电子邮件下载等方式,通过JavaScript、PHP、PowerShell和Python等脚本语言发动下载程序以躲避检测。邮件网关以及其他终端防御的防毒软件通常不会侦察到这些脚本语言的问题。在成功躲避检测后,攻击者会通过脚本语言中的恶意链接或利用其启动下载程序,从而令终端受到感染。
特点二:很多勒索软件除加密终端外,还会执行其他附加功能。CryptXXX勒索软件会在加密终端的同时,窃取终端内的比特币钱包数据。Cerber勒索软件同样会在加密终端数据时,将终端加入僵尸网络并执行DDoS攻击。
特点三:某些勒索软件会在勒索信中加入新型威胁。除了对数据进行加密外,Chimera勒索软件会告知受害者加密文件将每隔数小时便公布于网络中,迫使用户尽快支付赎金。
为什么个人是勒索软件攻击的主要目标?
最新发布的《勒索软件与企业2016》调查报告显示,现在个人消费者仍然是勒索软件的主要攻击目标(57%)。为什么会出现这种现象?为什么个人是主要的攻击目标呢?企业对于自身信息更为看重,应该也更愿意支付赎金。为什么企业不是主要的目标?
对此,罗少辉认为,不同的黑客发动攻击时,所选择的目标也不尽相同。有些黑客仅针对消费者进行攻击,因为消费者的安全意识较低、防护措施较差等特点,黑客通过简单的勒索攻击就能够轻易的进行攻击。同时,由于勒索金额较小,消费者为了尽快获得密钥会更加倾向于支付赎金。所以,我们会看到,现在的勒索软件大部分针对消费者用户。
而针对企业的攻击,由于攻击规模相对大,需要黑客采用一些专业攻击工具,但是所获得的利润是可观的。也正是由于勒索软件针对企业的攻击数量上升,才会迫使企业更加重视安全防护。因此攻击企业是黑客投资更高,对黑客的技术要求也高。
企业该如何对抗勒索软件攻击?
虽然目前攻击者的主要目标是个人,但是从长期趋势来看,以企业为攻击目标的勒索软件正在缓慢且稳步地增长。在这样的增长趋势下,企业该如何对抗勒索软件呢?对此,赛门铁克建议,无论企业大小,企业应该主动从源头抵御恶意攻击,采取必要的安全手段和防御措施,降低自身受到网络安全威胁攻击的风险。
针对勒索软件的攻击手法,罗少辉向企业用户提供三点建议:
第一,预防。电子邮件是大多数恶意程序的主要入侵方式。赛门铁克建议用户加强电子邮件网关的防御能力;同时,企业需要主动防御漏洞攻击,降低恶意程序的入侵难度。此外,企业服务器端同样需要实现漏洞发现与管理等相关安全防护,同时应保持OS系统的定期更新,以此降低黑客利用漏洞入侵系统的概率。
第二,遏制。赛门铁克能够提供相应的安全防御工具,SONAR行为引擎能够对用户行文进行监测,如果看到用户存在异常行为,赛门铁克就会及时对用户行为进行拦截,确保黑客不会实现全盘加密。此外,赛门铁克所拥有的AI人工智能功能,能够增强整个服务器终端的安全防御。
第三,响应。如果客户不幸感染勒索软件,赛门铁克建议用户不要支付赎金。支付赎金的做法会促使黑客的勒索产业更加猖獗,从而导致更多的企业与个人受到勒索软件的威胁。赛门铁克能够为客户提供安全事件响应服务,赛门铁克的安全专家能够远程协助客户进行现场处置,同时将整个安全事件的入侵途径,以及网络防御方法进行整合。
赛门铁克勒索软件整体防护架构助力企业安全防护
在应对勒索软件方面,赛门铁克能够提供整体防护架构。赛门铁克SEP解决方案能够加强不同端点的安全保护功能,从而阻止勒索软件会通过终端、网关以及Web访问等方式,入侵企业系统。同时,赛门铁克ATP防护能够结合安全机制响应中心,对企业内部数据进行深层文件监测,实现对针对性攻击的侦查、保护以及相应。另外,针对Critical Server,赛门铁克ATP DMZ防护,能够设定应用程序白名单,对关键服务器进行安全保护和锁定,是恶意程序无法成功执行或安装。
不仅如此,赛门铁克能够针对终端安全实现纵深防御。
首先,赛门铁克能够以网络为基础实现保护,我们首先要确保网络安全,企业能够利用赛门铁克的解决方案,实现IPS入侵防御和浏览器防护。
第二,以文件为基础实现保护。赛门铁克会对系统内部文件进行侦查与检测,帮助用户扫描并清除入侵系统的恶意程序。
第三,以信誉为基础实现保护,赛门铁克通过自身的大数据平台,会对文件信誉进行核实。如果某些文件较少人使用,赛门铁克便会默认这些文件的信誉度非常低。从而会在网关以及终端警示用户潜在的文件信誉威胁。
最后,以行为为基础实现保护,赛门铁克能够识别大量恶意程序的行为特征,当程序在执行恶意行为时,赛门铁克SONAR行为分析引擎能够迅速检测并识别恶意软件的存在。
写在最后
采访最后,罗少辉陈毅威向记者透露,目前,赛门铁克已经完成对Blue Coat的并购。Blue Coat作为移动及云安全领域的领导者,此次并购将提升赛门铁克的综合实力。赛门铁克针对不同领域的安全防护提供全面的解决方案和服务,我对赛门铁克的未来充满信心。
此外,罗少辉还表示,随着物联网时代的到来,未来物联网设备将会成为更多勒索软件的攻击目标,潜在的威胁更加巨大,甚至危害生命健康。