信息化觀察網(wǎng)

本文來自企鵝號(hào)財(cái)經(jīng)故事會(huì)，采寫／何惜金。

周末，凌晨，萬物沉睡。

然而虛擬世界里，一場(chǎng)無硝煙戰(zhàn)爭(zhēng)剛剛打響。

黑客驅(qū)動(dòng)的一批“木馬”悄悄出動(dòng)，撬開云端服務(wù)器。此前，它們“忍辱負(fù)重”，偽裝成正常文件，潛伏了數(shù)月之久。

今晚，是決定黑客團(tuán)伙吃肉還是吃土的關(guān)鍵時(shí)刻，如果勒索成功，可能獲得上千萬的“回報(bào)”。過程相當(dāng)順利，各端口的防病毒“警衛(wèi)”們還未反應(yīng)，就已經(jīng)被俘虜。

短短幾分鐘內(nèi)，數(shù)千臺(tái)云服務(wù)器被加密，終端警報(bào)聲此起彼伏，停工，停產(chǎn)，停止運(yùn)營(yíng)，工廠瞬間停擺，每分鐘損失上萬。

“亞信安全嗎？我們被勒索軟件攻擊了，該怎么辦呀？”電話里的聲音驚魂未定。

安全專家們立刻出動(dòng)，分析出漏洞所在，緊急修補(bǔ)封鎖，避免“毒情”進(jìn)一步擴(kuò)散，入侵病毒順利“落網(wǎng)”，遣送沙箱觀察，有關(guān)該病毒的威脅情報(bào)被同步發(fā)送至云、管、端各節(jié)點(diǎn)，專家們?cè)俣妊策?，確認(rèn)所有雷點(diǎn)被清除干凈，通過備份還原，鏡像重置等應(yīng)急措施，數(shù)千臺(tái)云服務(wù)器被成功“解救”。

短短二十分鐘，演完了一部《長(zhǎng)安十二時(shí)辰》。

這不是電影，而是數(shù)月前，亞信安全幫助客戶對(duì)抗現(xiàn)代勒索攻擊的真實(shí)案例。

類似的勒索幾乎每天都在發(fā)生，但并非每個(gè)企業(yè)都能幸免于難。

網(wǎng)絡(luò)安全機(jī)構(gòu)Resecurity預(yù)測(cè)，到2031年，全球勒索病毒的勒索活動(dòng)將造成2650億美元的直接損失，對(duì)全球企業(yè)造成的潛在總損失或達(dá)到10.5萬億美元。

全球知名威脅情報(bào)公司RiskIQ的報(bào)告則顯示，在全球，每分鐘就有6家企業(yè)遭受勒索攻擊，每分鐘損失高達(dá)180萬美元，全年315萬家企業(yè)被勒索，金額約為6萬億人民幣。

而隨著云、大數(shù)據(jù)、AI、5G等技術(shù)的廣泛運(yùn)用，攻擊的影響還會(huì)擴(kuò)散到物理世界。

去年5月7日，勒索攻擊團(tuán)伙DarkSide攻擊了美國(guó)最大燃油管道公司科洛尼爾，導(dǎo)致近9000公里長(zhǎng)的輸油“大動(dòng)脈”被迫掐斷，殃及美國(guó)17個(gè)州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)，超千家加油站無油可加，一度陷入“搶油慌”。強(qiáng)勢(shì)如科洛尼爾這樣的大企業(yè)，為了恢復(fù)運(yùn)營(yíng)，也只能乖乖支付500萬美元贖金。

這也恰恰說明，數(shù)字時(shí)代，當(dāng)企業(yè)在云上攻城略地，構(gòu)建城池時(shí)，如何保障網(wǎng)絡(luò)安全，成為了共同挑戰(zhàn)。

流水線上的黑客，數(shù)字化轉(zhuǎn)型的黑產(chǎn)

招募黑客，需要掌握哪些技能？

如果你在1989年提出這個(gè)問題，得到的回答大概率是：學(xué)習(xí)開源操作系統(tǒng)、編程語言、密碼技術(shù)、入侵技術(shù)等等。

彼時(shí)，網(wǎng)絡(luò)病毒尚處于蠻荒時(shí)代，生物研究員約瑟夫·L·波普博士利用簡(jiǎn)單的對(duì)稱密碼，創(chuàng)造出艾滋病特洛伊木馬軟件，通過軟盤傳播，要挾每個(gè)受害者支付189美元的解鎖贖金，就此開啟了勒索軟件的歷史。

那個(gè)時(shí)期的勒索軟件，無論是傳播方式還是欺詐手段，多是散兵游勇，勢(shì)單力薄。三十年后的今天，情況發(fā)生了翻天覆地的變化，黑客行業(yè)高度內(nèi)卷、專業(yè)分工，完成了“產(chǎn)業(yè)大升級(jí)”。

近日，亞信安全在“全面勒索治理即方舟計(jì)劃”發(fā)布會(huì)上，首度提出了“勒索病毒進(jìn)入2.0時(shí)代”的斷言，即勒索團(tuán)伙APT化(Advanced Persistent Threat，高級(jí)可持續(xù)威脅攻擊)，表現(xiàn)出專業(yè)化、針對(duì)性、持續(xù)性、隱秘性的特點(diǎn)，危害性極強(qiáng)。亞信安全在暗網(wǎng)監(jiān)控和病毒治理的過程中發(fā)現(xiàn)，勒索病毒呈現(xiàn)了三大升級(jí)趨勢(shì)：

其一，勒索病毒即服務(wù)RaaS（Ransomware-as-a-Service）模式興起。勒索軟件作戰(zhàn)模式，從單兵作戰(zhàn)，升級(jí)為模塊化、產(chǎn)業(yè)化、專業(yè)化的大型團(tuán)伙作戰(zhàn)，勒索攻擊覆蓋面更廣，危害程度顯著增加。一條完整的產(chǎn)業(yè)鏈若隱若現(xiàn)。

勒索病毒開發(fā)商授人以漁，在暗網(wǎng)招募加盟渠道商，不僅向入局者出售勒索工具包，還提供特定產(chǎn)品漏洞的定制化服務(wù)。當(dāng)加盟的渠道商們通過勒索軟件，成功入侵企業(yè)后，開發(fā)商們還會(huì)派出專業(yè)的談判專家，估算贖金，進(jìn)行談判，從中分成。

產(chǎn)業(yè)鏈完善之下，勒索病毒攻擊急劇增多。SonicWall在最新的網(wǎng)絡(luò)威脅報(bào)告中稱，2021年全球勒索病毒攻擊達(dá)到6.233億次，比2020年增長(zhǎng)105%。與2019年相比，增長(zhǎng)了232%。

其二，勒索目標(biāo)從“粗放式”轉(zhuǎn)向“集約式”，追求高效益，定向攻擊增多。

過去，勒索團(tuán)伙“守株待兔”，大規(guī)模發(fā)送垃圾釣魚文件，廣撒網(wǎng)，碰運(yùn)氣，等待獵物送上門來。

現(xiàn)在，勒索團(tuán)伙不再滿足于此，瞄準(zhǔn)了具有勒索兌現(xiàn)能力的大型政企，實(shí)行定向攻擊，有組織有預(yù)謀，分工明確，有人負(fù)責(zé)偵查信息，有人負(fù)責(zé)制定方案，有人負(fù)責(zé)招安“內(nèi)鬼”。俗話說，不怕賊偷，就怕賊惦記，被勒索團(tuán)伙暗中盯上、持續(xù)攻擊的企業(yè)，實(shí)在防不勝防。

其三，勒索方式多樣化，出現(xiàn)雙重勒索、甚至三重勒索，增加了基于泄露隱私數(shù)據(jù)勒索以及DDoS的攻擊勒索。過去，勒索團(tuán)伙的行動(dòng)，和線下綁票并無太大差異，只要繳納贖金，就能夠釋放“人質(zhì)”——恢復(fù)企業(yè)數(shù)據(jù)。

現(xiàn)在，勒索團(tuán)伙的“職業(yè)道德”滑坡明顯。他們會(huì)先收集企業(yè)的核心敏感數(shù)據(jù)，外泄到黑客專用站點(diǎn)后，然后再加密重要文件和數(shù)據(jù)，要求企業(yè)繳納一筆解密贖金；如果企業(yè)拒絕支付，還會(huì)繼續(xù)威脅，比如聲稱要在暗網(wǎng)公開或者售賣公司核心數(shù)據(jù)等；有時(shí)甚至“不講武德”，威脅該企業(yè)的客戶或合作伙伴等。

浪潮奔涌的工業(yè)4.0，防護(hù)薄弱的制造行業(yè)

當(dāng)暗網(wǎng)內(nèi)掀起“產(chǎn)業(yè)大變革”、大批網(wǎng)絡(luò)海盜集結(jié)成軍時(shí)，互聯(lián)網(wǎng)“海域”駛來了新的“貨輪”——步入工業(yè)4.0時(shí)代的傳統(tǒng)企業(yè)。

相較于“努力內(nèi)卷”的黑客，傳統(tǒng)企業(yè)應(yīng)對(duì)網(wǎng)絡(luò)安全的新變化，尚有些準(zhǔn)備不足。尤其是高端制造業(yè)，更成為了勒索軟件團(tuán)伙鐘愛的“肉票”，攻擊事件頻發(fā)。

Akamai最近的調(diào)查表明，全球最大的勒索軟件團(tuán)伙Conti發(fā)起的全球勒索軟件攻擊中，有近30%以制造業(yè)為目標(biāo)。去年5月30日，全球最大的肉類生產(chǎn)商JBS SA遭遇網(wǎng)絡(luò)攻擊，導(dǎo)致工廠癱瘓，影響了全美20%的肉類供應(yīng)，最終JBS不得不向罪犯低頭，支付了總價(jià)值達(dá)1100萬美元的比特幣。

今年3月1日，豐田汽車零部件供應(yīng)商受到勒索病毒攻擊，導(dǎo)致系統(tǒng)全面癱瘓，豐田位于日本的14家工廠總計(jì)28條生產(chǎn)線暫停運(yùn)營(yíng)，汽車因此減產(chǎn)1.3萬輛，相當(dāng)于損失月產(chǎn)能的5%。制造業(yè)成為網(wǎng)絡(luò)勒索重災(zāi)區(qū)，背后有著多重共性原因。

其一，傳統(tǒng)制造業(yè)工控系統(tǒng)陳舊，安全漏洞多，易被攻破。不少工廠的流水線設(shè)備，可能依舊是上世紀(jì)90年代開發(fā)的老機(jī)器，過去的工控系統(tǒng)，無法適應(yīng)工業(yè)4.0時(shí)代萬物互聯(lián)的需求，安全漏洞多。

根據(jù)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟2021年底發(fā)布的《中國(guó)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)報(bào)告（2020）》，收錄的804個(gè)工控系統(tǒng)安全漏洞中，就有708個(gè)漏洞涉及到制造業(yè)。加之制造業(yè)端口設(shè)備多、節(jié)點(diǎn)多、數(shù)據(jù)量大，涉及的系統(tǒng)通訊協(xié)議、系統(tǒng)整體架構(gòu)更加復(fù)雜，一旦暴露在網(wǎng)上，就如同行走的“鮮美肉票”，吸引黑客攻擊。

其二，制造業(yè)自身防護(hù)意識(shí)薄弱，也導(dǎo)致了制造業(yè)的感染風(fēng)險(xiǎn)提升。據(jù)觀察，“很多制造企業(yè)在安全上的投入，只有IT預(yù)算的2%-3%左右，安全運(yùn)營(yíng)建設(shè)還相當(dāng)薄弱。”

一些制造商還認(rèn)為，網(wǎng)絡(luò)攻擊離自己很遙遠(yuǎn)，然而隨著大量設(shè)備聯(lián)網(wǎng)、上云，沒有一個(gè)制造商能夠獨(dú)善其身。制造業(yè)的網(wǎng)絡(luò)安全，已經(jīng)是事關(guān)供應(yīng)鏈上下游的系統(tǒng)性問題。即便上游大制造商防控滴水不漏，勒索團(tuán)伙依舊可以從下游小制造商處，尋找到突破口，以它們?yōu)?ldquo;后門”，滲透進(jìn)大制造商的網(wǎng)絡(luò)系統(tǒng)。

其三：制造業(yè)供應(yīng)鏈復(fù)雜，無法承受停工危機(jī)，只能繳納贖金。制造業(yè)供應(yīng)鏈復(fù)雜，牽一發(fā)而動(dòng)全身。某一環(huán)節(jié)停擺，影響的是整個(gè)行業(yè)上下游的生存處境。

停工意味著：生產(chǎn)排期推后、難以按時(shí)交付、合同違約、回款速度慢、資金鏈斷裂風(fēng)險(xiǎn)……為了盡可能減少損失，制造業(yè)只能乖乖支付贖金，息事寧人。贖金可以換回生產(chǎn)重啟，卻無法消弭關(guān)鍵信息被盜帶來的潛在風(fēng)險(xiǎn)。

知識(shí)產(chǎn)權(quán)、核心科技關(guān)系著制造企業(yè)的發(fā)展命脈，一旦被盜，可能意味著多年積累化為泡影；交付延遲、客戶數(shù)據(jù)暴露，也會(huì)影響客戶對(duì)制造商的信任度，聲譽(yù)受損，因此，很多制造業(yè)企業(yè)即使被勒索，也只能打碎牙齒和血吞，獨(dú)自咽下苦果。

其四：傳統(tǒng)的EDR（終端檢測(cè)與響應(yīng)系統(tǒng)）安防模式，單點(diǎn)設(shè)備各自為戰(zhàn)，孤掌難鳴，警報(bào)多，效率低。工業(yè)4.0時(shí)代，暗網(wǎng)強(qiáng)盜鳥槍換炮，從游牧草原式的單兵作戰(zhàn)，變成了現(xiàn)代的集團(tuán)化作戰(zhàn)，但不少企業(yè)的網(wǎng)絡(luò)安全模式，卻依舊停留在傳統(tǒng)的EDR模式，無法適應(yīng)新變化。

傳統(tǒng)的EDR模式，側(cè)重于終端安全防護(hù)，包括了臺(tái)式電腦、筆記本電腦、移動(dòng)手機(jī)、服務(wù)器和任何網(wǎng)絡(luò)的入口點(diǎn)，相當(dāng)于每個(gè)端口都配備了一個(gè)“警衛(wèi)”，可以根據(jù)來訪者的行為，判斷對(duì)方是否存在威脅，是否需要被緊急隔離。

但是這些負(fù)責(zé)終端設(shè)備安全的“警衛(wèi)”，成了信息孤島，和負(fù)責(zé)流量側(cè)安排隱患排查的“同事”NDR（網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)）各自為戰(zhàn)，缺乏交流，數(shù)據(jù)集成能力弱，導(dǎo)致系統(tǒng)警報(bào)不斷，但對(duì)真正的威脅情報(bào)，卻預(yù)警不夠及時(shí)不夠敏感。

運(yùn)維人員需要應(yīng)付大量“狼來了”的“假警報(bào)”，工作壓力大，效率低，還有可能導(dǎo)致倦怠和松懈，等“狼真的來了”，反而無法及時(shí)應(yīng)對(duì)。

因此，數(shù)字化時(shí)代，企業(yè)若要提升自己的網(wǎng)安能力，對(duì)抗無孔不入的勒索攻擊，急需一次“頭腦”和“武力”的全面升級(jí)，整合云、網(wǎng)、邊、端的安全方案，從而打造立體防御體系。

方舟護(hù)航，立體攻防全域作戰(zhàn)，打贏黑產(chǎn)暗戰(zhàn)

數(shù)字化轉(zhuǎn)型一體兩面，既需要通過新技術(shù)的應(yīng)用，高速發(fā)展經(jīng)濟(jì)，提升效率，與此同時(shí)也需要保障安全。

而互聯(lián)網(wǎng)安全的底座基石，正是平臺(tái)化的安全體系，XDR的解決方案也就由此誕生。所謂XDR，可以理解為是對(duì)傳統(tǒng)EDR模式的擴(kuò)展與增強(qiáng)，它能夠橫跨云、網(wǎng)、邊、端多個(gè)安全層，收集關(guān)聯(lián)信息，發(fā)現(xiàn)威脅事件，從而調(diào)整端口EDR或NDR的產(chǎn)品狀態(tài)，響應(yīng)威脅。

可以說，XDR模式讓安全系統(tǒng)擁有了統(tǒng)一的“頭腦”，全面清晰的視野，及時(shí)精準(zhǔn)的告警，解放了運(yùn)維人員的工作。近日，亞信安全推出的方舟計(jì)劃，就是以主動(dòng)防范理念為指引，以XDR立體化防護(hù)的產(chǎn)品技術(shù)為根基，以安全服務(wù)為支撐，實(shí)現(xiàn)了三位一體的勒索治理新模式，形成全鏈條、立體化的勒索治理合力。

從發(fā)現(xiàn)威脅到清除漏洞，避免二次勒索，亞信安全有能力快速響應(yīng)并打贏勒索攻擊阻擊戰(zhàn)，最大化降低客戶的風(fēng)險(xiǎn)和損失。

效率如此之高，打擊如此精準(zhǔn)，得益于亞信安全構(gòu)建的立體防御體系。

其一，洞悉全局，遠(yuǎn)矚高瞻的情報(bào)體系。

一封疑似釣魚郵件從被網(wǎng)關(guān)發(fā)現(xiàn)到送沙箱甄別檢測(cè)需要多久？亞信安全的答案是十分鐘以內(nèi)。

效率如此之高，在于亞信安全積累深厚，擁有“火眼金睛”。亞信安全自身的威脅情報(bào)優(yōu)勢(shì)，并與多個(gè)國(guó)際知名的網(wǎng)絡(luò)安全威脅情報(bào)公司建立合作關(guān)系，從而建設(shè)了一套國(guó)際化的威脅情報(bào)系統(tǒng)，能夠及時(shí)獲得第一手情報(bào)資料，掌握勒索團(tuán)伙新動(dòng)向。

這套先進(jìn)的情報(bào)系統(tǒng)，相當(dāng)于“勒索攻擊團(tuán)伙”的“全球通緝庫”。

當(dāng)亞信安全的保衛(wèi)團(tuán)隊(duì)開始參與包圍企業(yè)建立的數(shù)字孿生環(huán)境時(shí)，勒索體檢中心會(huì)率先開展一次全面清查，部署端點(diǎn)及網(wǎng)絡(luò)探針EDR（終端安全響應(yīng)系統(tǒng)）、TDA（360度網(wǎng)絡(luò)安保巡查系統(tǒng)）巡視“孿生環(huán)境”，排查分析，發(fā)現(xiàn)可疑分子時(shí)，及時(shí)上報(bào)統(tǒng)一威脅運(yùn)營(yíng)平臺(tái)，通過比對(duì)畫像，將勒索攻擊前置工具、伴生木馬和勒索病毒等一舉擒獲。

依托于此，亞信安全能夠?yàn)榭蛻籼峁┓中袠I(yè)、場(chǎng)景和需求的定制化專項(xiàng)體檢服務(wù)，全面評(píng)估、預(yù)判潛藏的隱秘威脅，并且針對(duì)勒索事件制定相應(yīng)預(yù)案，避免因突遇勒索陷入混亂。

除了定期體檢，治理漏洞，亞信安全的防護(hù)保衛(wèi)軍還會(huì)定期進(jìn)行專項(xiàng)風(fēng)險(xiǎn)排查，開展攻防演練，發(fā)現(xiàn)新的風(fēng)險(xiǎn)點(diǎn)，不斷提升作戰(zhàn)能力。

其二，協(xié)同運(yùn)作，高效聯(lián)動(dòng)的XDR立體防護(hù)保衛(wèi)軍。傳統(tǒng)的EDR模式，終端側(cè)和流量側(cè)的警衛(wèi)們各自守衛(wèi)“一畝三分地”，而方舟計(jì)劃聚沙成塔，把零散的“警衛(wèi)”們，組成了一支戰(zhàn)斗力強(qiáng)悍的鐵軍。

亞信安全的專家們憑借著多年和黑客斗智斗勇積累起來的技術(shù)經(jīng)驗(yàn)，打造了一個(gè)睿智的指揮部“XDR平臺(tái)”，全面覆蓋勒索團(tuán)伙的攻擊鏈，通過“事前預(yù)防、事中處理、事后掃雷”三大手段，構(gòu)建立體化、平臺(tái)級(jí)的運(yùn)營(yíng)防護(hù)能力。在事前風(fēng)險(xiǎn)排查階段，XDR平臺(tái)通過勒索體檢、提前部署、預(yù)案機(jī)制等手段解決蠢蠢欲動(dòng)的暗網(wǎng)強(qiáng)盜，對(duì)他們起到了一定的震懾。

在事中應(yīng)急處置階段，XDR平臺(tái)通過本地+云端威脅情報(bào)研判，快速精準(zhǔn)分析威脅事隱患，實(shí)現(xiàn)全網(wǎng)聯(lián)動(dòng)，以虛擬補(bǔ)丁及時(shí)封堵漏洞，避免病毒進(jìn)一步擴(kuò)散。在事后掃除威脅階段，成功捕獲勒索威脅后，XDR平臺(tái)會(huì)再次進(jìn)行體檢。通過TDA這輛“巡邏車”，沿流量側(cè)巡邏，察覺異常流量，檢測(cè)二次攻擊行為，并和終端的EDR、云端的威脅情報(bào)共同聯(lián)動(dòng)，定期，持續(xù)，掃清城市周圍的威脅“雷點(diǎn)”，避免黑客的多次攻擊。

其三，人機(jī)配合，24小時(shí)貼身服務(wù)的專家團(tuán)隊(duì)。

亞信安全發(fā)現(xiàn)，傳統(tǒng)企業(yè)在網(wǎng)絡(luò)安全運(yùn)維上的人才缺口，達(dá)到上百萬之多。因此，除了提供覆蓋全流程的解決方案之外，亞信安全還組建了一支3000人的專家“智囊團(tuán)”，覆蓋全國(guó)31個(gè)省市，7×24小時(shí)在線，確保企業(yè)發(fā)生勒索攻擊風(fēng)險(xiǎn)后，能夠第一時(shí)間找到可靠“軍師”精明決策。

如此一來，亞信安全的方舟計(jì)劃，徹底打破了傳統(tǒng)安全產(chǎn)品無法高效聯(lián)動(dòng)的困局，以統(tǒng)一的XDR平臺(tái)，將碎片化安全能力融為一體，變?yōu)橄到y(tǒng)性、能夠全局聯(lián)動(dòng)的遠(yuǎn)程免疫系統(tǒng)，化繁為簡(jiǎn)，實(shí)現(xiàn)了企業(yè)網(wǎng)絡(luò)安全的一次全面升級(jí)。隨著大數(shù)據(jù)、云計(jì)算、人工智能等新興技術(shù)不斷發(fā)展，新應(yīng)用、新場(chǎng)景層出不窮，美麗的云上世界徐徐展開，但危險(xiǎn)與暗礁也無處不在，傳統(tǒng)企業(yè)面臨著嚴(yán)峻的安全挑戰(zhàn)。

而亞信安全之所以能夠護(hù)航企業(yè)，依賴于其多年的專業(yè)經(jīng)驗(yàn)、全棧的技術(shù)優(yōu)勢(shì)，“懂網(wǎng)、懂云，懂安全”，才能實(shí)現(xiàn)“天下無賊”的美好愿景。面對(duì)內(nèi)卷的黑客和犯罪手法，獨(dú)木難成林，唯有平臺(tái)化的防御體系，百川聚江海，實(shí)現(xiàn)云網(wǎng)邊端協(xié)同一體化運(yùn)作，才能護(hù)航千里，把來勢(shì)洶洶的暗網(wǎng)海盜們擋在門外。