当地时间5月9日,美国政府宣布美国17个州和华盛顿特区进入紧急状态,原因是当地最大燃油管道运营商遭网络攻击下线。据媒体报道,美国最大的成品油管道运营商Colonial Pipeline在当地时间周五(5月7日)因受到勒索攻击,被迫关闭其美国东部沿海各州供油的关键燃油网络。
该公司在一份声明中表示:“作为应对,我们主动切断某些系统的网络连接以遏制威胁,这使得所有的管道运输临时暂停,也影响了我们的一些IT系统。”
图自Colonial PipeLine
白宫发言人称,拜登总统在上周六早上被通报此事,联邦政府正在积极评估影响,避免供应中断,帮助科洛尼尔公司恢复运营。美国网络安全与基础设施安全局表示,这次事件凸显了勒索病毒对组织的威胁。
猖狂的DarkSide组织,严峻的勒索攻击形势
根据多方外媒报道,据知情人士透露,该攻击由DarkSide勒索团伙发起,该组织在周四仅两个小时的时间内就从位于佐治亚州阿尔法利塔的Colonial公司网络中窃取了近100 GB的数据。
如此猖狂的DarkSide团伙到底是何许人?据奇安信对DarkSide团伙的长期跟踪发现,该团伙是一个母语为俄语的网络犯罪团伙,会使用扫描工具来寻找目标网络中的漏洞(通常是已知漏洞),从而获取初始访问权限。
当获取到文件服务器的权限后,该组织会将目标的数据进行手动上传,随后加密目标公司的文件,并将部分信息上传至其暗网博客,并声称若不交付赎金,就公布目标公司的敏感数据。
图自BBC
另外,该组织使用的勒索软件除了会进行常规的加密文件的操作外,还会连接并发送受害者信息到攻击者的命令控制服务器(C2),这可能是攻击者记录受害者具体信息的一种方法,方便在日后作为入侵证据。
值得关注的是,DarkSide组织在2021年1月份一笔勒索病毒的交易中便获45个比特币,约合人民币1700多万元。对此,奇安信反病毒专家判断,面对如此巨额的收益,未来针对组织的定向勒索攻击会愈加猖狂,针对的目标公司体量也会愈来愈大。
又是勒索攻击 是时候给基础架构安全补课了
时至今日,大家对于勒索攻击早已不感到陌生。根据Group-IB研究人员的报告,仅在过去一年,全球勒索攻击次数就增长150%以上,能源行业因此也遭受了较大打击。比如美国某天然气运营商遭到勒索攻击,被迫关闭2天,并被国土安全部通报;欧洲能源巨头Enel Group年内两次遭遇不同勒索攻击,多达5TB数据被窃取,威胁索要1400万美元赎金;台湾最大两家炼油厂遭到勒索攻击,波及整个供应链,甚至加油站的IT系统也无法使用。
美国安全机构预测,2021年预计每11秒将发生一次勒索攻击,全年超过300万次。今年3月,电脑巨头宏碁遭到勒索攻击,黑客开出了迄今为止最高数额的赎金,约合人民币3.25亿元。勒索病毒已经成为全球范围各大企业挥之不去的梦魇。
有趣的是,研究表明,软件漏洞,尤其是高龄漏洞和Windows远程访问工具漏洞,是勒索病毒渗透企业防御体系的重要突破口。从宏碁遭到的REvil勒索攻击,到震惊业界的永恒之蓝(WannaCry)病毒事件,都是因为旧漏洞未及时修补,让勒索病毒轻松攻破和肆意传播。
“勒索病毒是检验企业安全运行健康度的重要标尺。拿本次勒索攻击来说,天擎3月8号以后的病毒库可以查DarkSide相关样本,4月27号以后的天擎库可以全部检测。”奇安信系统安全专家表示。“勒索病毒不像高级APT那样长期隐蔽且难于防御,只要基础安全架构、即系统安全工作保障到位,实战化安全运行开展起来,勒索病毒就很难有可乘之机。”
做好系统安全 让勒索病毒“无机可乘”
奇安信威胁情报中心提供了本次勒索攻击的解决方案,建议用户需要及时做好漏洞修复、采用高强度密码、定期备份重要资料、关闭不必要的网络端口和不必要的文件共享、访问权限控制、安装专业杀毒软件并及时更新等基础工作,就能防范绝大多数的勒索攻击。
就本次攻击事件而言,早在3月8日,奇安信就已经捕获了DarkSide团伙勒索病毒样本,同时更新了天擎终端安全管理系统的病毒库,天擎用户只需更新病毒库至最新版本,即可查杀该组织所有已知勒索病毒。
不难发现,这些措施基本都属于基础安全架构层面的系统安全问题。换句话说,只要做好系统安全,勒索病毒就会无机可乘。然而,为什么勒索病毒近年来仍然泛滥成灾、愈演愈烈呢?奇安信安全专家认为,在过去的几年时间里,安全人员将注意力过多的集中在检测和防御上,往往忽略了最基础的安全工作。近年来全球很多攻击案例证明,如果系统安全没打好基础,那么后面的纵深防御、积极防御都是不牢靠的。
奇安信认为,资产、配置、漏洞、补丁是安全工作的基础,但却是各大机构的安全体系的最短板。本工程建设以数据驱动的系统安全运行体系,聚合IT资产、配置、漏洞、补丁等数据,提高漏洞修复的确定性,实现及时、准确、可持续的系统安全保护,夯实业务系统安全基础,保障IT及业务有序运行。
抵御勒索攻击不能一劳永逸 系统安全亟需常态化
“面对愈加强大的定向勒索攻击者,我们对网络安全防御需要提升整体的防护水平,要以面对APT组织攻击的策略进行防御体系建设,才能够抵御目前网络攻击技术水平愈加高强的定向针对性勒索攻击。” 奇安信基于本次勒索事件如此研判。
此次事件中,CISA的官员建议:“我们鼓励每一个机构都采取行动去加强‘网络安全的防御姿态(Cybersecurity Posture)’,以减小对各类威胁的暴露面。” 这里面提到的“防御姿态 - Posture” 是非常值得关注的,这也是“安全左移”的关键点。就像空战中,战机需要保持优势的战斗姿态,占据有利位置,是赢得战斗的基础。这个我们通常说的安全态势(Security Situation Awareness)还是有差异的。而在网络安全领域,基础结构安全的Posture,主要就是解决“资产-漏洞-配置-补丁”问题的系统安全;纵深防御的Posture,是防护策略有效性,以构成坚实的防御“阵地”;积极防御的Posture,是威胁发现能力和处置及时性有效。这次事件中,系统安全就是面对勒索攻击,收缩暴露面的重要举措。只有整体的网络安全防御体系中,各个构成系统与环节的“防御姿态 - Posture”都能通过体系化建设与实战化运行得以保障,整体的防御效果,才能实现。
系统安全是做好基础结构安全的基石,实战化运行实现体系化、常态化运营的核心方法。要建好基石,首先要盘清资产,在此基础上,实现对资产的全面纳管;其次,通过资产纳管,进而真正实现对资产安全的全程掌控,包括了从发现资产,到使用资产,以及资产变更等各种场景,以及在这些状态下的风险全面掌控。第三,掌控风险是为了驱动处置工作,包括系统加固、漏洞修复,以及其他各种手段,提升整个信息化系统的基础架构安全性,形成真正的内生安全。最后,通过盘点资产、纳管资产、掌控风险、数据驱动、安全运行等层层递进的工作,帮助客户在数字化运营时,建立时刻保持最佳安全状况的信息化底座。
“掌握自身的网络安全姿态是支撑实战化安全运行的基本能力。首先,安全要发挥价值在于实战化运行,也就是要真正用起来。而安全运行起来后,所有的安全事件和问题的处置最终都会归结到资产、配置、漏洞、补丁上来。同时,抽象的漏洞威胁情报与应对措施,需要和具体资产实现挂钩,进而全生命周期(资产生命周期和漏洞生命周期)跟踪,驱动支撑安全运营融入到IT大运维中,为信息化保驾护航。”奇安信安全专家谈到。
面对巨大的利益诱惑,居高不下的成功率,勒索攻击永远不可能休止,安全防护不能一劳永逸。只有重视以网络资产为核心的系统安全建设,筑牢实战化安全运行的基石,才能避免重蹈勒索病毒造成重大损失的覆辙。
