安全事件5月9日,美国交通部发布《地区紧急状态声明》。美国最大的燃料管道运营商ColonialPipeline被迫暂时关闭其向东部沿海各州供应燃料的关键燃料网络。勒索软件攻击波及美国三个地区,涉及17个州。这是美国首次因网络攻击进入国家紧急状态,这一事件也为关键基础设施的网络安全敲响了警钟。探究原因5月7日,美国最大的燃料管道公司ColonialPipeline遭到网络勒索软件攻击。事后,ColonialPipeline发表声明称已将关键系统与网络断开,关闭所有管道操作和部分IT系统,以避免勒索软件感染的持续蔓延,并聘请第三方专家调查事件范围,同时通知有关部门请求协助。5月10日,黑客组织DarkSide在官网发表声明,承认对ColonialPipeline的攻击。据BBC进一步报道,DarkSide不仅渗透了ColonialPipeline网络,加密了系统文件,还下载了近100GB的数据作为威胁。DarkSide是一个新组织,但它已经精通勒索业务。去年八月,DarkSide发布了勒索软件。该软件不仅勒索巨额赎金,还通过设置泄露数据系统将窃取的数据展示给受害人,造成受害人恐慌。类似事件近年来,针对关键基础设施的勒索攻击层出不穷,勒索金额越来越大,危害更加严重,影响更加广泛和深远。2020年4月,葡萄牙跨国能源公司EDP遭到勒索软件攻击。EDP??集团是欧洲能源领域(天然气和电力)最大的运营商之一,也是世界第四大风能生产商,业务遍及四大洲的19个国家。勒索软件攻击者声称已获得10TB的EDP敏感数据文件,并向EDP索要约1090万美元。此外,2020年7月中旬,REvil向阿根廷电信公司勒索了750万美元的赎金。REvil在短短一周内感染了18,000多台计算机。REvil表示,如果TelecomArgentina在三天内不支付赎金,价格将翻倍。报告称:“勒索软件攻击者明白被攻击后的时间对企业来说是多么宝贵,他们一直在寻找最大化勒索软件攻击盈利能力的方法。“在未来很长一段时间内,勒索病毒仍将是企业安全的头号敌人。勒索病毒具有极强的隐蔽性,很多攻击者利用未知漏洞、自定义工具,或者社工、钓鱼等方式获取系统管理员账号和权限,依靠合法身份和正常操作进行入侵,使得传统的安全防御手段失效,企业无法发现并有效应对威胁。目前,该攻击具有以下特点:(1)攻击对象可以精准,攻击对象可以是针对特定的政府、企业和个人,控制的数据对象从普通用户数据、计算机文件到与税务、金融相关的文件。(2)感染方式多样勒索病毒主要利用自身固有的特性操作系统和智能终端系统利用计算机设备的漏洞或后门作为传播渠道大规模感染。(3)勒索软件模式服务型勒索软件的使用者已经从最初的编写者变成了今天的第三方,即开发者为第三方提供勒索软件,之后受害者支付费用或者返还一部分赎金现金。此类DIY勒索软件套件现在在地下黑市和论坛中随处可见,即使是非技术犯罪分子也可以利用勒索软件进行网络勒索。对于勒索软件勒索软件的攻击虽然厉害,但也不是无敌的。面对勒索病毒,企业需要加强互联网内部环境,向综合防御和智能响应转型,实现“安全防御-监控预警-威胁感知-联动处置”的安全运营闭环。以下是一些参考建议:(1)加强网络边界保护,深度融合零信任框架,在互联网环境部署身份认证管理系统,对所有访问请求进行持续加密、认证和强制授权,实现基于身份的动态管控,提高安全防护,变被动防御为主动防御。(2)采用部署蜜罐等基于行为的攻击检测方案,通过在内外网一键部署高仿真蜜币、蜜罐和自定义蜜网,实时监控恶意代码、APT等网络攻击cks,及时感知勒索病毒的入侵、传播、执行等环节,并及时报警,不断提升网络边界的防护功能;(三)建立应急机制建设企业要建立应急预防和处置体系,定期开展预案演练,推进应急预报预警、信息报告、应急响应、应急处置、调查评估等机制实战化。.在系统上构建威胁情报,依托大数据分析和机器学习技术对攻击行为进行关联分析,联动用户其他安全设备阻断攻击者,形成协同的安全监控和响应综合防御方案,防止扩散勒索软件。(四)建设专业安全服务队伍,加强网络安全人才队伍建设。为企业领导、相关部门负责人和企业员工建设专业的安全服务团队,定期组织网络安全防护培训,提高全员网络安全水平。预防意识。
