勒索攻擊愈演愈烈趨勢之下 “重前輕后”的安全建設(shè)思路必須放棄

WatchGuard在一份針對網(wǎng)絡(luò)攻擊的調(diào)查報(bào)告中，明確指出在2021年上半年中，終端勒索軟件檢測總量打破了自2018年至2020年中所呈現(xiàn)的下降趨勢，再一次開啟上漲態(tài)勢，數(shù)據(jù)顯示，2021年上半年的檢測總量略低于2020年全年的檢測總量。如果在2021年剩下的時(shí)間里，每天的勒索軟件檢測量保持平穩(wěn)，那么今年的數(shù)量將比2020年增加150%以上。

 

同時(shí)，SonicWall針對上半年勒索軟件攻擊的一份報(bào)告發(fā)現(xiàn)，勒索軟件攻擊在 2021 年上半年猛增，該公司發(fā)現(xiàn)了 3.047 億次未遂的攻擊，攻擊量同比增長了 151%，并已超過 2020 年全年的 3.046 億次。這一事實(shí)讓 SonicWall 的研究人員感到震驚。

回到我國，谷歌與網(wǎng)絡(luò)安全公司VirusTotal于本月（2021年10月）聯(lián)合發(fā)布了一份全球地區(qū)勒索軟件攻擊影響研究報(bào)告，其數(shù)據(jù)顯示，中國在受勒索軟件攻擊影響最嚴(yán)重的 10 個(gè)地區(qū)中排在以色列、韓國、越南之后位居第4。

盡管針對我國境內(nèi)遭遇勒索軟件攻擊事件的相關(guān)報(bào)道或報(bào)告非常少，實(shí)際情況如何對于安全行業(yè)的人而言應(yīng)該還是心中有數(shù)。2021年7月，國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）編寫了一份簡潔扼要的《勒索軟件防范指南》，整個(gè)指南被分為兩部分，一是勒索軟件防范的九要、四不要，二是在遇到被勒索軟件感染時(shí)的應(yīng)急處置方法。雖然這份指南中的內(nèi)容不多，但這些通俗的文字背后，總能讓人感覺到一些什么。

勒索軟件攻擊防御難度極高

應(yīng)對其威脅是長期、全面的安全建設(shè)過程

因此，無論是國外還是國內(nèi)，勒索軟件攻擊在全球范圍內(nèi)的肆虐必須要引起我們的重視。但我們也能看到，關(guān)于勒索軟件攻擊的防御談了很多，但到底怎么防其實(shí)是沒有答案的，就在不久前，安全419曾經(jīng)發(fā)布內(nèi)容《為什么我們始終無法抵御勒索軟件攻擊》，從安全措施的應(yīng)用、用戶的安全意識、工具化攻擊的低成本優(yōu)勢、各類檢測與響應(yīng)類安全產(chǎn)品的不足、勒索軟件家族之間的關(guān)系、勒索軟件攻擊的商業(yè)模式等諸多方面，闡述了如果想要徹底地抵御勒索軟件攻擊幾乎是不可能的。

在2021年7月，安全419曾經(jīng)就如何應(yīng)對勒索軟件攻擊這一話題與騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人“TK教主”于旸、騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松、以及翼盾智能和第五空間研究院創(chuàng)始人朱易翔Coolfrog三位經(jīng)驗(yàn)頗豐的安全專家進(jìn)行過交流。在這一過程中，于旸就明確地指出，“如今的勒索攻擊在持續(xù)向‘APT化’演進(jìn)”。他解釋道，自動化的病毒感染只是勒索攻擊的一部分，犯罪團(tuán)伙會針對高價(jià)值的目標(biāo)，利用一切渠道、弱點(diǎn)進(jìn)行入侵。他們通過前期對選定目標(biāo)相關(guān)信息的收集，持續(xù)滲透，找出薄弱攻擊面，最終實(shí)現(xiàn)致命一擊。

當(dāng)時(shí)三位專家一致表示，安全建設(shè)是一個(gè)長期的過程，在這之中，企業(yè)的安全能力和攻擊者的攻擊能力間就會存在一個(gè)動態(tài)波動，因此，某一時(shí)期較強(qiáng)的安全防護(hù)能力并不意味著長期的高枕無憂。

正如前綠色兵團(tuán)創(chuàng)始人，現(xiàn)連尚網(wǎng)絡(luò)首席安全官龔蔚在2021年10月的看雪安全開發(fā)者峰會上所說的那樣——“沒有安全事件不等于沒有安全，表面上沒有安全事件，其背后也許就是沒有感知到、沒有識別到所造成的假象，但真當(dāng)你發(fā)現(xiàn)安全問題的時(shí)候，也許就已經(jīng)晚了。”

八成企業(yè)災(zāi)備能力無法應(yīng)對勒索軟件攻擊

“重前輕后”思路致安全建設(shè)欠缺整體平衡性

就在更多主流觀點(diǎn)聚焦在如何防御并廣泛建議針對攻擊去置辦什么樣的安全產(chǎn)品、服務(wù)的當(dāng)下，勒索軟件攻擊仍然很難防得住，因此也有一些別樣的觀點(diǎn)出現(xiàn)，例如同樣是在看雪2021安全開發(fā)者峰會上，來自上海交通大學(xué)信息安全博士、(ISC)²中國上海分會主席施勇在發(fā)言中表示，當(dāng)前幾乎80%的企業(yè)所具備的災(zāi)備能力在應(yīng)對此類攻擊時(shí)是沒有防護(hù)能力的，災(zāi)備在很多企業(yè)中都被視作是簡單的一個(gè)數(shù)據(jù)備份，而根本沒有考慮到在攻擊者入侵后，是對所有的數(shù)據(jù)同時(shí)進(jìn)行破壞，這種備份實(shí)際上不僅沒有效果，而且沒有任何意義。一旦企業(yè)的數(shù)據(jù)被加密后，贖金完全是攻擊者說了算，因?yàn)槠髽I(yè)根本沒有討價(jià)還價(jià)的余地，而一旦核心數(shù)據(jù)蒙受巨大損失，讓企業(yè)一夜之間倒閉并非不可想象。因此企業(yè)的災(zāi)備觀念以及相關(guān)建設(shè)必須要有一個(gè)大的改變，這樣才能保護(hù)好自己的核心數(shù)據(jù)。

施勇的話引起了我們的思考，的確，在當(dāng)前各種內(nèi)外部因素驅(qū)動下，企業(yè)管理者的安全意識已經(jīng)明顯提高，但也應(yīng)注意到，大家普遍重視在于如何做好事前防御，而在事后防御方面卻并未給予足夠的投入甚至關(guān)注。

災(zāi)備并非是簡單地備份與恢復(fù)

就以災(zāi)備而言，嚴(yán)格的災(zāi)備定義又是災(zāi)難備份與恢復(fù)（disaster backup and recovery）的合意，即災(zāi)難前的備份，以及災(zāi)難后的恢復(fù)。在具體層面上，則指的是利用技術(shù)、管理手段以及相關(guān)資源確保關(guān)鍵數(shù)據(jù)、關(guān)鍵數(shù)據(jù)處理系統(tǒng)和關(guān)鍵業(yè)務(wù)在災(zāi)難發(fā)生后可以盡可能多且快速地恢復(fù)的過程。

其中災(zāi)難前的備份指的是：不僅僅做到數(shù)據(jù)信息的備份和日志，更重要的還包括信息系統(tǒng)構(gòu)建過程中容災(zāi)體系結(jié)構(gòu)的設(shè)計(jì)、提前制定的災(zāi)難應(yīng)急預(yù)案與恢復(fù)計(jì)劃等。

災(zāi)難后的恢復(fù)指的是：應(yīng)急服務(wù)系統(tǒng)或者備份系統(tǒng)的業(yè)務(wù)接管、數(shù)據(jù)/系統(tǒng)/服務(wù)遷移過程中的安全管理、系統(tǒng)災(zāi)難損失評估等。

災(zāi)備的目的其實(shí)非常明確——確保關(guān)鍵業(yè)務(wù)持續(xù)運(yùn)行以及減少非計(jì)劃宕機(jī)時(shí)間。

通過上述定義可以看出，災(zāi)備絕不是簡單的數(shù)據(jù)備份和恢復(fù)，所能帶來也絕非只是數(shù)據(jù)恢復(fù)這么一個(gè)泛化的概念。而是需要一整套復(fù)雜的技術(shù)支撐以及專業(yè)的計(jì)劃才能實(shí)現(xiàn)，可以保證企業(yè)在面對災(zāi)難或安全事件（如勒索軟件攻擊等）時(shí)，擁有高效的抵御能力，保障業(yè)務(wù)的持續(xù)運(yùn)轉(zhuǎn)。

事前防御和事后防御方面投入的不平衡

就在看雪安全開發(fā)者峰會結(jié)束當(dāng)天，我們就同上海當(dāng)?shù)匾患覍Ｗ⒂跀?shù)據(jù)保護(hù)領(lǐng)域的廠商——CloudWonder嘉云取得聯(lián)系，并就這一話題進(jìn)行了簡短溝通。

在溝通中，嘉云的聯(lián)合創(chuàng)始人任嘉曦表示，除了對災(zāi)備的認(rèn)知存在問題之外，企業(yè)忽視災(zāi)備建設(shè)的原因其實(shí)還有很多，比如成本原因等等，但關(guān)鍵之處還是企業(yè)管理者在安全建設(shè)的理念上仍存有一些固有的慣性思維——事前防御的重要性遠(yuǎn)遠(yuǎn)高于包括災(zāi)備建設(shè)等在內(nèi)的事后防御。

以勒索軟件攻擊為例，毫無疑問，這是當(dāng)前幾乎所有企業(yè)都會面臨的一個(gè)巨大威脅，也是業(yè)界的普遍共識，大多數(shù)企業(yè)的管理者并未意識到在遭遇勒索軟件攻擊之后，災(zāi)備機(jī)制其實(shí)是可以幫助他們實(shí)現(xiàn)快速恢復(fù)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，在面對攻擊者的勒索要求時(shí)也會更有底氣，這一點(diǎn)無論是施勇博士在論壇中的發(fā)言還是嘉云的任嘉曦在接受安全419采訪時(shí)所表達(dá)的內(nèi)容都得到了肯定的答案。

任嘉曦表示，當(dāng)前面對網(wǎng)絡(luò)安全威脅更多是構(gòu)筑事前安全，對事后的恢復(fù)能力投入相對較少，可以說兩者是嚴(yán)重失衡狀態(tài)。其中事前安全是不做不行，因?yàn)檫@種安全是直接的，表面就能看到的問題，而事后的問題是看不到的，這就導(dǎo)致很多人認(rèn)為不值得，是被放棄的。

針對這一話題，安全419隨后又采訪了一位中等規(guī)模互聯(lián)網(wǎng)企業(yè)的IT部門負(fù)責(zé)人，對方所給的答案也的確驗(yàn)證了前述觀點(diǎn)。對方在接受采訪時(shí)表示，他們目前主要還是以傳統(tǒng)的數(shù)據(jù)備份為主，之所以未能選擇制定災(zāi)備計(jì)劃及選擇相關(guān)解決方案，主要有兩方面的原因：

一方面是對災(zāi)備有效性的懷疑。“我們的確也了解災(zāi)備所帶來的好處，以目前的技術(shù)條件和環(huán)境，做好災(zāi)備建設(shè)其實(shí)并非難事，但到底如何確保其有效性呢？在遇到問題時(shí)它是否真的可以起到預(yù)期的作用呢？以我們建設(shè)需求方來看，這是一件難以評估的事情。”

另一方面，則是成本付出的代價(jià)偏高，“對于我們這種發(fā)展中的企業(yè)而言，撥給安全上的預(yù)算本就不多，而災(zāi)備建設(shè)的成本又明顯偏高，比如以基于類似兩地三中心這種概念的災(zāi)備更是我們連想都不敢想的，這會令基礎(chǔ)投入翻倍增長。”

對方表示，這兩方面的原因疊加在一起，必然會導(dǎo)致災(zāi)備建設(shè)方案即便提交上去，也很難獲得通過并最終實(shí)施。相比那些可以通過態(tài)勢感知就可以實(shí)時(shí)查看到整體安全狀況的事前防御型安全產(chǎn)品，災(zāi)備這種事后防御產(chǎn)品毫無疑問并不占優(yōu)勢。

從常情上看，這一問題的出現(xiàn)并不難理解，事前防御是目前安全建設(shè)的主要方式，同時(shí)，相比事后防御，它擁有著“看得見”的優(yōu)勢，而災(zāi)備這種事后防御，就像是我們每年都會買的車險(xiǎn)一樣，只有在事故發(fā)生的時(shí)候，它才會“看得見”，而在大多數(shù)情況下，它都是“看不見”的狀態(tài)，在這樣的條件下，無論是合規(guī)驅(qū)動還是內(nèi)在驅(qū)動的安全建設(shè)，在管理者看來自然都會優(yōu)先考慮“看得見”的事前防御，而且普遍認(rèn)為只要事前防御做得足夠好，就能夠抵御住大量的攻擊，如此一來便無需那些事后防御措施，更何況還是“看不見”的災(zāi)備。

歸根到底，這其實(shí)還是可以歸結(jié)于災(zāi)備的“看不見”特性。對方也坦誠，由于無法清晰的解釋這一問題，導(dǎo)致災(zāi)備建設(shè)的計(jì)劃即便提出，也往往會被否決。

“我們認(rèn)為，事前的防御一定是重要的，它就像是一個(gè)系統(tǒng)的大門，不能是任意一個(gè)人就可以隨意進(jìn)出的。但事后的能力也要建立，因?yàn)闆]有100%安全的系統(tǒng)，一旦被破壞你能接受這個(gè)代價(jià)嗎？”任嘉曦說道。

的確，在安全建設(shè)上，事前防御和事后防御同樣重要，厚此薄彼并不能讓安全形成一個(gè)有效的閉環(huán)。

通過施勇博士的發(fā)言和對CloudWonder嘉云任嘉曦的簡單采訪，我們已經(jīng)不難看出當(dāng)前企業(yè)在安全建設(shè)中欠缺平衡的現(xiàn)實(shí)。

近幾年來，相當(dāng)多的廠商都發(fā)出類似于網(wǎng)絡(luò)安全要從“事后補(bǔ)救”的方式轉(zhuǎn)向“事前防控”，這個(gè)說法的確非常合理，但從整體的安全建設(shè)考量，也只是說明了其中的一部分，因?yàn)?strong>安全建設(shè)本身要平衡，無論是橫向還是縱向，都應(yīng)有合理的布局和投入，厚此薄彼對安全而言絕不是最佳選擇。

沒有勒索攻擊事件發(fā)生時(shí)看似無關(guān)緊要，但真到了重金打造的防線被攻破的那一刻，不要后悔當(dāng)初沒有給自己留下退路。

免責(zé)聲明：市場有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞： 安全 建設(shè) 思路