勒索攻击瞄准高价值企业形成产业化运作 四大安全专家共议如何构建防御体系

美国科洛尼尔管道运输公司遭遇勒索病毒攻击事件，在过去三个多月里引发了业界广泛讨论。同时，类似事件依然在世界范围内接连上演，就连曾经当选全球年度安全业务头名的世界IT巨头埃森哲，也未能幸免。勒索攻击今后发展趋势如何?有哪些行之有效的防护手段?我国频繁出台政策法规加强网络安全建设，对防范勒索病毒有什么积极作用?

围绕上述话题，8月30日，北京赛博英杰科技有限公司创始人兼董事长谭晓生、中国石油网络安全专家中心主任刘磊、腾讯安全技术中心专家李铁军、腾讯研究院产业安全中心主任翟尤四位行业专家齐聚“话说安全”节目，深入剖析了勒索病毒未来攻防之道。

勒索攻击全面升级 短期内不会减弱

勒索病毒自2017年大规模爆发以来，始终未能得到有效遏制。李铁军表示：“由于虚拟币市场的成熟，导致勒索攻击行为越发难以追溯以及攻击者受利益驱动，不断升级攻击手段等原因，勒索攻击短期内难以看到减弱的趋势。“

而针对勒索攻击的未来发展，各位专家一致认为。相比之前WannaCry之类的勒索软件无差别攻击，勒索病毒呈现出非常明显的APT趋势，犯罪团伙往往以特大型、高价值的企业为目标。另外，SaaS化的服务进一步降低了勒索攻击门槛，攻击者正在通过供应链的形式合作起来，有人专门制作爆破工具，有人专门做传播，有人专门负责收钱，形成了明显的产业化趋势;最后，除了勒索赎金，威胁曝光数据成了新的勒索手段。

此外，翟尤在研究勒索攻击的时候发现，近期勒索攻击开始瞄准网络安全保险保额高的企业。而上了保险的企业，往往愿意把赎金通过保费的形式交付出去，容易导致恶性循环，这也从侧面说明了勒索攻击的威力，已经让企业难以承受。

(左起分别为：腾讯研究院产业安全中心主任翟尤、腾讯安全技术中心专家李铁军、中国石油网络安全专家中心主任刘磊及北京赛博英杰科技有限公司创始人兼董事长谭晓生)

勒索攻击防御关键词：备份、培训、上云、安全前置

不断强化的勒索攻击，对安全防御能力提出了新的要求。刘磊从企业自身安全建设的角度分享了几点经验。首先，不论是对一般用户还是关键岗位，都应该提出相应的安全意识要求。其次，在建设重要信息系统时，核心功能在设计阶段就应该考虑弹性，比如数据备份、数据规范业务的连续性等。最后，对于最重要的系统要做好隔离，美国科洛尼尔公司之所以遭受严重损失，一个重要的原因就是信息系统和工控系统未实现隔离。

从网络安全服务商的角度出发，李铁军认为上云是有效的防护手段。首先，目前绝大部分勒索病毒，都是针对Windows系统，公有云上的系统以Linux为主，虽不排除未来公有云勒索软件暴增的可能，但现阶段相对安全。

其次，公有云系统有专业安全团队7*24小时监控云上攻击活动，往往可以在攻击的初始阶段及时处置，从而大幅减少了发生系统瘫痪等灾难性事件的概率。李铁军表示：“在公有云环境下，通过漏洞扫描、主机安全等产品，帮助用户及时发现系统存在的漏洞，并进行修复，是防范勒索病毒的最核心工作;而当主机被入侵之后，病毒会主动向外扩散，这个阶段需要防火墙等产品进行检测、识别攻击，阻断横向传播，将损失控制在极小的范围内。“

针对私有云环境，零信任是行业公认的解决方案之一;通过XDR的方式，让企业所有的产品尽可能具备检测和处置能力，也可以达到目的。但上述方案都需要很高的成本投入。“对中小企业来说，数据公开造成影响相对较小，应将重点放在员工安全意识的培训以及数据备份两方面。前者是成本最低且有效的防范方式;而数据备份可以将被锁定或损坏的数据进行恢复，从而减少损失。“李铁军说道。

最后，从产业安全研究的角度出发，翟尤表示：“防范勒索病毒没有特效药，除了做好安全培训和备份之外，也需要安全能力前置，把安全专家的能力量化、标准化，在信息系统建设规划前期，就统筹考虑安全能力建设，再加上云或者零信任做补全手段，形成应对勒索攻击的有效解决方案。“

加强网络安全建设 体系化应对勒索攻击

随着网络信息技术不断向社会生产、生活渗透，包括勒索病毒在内的网络安全问题带来的风险也越来越严重。国家在维护网络、数据安全方面也不断有新法出台。近日，国务院发布《关键信息基础设施安全保护条例》更是对我国关键信息基础设施安全保护工作提出了细致、明确的要求。

对此李铁军表示：“我国安全信息立法走在前面，倒逼企业做好安全工作，将有利于我国网络安全水平的迅速提升。“翟尤也表达了类似的观点，他认为企业提高数据安全和网络安全的意识，可以使自身得到更好发展。“

此外，刘磊从防护体系建设的角度指出，《条例》颁布将促使国家网信部门、行业主管部门、运营者以及网络安全服务商共同形成体系化作战的态势。“不管是关基保护，还是对抗勒索软件攻击，单一个产品能起多少作用，或者具备多长时间的生命力，都很难说，只有全方位的协同合作，才是根本的解决之道。”

勒索攻击和普通的病毒入侵工具没有明显差别。从本质上来说，防御勒索攻击是人与人之间的攻防对抗，这种对抗很可能是没有尽头。从相关执政部门到安全服务商再到企业自身，只有在对抗中不断进化，才能建设全面、完善的安全防护体系。