黑暗的角落裡,那群人在數着鈔票。
Conti是臭名昭著的勒索團夥,但說其是“團夥”還真對不起這家公司。Stern是Conti的首席執行官,他手下還有三大幹将。Salamandra主管人事,負責招聘新員工;Bentley主管技術團隊,負責編寫和維護惡意軟體代碼,以及随時發起攻擊;Bio主管談判,負責向受害企業索要贖金。
更令産業汗顔,Conti不僅率先完成了數字化轉型,還玩明白了商業模式創新。秉承RaaS(勒索即服務)的理念,Conti一直在招募下遊“管道”。“合作夥伴”可以繳納一次性許可費,也可以按月訂閱,或者繳費加盟。懷揣“不看廣告,看療效”的自信,Conti更可與“合作夥伴”按照勒索收益分成。
而且僅在過去兩年,Conti團夥核心成員就已經發展到約350名,共賺取了約27億美元(約合172億人民币)。這是什麼概念?中國最大的網絡安全公司,員勞工數近萬人,但過去兩年的營收大體隻是其一半。
勒索攻擊“APT化”
“現代勒索攻擊團夥就是APT(進階可持續威脅攻擊)組織。”亞信安全給出了定性判斷。這不僅是“綁匪”學會了“盜竊”,而且“APT化”的勒索攻擊組織,無疑将對目标企業造成降維打擊。
其實,類似Conti的RaaS(勒索即服務)團夥,全球最少有90家。他們已不像前輩一樣單兵作戰吃獨食,其内部組織分工細緻,且已經實作了專業化、職業化、産業化,這一點就很像其大哥APT組織。
新生代的勒索攻擊團夥,更是專門瞄準了那些“有錢人”,矛頭直指金融、醫療、高端制造、公共事業等有兌現能力的大型企業。這一點也像2017年WannaCry爆發時,黑客采用的“廣撒網,多斂魚,擇優而勒索之”政策。
【傳統勒索與現代勒索的差別】
不僅如此。
勒索攻擊團夥甚至還學會了抛光養晦。此前的勒索病毒是“運作即發生”,入侵成功即開始發飙,但現在他們開始隐忍待時,“2月份開始滲透,8月份才實施攻擊,黑客在潛伏的6個月中,擷取了超級管理者權限,摸清了企業的資料家底。”亞信安全介紹了一個曾經處置過的勒索攻擊事件,“而且黑客很會選擇時機,在拿到新式“武器”後的10小時,就展開攻擊。利用時間差繞開了所有清除系統。”
更雪上加霜的是,勒索攻擊團還專逮着一隻羊薅羊毛,他們“發明”了雙重勒索,甚至多重勒索模式,交過贖金也不放“資料”,單次攻擊獲得的勒索贖金,是以一下子從100美元,猛增至100萬美元。
正是看見了此生财之道,以偷資料為生的APT組織,也放下了“老大哥”的架子,幹起了綁票的勾當。畢竟,明目張膽地向企業索要贖金,比在暗網中進行資料交易,變現速度快得多。
看穿“勒索”的把戲
這就是“APT化”的勒索攻擊,具有上述特征的勒索攻擊團隊,已經完全符合業内對APT組織的認定标準——攻擊具有明确經濟目的;通過潛伏發起多階段的持續性攻擊;針對企業或組織發起定向攻擊;利用定制化惡意軟體、遠端控制工具等,發起多樣化攻擊。
正因如此,勒索攻擊已經成為全球網絡安全最大的威脅。最近10年,全球惡意軟體數量快速增長23倍。甚至黑客每分鐘就能制造648個變種病毒,每分鐘攻擊6家企業,每分鐘造成企業損失180萬美元一樣。
但把戲終究是把戲,摸清了把戲的套路,也就不難戳穿。既然勒索攻擊有一段潛伏期,就充分利用“時間差”做好體檢;既然勒索攻擊已經不是簡單的“病毒”,就不能隻是指望清除軟體解決問題,互相關聯的立體化防禦體系才是最佳選擇。
除此之外。既然勒索攻擊的主要目的是先“偷資料”,再“鎖資料”,就不能單純依靠資料備份回血重生;既然已經知道黑客擅長使用“多重勒索”的組合拳,就要亡羊補牢、及時響應,避免他們一計不成又生二計。
這就是亞信安全應對現代勒索的治理思路,勒索攻擊“APT化”,安全思想也應從邊界防禦,延伸到縱深防禦;從被動防護,演變為主動體檢;從單一産品堆砌,發展到體系化防禦。
治病于未病
這就是亞信安全的“方舟計劃”。
亞信安全“方舟”由勒索體檢中心、全流程處置機制、現代勒索治了解決方案三項核心能力構成。其中,“勒索體檢中心”和基于XDR技術的勒索病毒治了解決方案,更是“方舟”的亮點。
【亞信安全“方舟”引領勒索威脅治理新模式】
“勒索體檢中心”的核心理念是治病于未病、治亂于未亂。這其中隐含着亞信安全的技術能力、服務能力,以及模式創新的勒索治理核心理念,而且其巧妙地利用了勒索攻擊的弱點。
“APT化”的勒索攻擊團夥,為崛起更大的商業利益,開始像APT組織一樣玩起了潛伏。甚至在長達半年的時間内,他們都會耐着性子逐漸掘取超級管理者權限,摸清企業的資料家底。但這招看似高明,實則留有破綻。
既然“入侵”和“攻擊”之間存在時間差,企業也不妨就充分利用這段時間差,打好防守反擊戰。在此之前,通過對衆多勒索攻擊的研究,亞信安全将勒索病毒攻擊分為6個階段:初始入侵、持續駐留、内網滲透、指令控制、資訊外洩、執行勒索。
這一過程的前四個階段,企業雖被攻擊,但未發生實際損失,而勒索攻擊一旦進入後兩個階段,必将造成不可逆的财産、名譽損失。因為黑客通過現代密碼學實作高強度資料檔案加密,理論上通過現有技術幾乎不可能破解。
既然如此,方向也就很明确——治病于未病。以“勒索體檢中心”為載體,亞信安全營運團隊通過部署端點及網絡探針,對勒索攻擊進行全面排查分析,利用最新的勒索威脅情報進行資料碰撞,确認企業環境中是否存在勒索行為。
期間,如發現釣魚郵件、木馬植入、管理權限被控等入侵的蛛絲馬迹,即可立即清除黑客已占領的灘塗陣地,将入侵掃地出門。切實做到了早發現、早預警、早研判、早處置,将勒索攻擊爆發風險降至最低。
更重要的是,“勒索體檢中心”還是一種安全思維轉變,一種服務模式創新。
很顯然,“勒索體檢中心”提供的服務帶有實戰性質,這其實就符合目前中國網絡安全産業的發展趨勢——以安全合規為底線,以實戰演練為常态,即“合規+實戰”雙輪驅動。道理很簡單,安全不能隻是條條框框。既然勒索攻擊索要的是真金白銀,網絡安全企業就要在實戰中展現價值。
另一方面,“勒索體檢中心”也是服務模式創新。既然勒索攻擊團隊已經在提供RaaS服務,安全企業就不能完全以線下服務對抗上線攻擊,就不能将有限的進階專家團隊,撒胡椒面式地分布在千行百業。
攥緊拳頭提供雲化安全營運服務,就是亞信安全的選擇。目前,亞信安全擁有一支3000人的專業安全服務團隊,再輔以“勒索體檢中心”,其已經可建立從運維到營運,從線下到線上的立體服務體系。
正因如此,亞信安全“勒索體檢中心”正在結合分行業、分場景的需求,提供定制化的專項體檢服務,例如:網絡資産大盤點、網絡流量勒索體檢、威脅情報告警分析、高危失陷主機确認、EDR端點勒索體檢服務、IOA與IOC熱點事件與勒索情報碰撞後的高危主機評估、雲主機安全勒索體檢服務、終端安全勒索體檢服務等。
“事前、事中、事後”閉環
當然,“勒索體檢中心”隻是重在解決“事前”隐患。為此,亞信安全根據勒索攻擊6個階段的不同特點,推出以XDR技術為核心的現代勒索病毒治了解決方案,這就形成了亞信安全的核心理念:“由于勒索攻擊深度結合APT攻擊技術手段,從威脅的檢測、控制,再到威脅狩獵、調查、歸因等整體關聯防禦,方能産生更好的效果。”
早在2018年,亞信安全即已首提XDR理念,當時瞄準的“敵人”就是APT。2019年,亞信安全正式釋出XDR 1.0,一年之後又釋出XDR 2.0。由此,亞信安全已建立覆寫“預測、防護、檢測、響應”四大環節的威脅治理閉環。同時,運用“精密編排政策”,形成多産品線協同智能安全關聯。
時至今日,勒索攻擊已經“APT化”,XDR也找到新的用武之地。基于XDR技術的勒索病毒治了解決方案,看從服務能力、産品能力逐層向上提供支撐,通過終端、雲端、網絡、邊界、身份、資料的檢測與響應(目前引擎可洞察72個勒索攻擊的檢測點),以及威脅資料、行為資料、資産資料、身份資料、網絡資料等的關聯分析,形成了針對勒索病毒治理全鍊條,覆寫“事前、事中、事後”營運處置,為貫穿勒索病毒事件應急響應全流程的關鍵動作提供了支撐。
正如亞信安全強調的,發展與安全,是數字化時代的一體兩面。亞信安全“平台為先”的原則,不僅可以讓碎片化的安全能力融入一體,變成系統性、可全局關聯的原生免疫系統,更能将複雜的管理問題,化解成極簡與智能的威脅治理營運平台。以此打造“産品+平台+服務”完整閉環的發展戰略,也将真正為客戶建立整體性防禦體系,提升客戶安全防禦能力。