從謀财到竊密？勒索攻擊白皮書：防範重在事前而非事後破解

11月4日，以“數實融合，綻放新機”為主題的2021騰訊數字生态大會在武漢光谷科技會展中心繼續舉行。會上，騰訊釋出《2021年勒索攻擊趨勢分析白皮書》（以下簡稱“白皮書”）。

白皮書分析認為，全球網絡勒索攻擊事件頻繁發生的原因在于企業内部基礎設施建設落後、勒索利潤極高以及遠端辦公場景的增加，而當下絕大多數勒索攻擊無法被破解；建議企業重視資料加密和備份，将安全防護前置于全業務環節，同時增強從業人員的安全防範意識。

1

上半年洩露同比增24%，工業系統每日被掃描兩萬次

近年來，随着5g通信、人工智能、物聯網等技術的快速發展和普及，以及比特币等加密貨币的持續火爆，勒索軟體攻擊在全球範圍内呈現出持續高發态勢，并且可能在未來很長一段時間内都會成為威脅網絡安全的主要因素之一。

白皮書指出，勒索軟體攻擊是指網絡攻擊者通過鎖定裝置或加密檔案等方式阻止使用者對系統或資料的正常通路，并要挾受害者支付贖金的行為。自2018年以來，勒索軟體攻擊數量增加了350%。澳洲資訊專員辦公室（oaic）的一份報告顯示，相較于去年下半年，今年上半年由勒索軟體攻擊引起的資料洩露事件增長了24%。

在經濟損失方面，美國戰略與國際研究中心與防毒軟體供應商邁克菲聯合釋出的一份報告指出，估計每年全球網絡攻擊所帶來的損失将高達9450億美元，網絡防護支出費用約1450億美元，總經濟成本将超過一萬億美元。

南都·隐私護衛隊此前曾多次報道全球範圍内的大型勒索軟體攻擊事件。今年7月，厄瓜多最大的國營電信營運商cnt遭勒索軟體攻擊，基本陷入癱瘓，勒索團夥以公開共計190gb客戶個人資訊要挾其支付贖金。9月，日本企業奧林巴斯受到勒索軟體攻擊，被迫關閉其位于歐洲、中東及非洲的計算機網絡系統。

事實證明，如何有效防範勒索軟體攻擊已成為目前網絡安全領域關注和讨論的焦點。白皮書梳理發現，勒索攻擊事件在全球各地頻繁發生，可歸結為三個方面的原因。

一是企業内部基礎設施建設落後，聯網後缺少有效的安全防護措施。據悉，我國工業控制系統的聯網資訊持續遭受境外不法分子的窺探，日均掃描超兩萬次，能源、制造、通信等行業的基礎設施及控制系統成為主要目标。

二是對于網絡攻擊者而言，高額的贖金成為其實施犯罪的極大動力。公開資料顯示，發生于2020年的勒索攻擊事件贖金平均約30萬美元，較上年增加171%；2020年市面上各類活躍的勒索軟體共計獲利3.7億美元，較上年增長 336%。這也意味着，高額的利潤回報讓更多不法分子願意铤而走險。

三是遠端辦公增加安全風險。自新冠肺炎疫情在全球範圍爆發以來，勒索團夥利用遠端辦公帶來的安全漏洞，通過技術疊代、資料洩露、加密資料等方式不斷進化攻擊手法，開辟新的攻擊面，利用人們在危機期間的恐慌心理，持續增加勒索次數。

2

目的由謀财轉竊密，大多無法破解

白皮書分析認為，正因為勒索攻擊與其他形式的網絡攻擊大相徑庭，才使得傳統網絡安全防護措施在應對勒索攻擊時略顯無力。是以，要進行對抗就必須熟悉勒索攻擊的慣用手段和趨勢特點。

首先，勒索攻擊行為隐蔽性強且危害顯著。勒索攻擊通常利用垃圾郵件、網頁廣告等僞裝傳播手段達到入侵目的，其還會高度仿照目标公司的編碼方式和命名規範以繞過複雜的測試、交叉稽核、校驗等環節；同時，勒索攻擊一般具有明确的攻擊目标和強烈的勒索目的，已由單純求财轉向竊取商業資料和政治機密。

其次，勒索病毒變異較快且易傳播。飛速發展的網絡技術助長病毒裂變速度的同時，網絡攻擊者的“反偵查”意識也在增強——勒索軟體編寫者會不斷改進軟體變體以逃避偵查。事實上，在大部分時候，勒索軟體作者都能通過快速更新樣本并使用新樣本攻擊投遞來躲避檢測。

再者，勒索攻擊路徑和目标趨于多元化發展。當下勒索攻擊正由被動式轉為主動式，網絡攻擊者除了利用系統漏洞發動遠端攻擊，還會誘導企業内部員工洩露敏感資訊；而攻擊目标也從電腦端轉為移動端，從個人使用者轉為企業裝置，将目标聚焦在政府或企業的關鍵業務系統和伺服器上以期索取更高利潤。

然而，白皮書指出，目前加密手段複雜多樣的勒索攻擊絕大多數無法被解密。極少數被破解的案例主要出于兩種情況：一是勒索病毒的制作者洩露了病毒内部資料；二是勒索病毒自身存在的漏洞大大降低了破解難度。

防範重在事前，建議設零信任3 安全機制機制

白皮書梳理發現，我國現行法律沒有針對勒索軟體的專門性規定，但針對敲詐勒索、資訊網絡技術支援和幫助、制作傳播計算機病毒等危害網絡安全方面的規定較為完善。

今年7月，國家網際網路應急中心釋出《勒索軟體防範指南》，規定了防範勒索軟體要做到九項要求和四項建議。8月，國務院釋出《關鍵資訊基礎設施安全保護條例》，明确了各職能部門的責任邊界和職責要求，以及關鍵認定原則和認定機制，形成關鍵安全保護工作法律責任體系；11月，個人資訊保護法實施，為打擊涉勒索軟體等侵犯公民、組織個人資訊的行為提供了更堅實的法治保障。

白皮書分析認為，網絡勒索攻擊的損失和後果不可估量，是以防範勒索攻擊的重點在事前防禦環節而非遭受攻擊後的解密環節。為此，白皮書為企業從技術、機制、意識三個方面提出了建議。

第一，聚焦安全前沿技術，提高防護能力。企業應注重資料加密和備份，通過“零信任”安全機制（指假定所有身份、裝置和行為都不安全，在接入時皆需進行全程安全驗證和檢查）降低被攻擊風險，其能有效增加竊取難度、防止勒索攻擊擴散，同時及時檢測風險并控制在最小限度。

第二，建構安全前置能力，提升企業“免疫力”。企業應将安全貫穿于整個系統生命周期展開保護，實作安全能力在業務環節的前置，提前預判潛在安全風險；在産業鍊企業間形成威脅情況共享機制，協同防禦網絡攻擊；機構組織加強對供應商的代碼審計與安全檢查，建立“零信任”架構等安全防護機制。

第三，增強人員安全意識。企業要加強安全知識的宣傳力度，使從業人員對對來曆不明的郵件、網站、軟體、存儲媒體等各種可能出現的可疑情況保持高度警惕；加強網絡隔離，限制不必要的通路通道；此外應使用本地存儲和雲端雙備份的政策，嚴格限制對備份系統的通路權限。

采寫：南都個人資訊保護課題組研究員 樊文揚