<pre id="co8k0"><cite id="co8k0"></cite></pre><strike id="co8k0"></strike>
  • <acronym id="co8k0"><cite id="co8k0"></cite></acronym>
  • 

    <nav id="co8k0"></nav>
    <input id="co8k0"><em id="co8k0"></em></input>
  • 

  • 

	
		
		
		
    
			
    
				
    
					
    
						
    勒索攻擊愈演愈烈趨勢之下 “重前輕后”的安全建設思路必須放棄
    

			
    

		zhangli   2021年12月23日 07:37

		
    

 
    





		
    WatchGuard在一份針對網絡攻擊的調查報告中,明確指出在2021年上半年中,終端勒索軟件檢測總量打破了自2018年至2020年中所呈現的下降趨勢,再一次開啟上漲態勢,數據顯示,2021年上半年的檢測總量略低于2020年全年的檢測總量。如果在2021年剩下的時間里,每天的勒索軟件檢測量保持平穩,那么今年的數量將比2020年增加150%以上。
    同時,SonicWall針對上半年勒索軟件攻擊的一份報告發現,勒索軟件攻擊在 2021 年上半年猛增,該公司發現了 3.047 億次未遂的攻擊,攻擊量同比增長了 151%,并已超過 2020 年全年的 3.046 億次。這一事實讓 SonicWall 的研究人員感到震驚。
    回到我國,谷歌與網絡安全公司VirusTotal于本月(2021年10月)聯合發布了一份全球地區勒索軟件攻擊影響研究報告,其數據顯示,中國在受勒索軟件攻擊影響最嚴重的 10 個地區中排在以色列、韓國、越南之后位居第4。
    盡管針對我國境內遭遇勒索軟件攻擊事件的相關報道或報告非常少,實際情況如何對于安全行業的人而言應該還是心中有數。2021年7月,國家互聯網應急中心(CNCERT)編寫了一份簡潔扼要的《勒索軟件防范指南》,整個指南被分為兩部分,一是勒索軟件防范的九要、四不要,二是在遇到被勒索軟件感染時的應急處置方法。雖然這份指南中的內容不多,但這些通俗的文字背后,總能讓人感覺到一些什么。
    勒索軟件攻擊防御難度極高
    應對其威脅是長期、全面的安全建設過程
    因此,無論是國外還是國內,勒索軟件攻擊在全球范圍內的肆虐必須要引起我們的重視。但我們也能看到,關于勒索軟件攻擊的防御談了很多,但到底怎么防其實是沒有答案的,就在不久前,安全419曾經發布內容《為什么我們始終無法抵御勒索軟件攻擊》,從安全措施的應用、用戶的安全意識、工具化攻擊的低成本優勢、各類檢測與響應類安全產品的不足、勒索軟件家族之間的關系、勒索軟件攻擊的商業模式等諸多方面,闡述了如果想要徹底地抵御勒索軟件攻擊幾乎是不可能的。
    在2021年7月,安全419曾經就如何應對勒索軟件攻擊這一話題與騰訊安全玄武實驗室負責人“TK教主”于旸、騰訊安全反病毒實驗室負責人馬勁松、以及翼盾智能和第五空間研究院創始人朱易翔Coolfrog三位經驗頗豐的安全專家進行過交流。在這一過程中,于旸就明確地指出,“如今的勒索攻擊在持續向‘APT化’演進”。他解釋道,自動化的病毒感染只是勒索攻擊的一部分,犯罪團伙會針對高價值的目標,利用一切渠道、弱點進行入侵。他們通過前期對選定目標相關信息的收集,持續滲透,找出薄弱攻擊面,最終實現致命一擊。
    當時三位專家一致表示,安全建設是一個長期的過程,在這之中,企業的安全能力和攻擊者的攻擊能力間就會存在一個動態波動,因此,某一時期較強的安全防護能力并不意味著長期的高枕無憂。
    正如前綠色兵團創始人,現連尚網絡首席安全官龔蔚在2021年10月的看雪安全開發者峰會上所說的那樣——“沒有安全事件不等于沒有安全,表面上沒有安全事件,其背后也許就是沒有感知到、沒有識別到所造成的假象,但真當你發現安全問題的時候,也許就已經晚了。”
    八成企業災備能力無法應對勒索軟件攻擊
    “重前輕后”思路致安全建設欠缺整體平衡性
    就在更多主流觀點聚焦在如何防御并廣泛建議針對攻擊去置辦什么樣的安全產品、服務的當下,勒索軟件攻擊仍然很難防得住,因此也有一些別樣的觀點出現,例如同樣是在看雪2021安全開發者峰會上,來自上海交通大學信息安全博士、(ISC)2中國上海分會主席施勇在發言中表示,當前幾乎80%的企業所具備的災備能力在應對此類攻擊時是沒有防護能力的,災備在很多企業中都被視作是簡單的一個數據備份,而根本沒有考慮到在攻擊者入侵后,是對所有的數據同時進行破壞,這種備份實際上不僅沒有效果,而且沒有任何意義。一旦企業的數據被加密后,贖金完全是攻擊者說了算,因為企業根本沒有討價還價的余地,而一旦核心數據蒙受巨大損失,讓企業一夜之間倒閉并非不可想象。
    施勇的話引起了我們的思考,的確,在當前各種內外部因素驅動下,企業管理者的安全意識已經明顯提高,但也應注意到,大家普遍重視在于如何做好事前防御,而在事后防御方面卻并未給予足夠的投入甚至關注。
    災備并非是簡單地備份與恢復
    就以災備而言,嚴格的災備定義又是災難備份與恢復(disaster backup and recovery)的合意,即災難前的備份,以及災難后的恢復。在具體層面上,則指的是利用技術、管理手段以及相關資源確保關鍵數據、關鍵數據處理系統和關鍵業務在災難發生后可以盡可能多且快速地恢復的過程。
    其中災難前的備份指的是:不僅僅做到數據信息的備份和日志,更重要的還包括信息系統構建過程中容災體系結構的設計、提前制定的災難應急預案與恢復計劃等。
    災難后的恢復指的是:應急服務系統或者備份系統的業務接管、數據/系統/服務遷移過程中的安全管理、系統災難損失評估等。
    災備的目的其實非常明確——確保關鍵業務持續運行以及減少非計劃宕機時間。
    通過上述定義可以看出,災備絕不是簡單的數據備份和恢復,所能帶來也絕非只是數據恢復這么一個泛化的概念。而是需要一整套復雜的技術支撐以及專業的計劃才能實現,可以保證企業在面對災難或安全事件(如勒索軟件攻擊等)時,擁有高效的抵御能力,保障業務的持續運轉。
    事前防御和事后防御方面投入的不平衡
    就在看雪安全開發者峰會結束當天,我們就同上海當地一家專注于數據保護領域的廠商——CloudWonder嘉云取得聯系,并就這一話題進行了簡短溝通。
    在溝通中,嘉云的聯合創始人任嘉曦表示,除了對災備的認知存在問題之外,企業忽視災備建設的原因其實還有很多,比如成本原因等等,但關鍵之處還是企業管理者在安全建設的理念上仍存有一些固有的慣性思維——事前防御的重要性遠遠高于包括災備建設等在內的事后防御。
    以勒索軟件攻擊為例,毫無疑問,這是當前幾乎所有企業都會面臨的一個巨大威脅,也是業界的普遍共識,大多數企業的管理者并未意識到在遭遇勒索軟件攻擊之后,災備機制其實是可以幫助他們實現快速恢復業務的正常運轉,在面對攻擊者的勒索要求時也會更有底氣,這一點無論是施勇博士在論壇中的發言還是嘉云的任嘉曦在接受安全419采訪時所表達的內容都得到了肯定的答案。
    任嘉曦表示,當前面對網絡安全威脅更多是構筑事前安全,對事后的恢復能力投入相對較少,可以說兩者是嚴重失衡狀態。其中事前安全是不做不行,因為這種安全是直接的,表面就能看到的問題,而事后的問題是看不到的,這就導致很多人認為不值得,是被放棄的。
    針對這一話題,安全419隨后又采訪了一位中等規模互聯網企業的IT部門負責人,對方所給的答案也的確驗證了前述觀點。對方在接受采訪時表示,他們目前主要還是以傳統的數據備份為主,之所以未能選擇制定災備計劃及選擇相關解決方案,主要有兩方面的原因:
    一方面是對災備有效性的懷疑。“我們的確也了解災備所帶來的好處,以目前的技術條件和環境,做好災備建設其實并非難事,但到底如何確保其有效性呢?在遇到問題時它是否真的可以起到預期的作用呢?以我們建設需求方來看,這是一件難以評估的事情。”
    另一方面,則是成本付出的代價偏高,“對于我們這種發展中的企業而言,撥給安全上的預算本就不多,而災備建設的成本又明顯偏高,比如以基于類似兩地三中心這種概念的災備更是我們連想都不敢想的,這會令基礎投入翻倍增長。”
    對方表示,這兩方面的原因疊加在一起,必然會導致災備建設方案即便提交上去,也很難獲得通過并最終實施。相比那些可以通過態勢感知就可以實時查看到整體安全狀況的事前防御型安全產品,災備這種事后防御產品毫無疑問并不占優勢。
    從常情上看,這一問題的出現并不難理解,事前防御是目前安全建設的主要方式,同時,相比事后防御,它擁有著“看得見”的優勢,而災備這種事后防御,就像是我們每年都會買的車險一樣,只有在事故發生的時候,它才會“看得見”,而在大多數情況下,它都是“看不見”的狀態,在這樣的條件下,無論是合規驅動還是內在驅動的安全建設,在管理者看來自然都會優先考慮“看得見”的事前防御,而且普遍認為只要事前防御做得足夠好,就能夠抵御住大量的攻擊,如此一來便無需那些事后防御措施,更何況還是“看不見”的災備。
    歸根到底,這其實還是可以歸結于災備的“看不見”特性。對方也坦誠,由于無法清晰的解釋這一問題,導致災備建設的計劃即便提出,也往往會被否決。
    “我們認為,事前的防御一定是重要的,它就像是一個系統的大門,不能是任意一個人就可以隨意進出的。但事后的能力也要建立,因為沒有100%安全的系統,一旦被破壞你能接受這個代價嗎?”任嘉曦說道。
    的確,在安全建設上,事前防御和事后防御同樣重要,厚此薄彼并不能讓安全形成一個有效的閉環。
    通過施勇博士的發言和對CloudWonder嘉云任嘉曦的簡單采訪,我們已經不難看出當前企業在安全建設中欠缺平衡的現實。
    近幾年來,相當多的廠商都發出類似于網絡安全要從“事后補救”的方式轉向“事前防控”,這個說法的確非常合理,但從整體的安全建設考量,也只是說明了其中的一部分,因為安全建設本身要平衡,無論是橫向還是縱向,都應有合理的布局和投入,厚此薄彼對安全而言絕不是最佳選擇。
    沒有勒索攻擊事件發生時看似無關緊要,但真到了重金打造的防線被攻破的那一刻,不要后悔當初沒有給自己留下退路。
    


    來源:IT時代網
    




    IT時代網(關注微信公眾號ITtime2000,定時推送,互動有福利驚喜)所有原創文章版權所有,未經授權,轉載必究。
    創客100創投基金成立于2015年,直通硅谷,專注于TMT領域早期項目投資。LP均來自政府、互聯網IT、傳媒知名企業和個人。創客100創投基金對IT、通信、互聯網、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創客100基金最顯著的特點。
    
						
    
							
						
    
						
    

    
  相關文章
  
    
  
    

			
    勒索攻擊愈演愈烈趨勢之下 “重前輕后”的安全建設思路必須放棄

			
    

			
    

			
    深圳對過度獲取用戶信息的APP下狠手!網友建議全國推廣

			
    

			
    

			
    網絡安全審查辦公室:對“BOSS直聘”等啟動網絡安全審查

			
    

			
    

			
    滴滴下架、三大頭部企業被審查,是時候正視網絡安全了

			
    

			
    
 
    

    

						 
    

					
    	
				
    
				
    
					
    
						
						
    
						
						
    
						
    
							
    精彩評論