从谋财到窃密？勒索攻击白皮书：防范重在事前而非事后破解

  11月4日，以“数实融合，绽放新机”为主题的2021腾讯数字生态大会在武汉光谷科技会展中心继续举行。会上，腾讯发布《2021年勒索

  白皮书分析认为，全球网络勒索攻击事件频繁发生的原因主要在于企业内部基础设施建设落后、勒索利润极高以及远程办公场景的增加，而当下绝大多数勒索攻击无法被破解；建议企业重视数据加密和备份，将安全防护前置于全业务环节，同时增强从业人员的安全防范意识。

  近年来，随着5G通信、人工智能、物联网等技术的快速发展和普及，以及比特币等密码货币的持续火爆，勒索软件攻击在全世界内呈现出持续高发态势，并且可能在未来很长一段时间内都会成为威胁网络安全的重要的因素之一。

  白皮书指出，勒索软件攻击是指网络攻击者通过锁定设备或加密文件等方式阻止用户对系统或数据的正常访问，并要挟受害者支付赎金的行为。自2018年以来，勒索软件攻击数量增加了350%。澳大利亚信息专员办公室（OAIC）的一份报告数据显示，相较于去年下半年，今年上半年由勒索软件攻击引起的数据泄露事件增长了24%。

  在经济损失方面，美国战略与国际研究中心与杀毒软件供应商迈克菲联合发布的一份报告说明，估计每年全球网络攻击所带来的损失将高达9450亿美元，网络防护支出费用约1450亿美元，总经济成本将超过一万亿美元。

  南都·隐私护卫队此前曾多次报道全世界内的大型勒索软件攻击事件。今年7月，厄瓜多尔最大的国营电信运营商CNT遭勒索软件攻击，基本陷入瘫痪，勒索团伙以公开共计190GB客户个人隐私信息要挟其支付赎金。9月，日本企业奥林巴斯受到勒索软件攻击，被迫关闭其位于欧洲、中东及非洲的计算机网络系统。

  事实证明，如何有效防范勒索软件攻击已成为当前网络安全领域关注和讨论的焦点。白皮书梳理发现，勒索攻击事件在全球各地频繁发生，可归结为三个方面的原因。

  一是企业内部基础设施建设落后，联网后缺少有效的安全保护措施。据悉，中国工业控制管理系统的联网信息持续遭受境外不法分子的窥探，日均扫描超两万次，能源、制造、通信等行业的基础设施及控制管理系统成为主要目标。

  二是对于网络攻击者而言，高额的赎金成为其实施犯罪的极大动力。公开多个方面数据显示，发生于2020年的勒索攻击事件赎金平均约30万美元，较上年增加171%；2020年市面上各类活跃的勒索软件共计获利3.7亿美元，较上年增长 336%。这也代表着，高额的利润回报让更多不法分子愿意铤而走险。

  三是远程办公增加安全风险。自新冠肺炎疫情在全世界爆发以来，勒索团伙利用远程办公带来的安全漏洞，通过技术迭代、数据泄露、加密数据等方式不断进化攻击手法，开辟新的攻击面，利用人们在危机期间的恐慌心理，持续增加勒索次数。

  白皮书分析认为，正因为勒索攻击与别的形式的网络攻击大相径庭，才使得传统网络安全保护措施在应对勒索攻击时略显无力。因此，要进行对抗就必须熟悉勒索攻击的惯用手段和趋势特点。

  首先，勒索攻击行为隐蔽性强且危害显著。勒索攻击通常利用垃圾邮件、网页广告等伪装传播手段达到入侵目的，其还会高度仿照目标公司的编码方式和命名规范以绕过复杂的测试、交叉审核、校验等环节；同时，勒索攻击一般具有明确的攻击目标和强烈的勒索目的，已由单纯求财转向窃取商业数据和政治机密。

  其次，勒索病毒变异较快且易传播。快速的提升的网络技术助长病毒裂变速度的同时，网络攻击者的“反侦查”意识也在增强——勒索软件编写者会一直在改进软件变体以逃避侦查。事实上，在大部分时候，勒索软件作者都能通过快速更新样本并使用新样本攻击投递来躲避检测。

  再者，勒索攻击路径和目标趋于多元化发展。当下勒索攻击正由被动式转为主动式，网络攻击者除了利用系统漏洞发动远程攻击，还会诱导企业内部员工泄露敏感信息；而攻击目标也从电脑端转为移动端，从个人用户转为企业设备，将目标聚焦在政府或企业的关键业务系统与服务器上以期索取更高利润。

  然而，白皮书指出，目前加密手段复杂多样的勒索攻击绝大多数无法被解密。极少数被破解的案例主要出于两种情况：一是勒索病毒的制作者泄露了病毒内部资料；二是勒索病毒自身存在的漏洞大幅度的降低了破解难度。

  白皮书梳理发现，我国现行法律没有针对勒索软件的专门性规定，但针对敲诈勒索、信息网络技术上的支持和帮助、制作传播计算机病毒等危害网络安全方面的规定较为完善。

  今年7月，国家互联网应急中心发布《勒索软件防范指南》，规定了防范勒索软件要做到九项要求和四项建议。8月，国务院发布《关键信息基础设施安全保护条例》，明确了各职能部门的责任边界和职责要求，以及关键认定原则和认定机制，形成关键安全保护工作法律责任体系；11月，个人隐私信息保护法实施，为打击涉勒索软件等侵犯公民、组织个人隐私信息的行为提供了更坚实的法治保障。

  白皮书分析认为，网络勒索攻击的损失和后果不可估量，因此防范勒索攻击的重点在事前防御环节而非遭受攻击后的解密环节。为此，白皮书为企业从技术、机制、意识三个方面提出了建议。

  第一，聚焦安全前沿技术，提高防护能力。企业应注重数据加密和备份，通过“零信任”安全机制（指假定所有身份、设备和行为都不安全，在接入时皆需进行全程安全验证和检查）降低被攻击风险，其能有效增加窃取难度、防止勒索攻击扩散，同时及时检测风险并控制在最小限度。

  第二，构建安全前置能力，提升企业“免疫力”。企业应将安全贯穿于总系统生命周期展开保护，实现安全能力在业务环节的前置，提前预判潜在安全风险；在产业链企业间形成威胁情况共享机制，协同防御网络攻击；机构组织加强对供应商的代码审计与安全检查，建立“零信任”架构等安全防护机制。

  第三，增强人员安全意识。企业要加强安全知识的宣传力度，使从业人员对对来历不明的邮件、网站、软件、存储介质等各种可能出现的可疑情况保持高度警惕；加强网络隔离，限制不必要的访问通道；此外应用本地存储和云端双备份的策略，严格限制对备份系统的访问权限。