圖片來(lái)源：視覺(jué)中國(guó) “NoFuel（無(wú)燃料）。”5月11日，美國(guó)東部城市加油站里赫然貼著這樣的標(biāo)識(shí)牌。同時(shí)，美國(guó)也于5月9日宣布進(jìn)入國(guó)家緊急狀態(tài)。造成這一切的源頭，恰恰是一個(gè)看似并不起眼的組織Darkside制作出來(lái)的勒索軟件。 5月7日，美國(guó)大型燃油運(yùn)輸管道運(yùn)營(yíng)商ColonialPipeline（科洛尼爾管道運(yùn)輸公司，以下簡(jiǎn)稱科洛尼爾）遭受網(wǎng)絡(luò)黑客攻擊，被迫關(guān)閉旗下成品油燃油管道。據(jù)了解，科洛尼爾運(yùn)營(yíng)美國(guó)最大的成品油管道系統(tǒng)，管道共長(zhǎng)5500英里，將汽油和其他燃料從德克薩斯州運(yùn)往東北，其提供的燃油約占東海岸燃料消耗的45%。其燃油運(yùn)輸中斷或?qū)⒂绊懙?000萬(wàn)美國(guó)人，涉及民生及國(guó)家安全。 5月9日（周日），科洛尼爾表示計(jì)劃在本周結(jié)束前（美國(guó)周日為一周第一天）對(duì)管道的運(yùn)作進(jìn)行實(shí)質(zhì)性的修復(fù)和恢復(fù)。 安恒信息工業(yè)互聯(lián)網(wǎng)安全事業(yè)部總經(jīng)理葉鵬對(duì)《每日經(jīng)濟(jì)新聞》記者表示：“想要快速恢復(fù)，必須從攻擊方處取得對(duì)應(yīng)的密鑰。上次挪威鋁業(yè)巨頭（海德魯）遭受勒索軟件攻擊，耗費(fèi)約一個(gè)月時(shí)間才完全恢復(fù)。此次（針對(duì)科洛尼爾）的勒索軟件攻擊，后續(xù)還需要關(guān)注?！?勒索攻擊掀風(fēng)波，美國(guó)進(jìn)入緊急狀態(tài) 5月9日，F(xiàn)BI（美國(guó)聯(lián)邦調(diào)查局）官網(wǎng)發(fā)布聲明表示：“確認(rèn)Darkside勒索軟件是造成ColonialPipeline網(wǎng)絡(luò)受損的原因，我們將繼續(xù)與公司、政府合作伙伴合作進(jìn)行調(diào)查。”即FBI認(rèn)定Darkside為這次勒索軟件攻擊的幕后組織者。 由于科洛尼爾遭受勒索軟件攻擊，致使美國(guó)東海岸燃油運(yùn)輸中斷。美國(guó)總統(tǒng)拜登于5月9日宣布美國(guó)進(jìn)入緊急狀態(tài)。 同日，美國(guó)交通運(yùn)輸部聯(lián)邦汽車運(yùn)輸安全管理局發(fā)布通知，對(duì)18個(gè)州載運(yùn)汽油、柴油、航空燃油及其他精煉石油的運(yùn)輸車免稅。 美國(guó)商務(wù)部長(zhǎng)吉娜·雷蒙多（GinaRaimondo）也于當(dāng)日表示，勒索軟件這類攻擊正變得越來(lái)越頻繁，也是企業(yè)現(xiàn)在必須擔(dān)心的。美國(guó)商務(wù)部必須和企業(yè)合作來(lái)保護(hù)網(wǎng)絡(luò)，以保護(hù)自己免受這些攻擊。她還表示，正在與公司、州和地方官員密切合作，以確?？坡迥釥柋M快恢復(fù)正常運(yùn)營(yíng)，并且不會(huì)出現(xiàn)供應(yīng)中斷的情況。 然而想要通過(guò)公路運(yùn)輸替代科洛尼爾的管道運(yùn)輸并不容易。該公司的管道是美國(guó)分配汽油、柴油、航空燃油最重要的管道，將墨西哥灣沿岸的煉油廠連接到亞特蘭大、紐約乃至其他地區(qū)的人口中心，其每天運(yùn)送約250萬(wàn)桶，超過(guò)整個(gè)德國(guó)的石油消耗量。 與吉娜·雷蒙多的說(shuō)法相反，美國(guó)東海岸多地已出現(xiàn)燃油短缺現(xiàn)象，而且受此影響，美國(guó)平均汽油零售價(jià)格已升至2014年末以來(lái)的最高水平，幾乎觸及每加侖3美元。 對(duì)于該事件的影響，安恒信息工業(yè)互聯(lián)網(wǎng)安全事業(yè)部總經(jīng)理葉鵬認(rèn)為：“其一，整條輸油管線對(duì)應(yīng)的各煉油廠勢(shì)必減產(chǎn)或停產(chǎn)，與煉油廠相關(guān)的上下游供應(yīng)鏈也會(huì)受到不同程度的影響。其二，美國(guó)東海岸5000萬(wàn)人的用油問(wèn)題短時(shí)間內(nèi)會(huì)遭遇一定的困難，未來(lái)是否會(huì)引起更大問(wèn)題仍需關(guān)注。其三，美國(guó)汽油期貨周日漲逾3%至每加侖2.217美元，創(chuàng)2018年5月以來(lái)新高；美國(guó)取暖油期貨也跳升至2020年1月以來(lái)的高點(diǎn)；間接引發(fā)能源市場(chǎng)動(dòng)蕩。其四，中斷美國(guó)軍方燃油供應(yīng)，可能會(huì)影響美國(guó)國(guó)家安全?！?RaaS已成商業(yè)模式 “簡(jiǎn)單！低成本！一夜暴富！不需要花多年時(shí)間浸淫代碼編寫或軟件開發(fā)技藝。只需要下載我們簡(jiǎn)單的勒索軟件工具包，就能讓您錢財(cái)源源而來(lái)——享受在家辦公的舒適與彈指坐聽比特幣落袋聲的雙重快樂(lè)?！币环饫账鬈浖I(lǐng)域宣傳資料如是描述。 這便是對(duì)勒索軟件即服務(wù)（RaaS：RansomwareasaService）模式的生動(dòng)描述，而發(fā)動(dòng)此次攻擊的Darkside，正是一個(gè)提供勒索軟件即服務(wù)的組織。 隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和應(yīng)用軟件的成熟，近年來(lái)軟件即服務(wù)日趨流行。SaaS平臺(tái)供應(yīng)商將應(yīng)用軟件統(tǒng)一部署在自己的服務(wù)器上，客戶可以根據(jù)工作實(shí)際需求，通過(guò)互聯(lián)網(wǎng)向廠商定購(gòu)所需的應(yīng)用軟件服務(wù)。 SaaS平臺(tái)為中小企業(yè)提供了較為廉價(jià)的軟件服務(wù)，而RaaS則是為犯罪團(tuán)伙提供了廉價(jià)的作案工具。RaaS這種商業(yè)模式的興起，使得從業(yè)者無(wú)需任何專業(yè)技術(shù)知識(shí)就可以毫不費(fèi)力地發(fā)起網(wǎng)絡(luò)敲詐活動(dòng)。近幾年，勒索軟件及服務(wù)（RaaS）呈爆發(fā)式增長(zhǎng)，可謂網(wǎng)絡(luò)安全的新疫情。RaaS為黑客提供了勒索軟件的巨大使用便利，節(jié)省了他們的時(shí)間資源并簡(jiǎn)化了流程，還有利于保護(hù)攻擊者的真實(shí)身份。 葉鵬認(rèn)為：“不僅僅是勒索軟件，整個(gè)互聯(lián)網(wǎng)領(lǐng)域的攻擊行為都呈現(xiàn)出低門檻、低成本的趨勢(shì)。比如一個(gè)普通中學(xué)生，都能夠使用相關(guān)工具輕松攻擊機(jī)構(gòu)網(wǎng)站。同時(shí)，網(wǎng)絡(luò)攻擊行為的泛濫，也對(duì)安恒信息這類互聯(lián)網(wǎng)安全企業(yè)提出了更高的要求。” 為何難以恢復(fù)業(yè)務(wù)？ 值得注意的是，在美國(guó)東部時(shí)間5月7日，科洛尼爾就已經(jīng)主動(dòng)中斷公司系統(tǒng)運(yùn)行，從而脫離勒索軟件威脅，并開始嘗試修復(fù)。不過(guò)，截至5月12日，公司燃油運(yùn)輸仍未恢復(fù)。 對(duì)此，葉鵬表示：“勒索病毒主要以郵件、程序木馬、網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播，利用各種非對(duì)稱加密算法對(duì)文件進(jìn)行加密，被感染者一般無(wú)法解密，必須拿到解密的私鑰才有可能破解?！?隨后，葉鵬詳細(xì)描述了勒索病毒的工作原理：“勒索病毒文件一旦進(jìn)入本地，就會(huì)自動(dòng)運(yùn)行。接下來(lái)，勒索病毒利用本地的互聯(lián)網(wǎng)訪問(wèn)權(quán)限連接至黑客的C&C服務(wù)器，進(jìn)而上傳本機(jī)信息并下載加密公鑰，利用加密公鑰對(duì)文件進(jìn)行加密。除了擁有解密私鑰的攻擊者本人，其他人幾乎不可能解密?！?“加密完成后，通常還會(huì)修改壁紙，在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶去繳納贖金。勒索病毒變種非常快，對(duì)常規(guī)的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主，對(duì)常規(guī)依靠特征檢測(cè)的安全產(chǎn)品是一個(gè)極大的挑戰(zhàn)?！比~鵬補(bǔ)充道。 英方軟件品牌總監(jiān)黃亮告訴《每日經(jīng)濟(jì)新聞》記者：“針對(duì)勒索病毒無(wú)法快速恢復(fù)業(yè)務(wù)，說(shuō)明該公司系統(tǒng)備份做得一般，按照我國(guó)等級(jí)保護(hù)和分級(jí)保護(hù)要求，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的系統(tǒng)備份，至少要在異地建立一套達(dá)到業(yè)務(wù)級(jí)災(zāi)備要求的備份系統(tǒng)，當(dāng)本地生產(chǎn)系統(tǒng)在極端情況下出現(xiàn)生產(chǎn)中斷且短時(shí)間內(nèi)無(wú)法恢復(fù)時(shí)，異地備份系統(tǒng)能夠在監(jiān)管要求的時(shí)間內(nèi)快速啟動(dòng)，繼續(xù)對(duì)外提供服務(wù)?！?“如果從災(zāi)備（備份和容災(zāi)）和業(yè)務(wù)連續(xù)性角度看，該公司提升空間更大。很顯然，作為如此重要的能源基礎(chǔ)設(shè)施，ColonialPipeline沒(méi)有啟動(dòng)災(zāi)備系統(tǒng)讓業(yè)務(wù)快速恢復(fù)，說(shuō)明在這兩方面的建設(shè)并不十分完善?！秉S亮補(bǔ)充道。 他山之石：如何防御勒索攻擊 此次勒索攻擊對(duì)美國(guó)影響巨大，那么國(guó)內(nèi)企業(yè)、個(gè)人應(yīng)該如何防御勒索攻擊呢？葉鵬表示：“從攻擊者滲透進(jìn)入內(nèi)部網(wǎng)絡(luò)的某一臺(tái)主機(jī)到執(zhí)行加密行為往往有一段時(shí)間，如果在這段時(shí)間能夠做出響應(yīng)，完全可以避免勒索事件的發(fā)生。某臺(tái)主機(jī)在感染勒索病毒后，除了自身會(huì)被加密，勒索病毒往往還會(huì)利用這臺(tái)主機(jī)去攻擊同一局域網(wǎng)內(nèi)的其他主機(jī)，所以當(dāng)發(fā)現(xiàn)一臺(tái)主機(jī)已被感染，應(yīng)盡快采取響應(yīng)措施?！?“具體措施包括隔離中毒主機(jī)、主機(jī)加固等。不過(guò)，基礎(chǔ)措施可以一定程度上響應(yīng)勒索事件，但當(dāng)病毒情況嚴(yán)重、感染主機(jī)較多或面對(duì)未知類型勒索變種，基礎(chǔ)措施的效果就十分有限。當(dāng)有數(shù)百臺(tái)甚至更多主機(jī)的場(chǎng)景感染勒索病毒，是無(wú)法逐一去采取基礎(chǔ)響應(yīng)措施，需要借助專業(yè)的安全產(chǎn)品進(jìn)行監(jiān)測(cè)、防護(hù)和專業(yè)的安全團(tuán)隊(duì)的技術(shù)支持。高級(jí)響應(yīng)措施方面，監(jiān)測(cè)方面產(chǎn)品比如安恒APT攻擊預(yù)警平臺(tái)，查殺與防護(hù)領(lǐng)域有EDR主機(jī)安全及管理系統(tǒng)?！?據(jù)了解，安恒APT攻擊預(yù)警平臺(tái)能夠發(fā)現(xiàn)已知或未知威脅，平臺(tái)能實(shí)時(shí)監(jiān)控、捕獲和分析惡意文件或程序的威脅性，并能夠?qū)︵]件投遞、漏洞利用、安裝植入、回連控制等各個(gè)階段關(guān)聯(lián)的木馬等惡意樣本進(jìn)行強(qiáng)有力的監(jiān)測(cè)。 網(wǎng)絡(luò)安全的復(fù)雜性和與時(shí)俱進(jìn)的屬性，加上工業(yè)互聯(lián)網(wǎng)領(lǐng)域自身的復(fù)雜生態(tài)和廣泛連接屬性，使得這一問(wèn)題的解決難度倍增，貫穿互聯(lián)網(wǎng)、集團(tuán)專網(wǎng)、企業(yè)管理網(wǎng)和生產(chǎn)控制網(wǎng)、云平臺(tái)四大區(qū)域全場(chǎng)覆蓋的網(wǎng)絡(luò)安全產(chǎn)品應(yīng)用和解決方案體系的建立，才能讓工業(yè)互聯(lián)網(wǎng)得到更好的防護(hù)和安全問(wèn)題解決之道。 葉鵬坦言，這對(duì)專業(yè)的網(wǎng)絡(luò)安全企業(yè)提出了極高的要求，既要有大量的實(shí)際經(jīng)驗(yàn)，又需要完整的識(shí)別、防護(hù)、監(jiān)測(cè)及響應(yīng)恢復(fù)周期體系，以及強(qiáng)大的研發(fā)實(shí)力和持續(xù)的創(chuàng)新能力。 黃亮表示：“對(duì)于重要商業(yè)數(shù)據(jù)、個(gè)人資料、相片等信息，建議做好定期備份；對(duì)于業(yè)務(wù)要求實(shí)時(shí)性高的企業(yè)，要做好實(shí)時(shí)備份，比如通過(guò)真CDP技術(shù)實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)備份，當(dāng)勒索病毒加密生產(chǎn)數(shù)據(jù)時(shí)，可以通過(guò)備份數(shù)據(jù)快速恢復(fù)業(yè)務(wù)，數(shù)據(jù)丟失量能夠趨于零?？偠灾?，在數(shù)據(jù)時(shí)代，不管數(shù)據(jù)作為公司重要的生產(chǎn)資料，歷史的重要見(jiàn)證，還是個(gè)人的珍貴回憶，都要做好備份和容災(zāi)，不要將雞蛋放在同一個(gè)籃子里?！?欲獲取更多互聯(lián)網(wǎng)安全信息及勒索病毒防護(hù)知識(shí)，請(qǐng)參考每日經(jīng)濟(jì)新聞與安恒信息聯(lián)手推出的產(chǎn)品網(wǎng)絡(luò)信息安全月報(bào)第一期：《2021年3月網(wǎng)絡(luò)信息安全月報(bào)：勒索病毒來(lái)勢(shì)洶洶，宏碁、富士康中招保護(hù)數(shù)據(jù)安全需要反守為攻？》