勒索病毒攻击:挑战与防范
文 | 奇安信科技集团股份有限公司 刘川琦
勒索病毒的出现,如同网络空间中的一颗定时炸弹,其攻击无预警、难以抵挡,且攻击后果严重,极大地改变了网络安全的基本环境和游戏规则。这些病毒不仅造成巨大的经济损失,更对政企机构的数据安全构成严重威胁。奇安信通过分析我国行业网络安全应急响应报告,揭示了勒索病毒攻击的生存曲线,同时揭示了受害机构在网络安全建设与运营方面的“通病”,旨在为政企机构构建勒索病毒防范体系提供参考。
一、攻击态势综述
勒索病毒攻击日益频繁,形式多样,攻击时长缩短,智能化和多重勒索策略逐渐普及。企业面临的安全挑战已不再局限于外部攻击,还包括内部漏洞和未修复的安全隐患。因此,企业需要从全新的角度审视安全问题,寻求更合适的应对措施。
(一)行业分布
根据统计,医疗卫生行业是勒索病毒攻击的重灾区,制造业和生活服务紧随其后。
(二)攻击源 IP 分析
尽管攻击源 IP 的地域归属不能直接反映攻击者的实际地域,但分析攻击源 IP 的归属地,可以了解攻击者选择 IP 的倾向。然而,在深入分析攻击源 IP 归属地时,发现约61.7%的攻击事件无法溯源,显示这些机构在网络安全建设上存在严重缺陷。
(三)攻击时长分析
有记录的攻击事件中,平均攻击时长为105.7小时,最短3分钟,最长529天。约60%的攻击在24小时内完成,显示攻击者具备高度的攻击效率。
二、勒索病毒攻击生存曲线
勒索病毒的攻击是一个过程,而非瞬时动作。有效的安全监测和实战化安全运营能够及时发现和阻止勒索病毒攻击。根据分析数据绘制的生存曲线显示,0-30分钟是应急响应的“黄金救援期”。
三、勒索病毒攻击手法
勒索病毒攻击者常用的手段包括弱口令暴力破解、违规操作、钓鱼邮件和漏洞利用等。这些攻击手法通常不会经过高级伪装,且容易被现有安全产品或解决方案有效应对。
四、网络安全建设薄弱点分析
受害机构在网络安全建设与运营过程中存在以下薄弱环节:安全建设基础薄弱、安全运营能力低下、应急响应措施不足、端口暴露问题严重、身份验证机制不全、安全漏洞缺乏管理和供应链风险不受重视。
五、结 语
企业面对日益严峻的勒索病毒威胁,需要高度重视网络安全问题,加强安全防护措施和人才队伍建设,提升防御能力。同时,建立实战化的安全运营能力,完善应急响应机制,以应对勒索软件的挑战。
(本文刊登于《中国信息安全》杂志2024年第8期)
图片说明
图1:勒索病毒攻击IP归属分析 图2:勒索病毒的攻击时长 图3:勒索病毒攻击的生存曲线 图4:勒索病毒攻击手法分布
图片内容保持不变,仅对文中描述和内容进行润色和重写,使其更加清晰、生动和准确。