本文研究了國外應(yīng)對勒索攻擊的最新舉措，并提出了我國推進勒索攻擊治理法治化、強化關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護、加強組織或國際間合作等建議。

隨著全球數(shù)字化進程的不斷推進，數(shù)據(jù)價值越發(fā)凸顯，網(wǎng)絡(luò)攻防雙方均圍繞數(shù)據(jù)展開角力，其中，對數(shù)據(jù)強行加密的勒索手段成為最常用且有效的攻擊方式。2021年，數(shù)據(jù)勒索成為全球網(wǎng)絡(luò)攻擊的主角，給多國帶來機密數(shù)據(jù)泄露、社會系統(tǒng)癱瘓等重大危害，嚴重威脅了國家安全。在此背景下，美國首次因網(wǎng)絡(luò)攻擊宣布進入國家緊急狀態(tài)，并將數(shù)據(jù)勒索攻擊(以下簡稱“勒索攻擊”)提升至與“911”恐怖襲擊同等的級別;英國、澳大利亞、日本、加拿大等國也紛紛將勒索攻擊視為當(dāng)前最大的網(wǎng)絡(luò)威脅。毫無例外，我國政府、醫(yī)療等機構(gòu)也頻遭勒索攻擊，成為頭號重災(zāi)區(qū)。賽迪研究院網(wǎng)絡(luò)安全研究所在分析全球數(shù)據(jù)勒索攻擊新特點的基礎(chǔ)上，研究了國外應(yīng)對勒索攻擊的最新舉措，并提出了我國推進勒索攻擊治理法治化、強化關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護、加強組織或國際間合作等建議。

一、全球數(shù)據(jù)勒索攻擊新特點

攻擊目的：由單純經(jīng)濟牟利轉(zhuǎn)向?qū)嵤?shù)據(jù)破壞、竊取戰(zhàn)略機密、謀取政治訴求等多重企圖，勒索意圖愈加復(fù)雜化。 一方面，具有國家背景的黑客組織以“勒索”為幌子，以掩護其進行數(shù)據(jù)破壞、情報獵取等真實意圖，秘密發(fā)動網(wǎng)絡(luò)戰(zhàn)。2021年，伊朗國家級黑客組織Agrius對以色列實施勒索攻擊，表面留下了索求贖金的信息，但背后早已竊取了目標(biāo)系統(tǒng)的重要情報數(shù)據(jù)，并通過“隨機字符覆寫文件”機制，對相關(guān)數(shù)據(jù)進行了永久性銷毀。另一方面，對某一領(lǐng)域問題持有不同政治立場的黑客組織以“發(fā)動勒索攻擊”為要挾，謀求自身政治訴求。

攻擊對象：由無差別的個人設(shè)備轉(zhuǎn)向政府及公共部門、大型企業(yè)等具有關(guān)鍵信息基礎(chǔ)設(shè)施屬性的定向機構(gòu)，且勒索策略日趨精準(zhǔn)化。與個人設(shè)備相比，關(guān)基機構(gòu)數(shù)據(jù)資產(chǎn)價值較高，遭受勒索攻擊的影響范圍較廣、后果較重，加之其部分具有網(wǎng)絡(luò)安全保險的保障，在遭遇重大勒索攻擊下，“關(guān)基”機構(gòu)的贖金支付意愿和能力均較強，也使其日漸成為勒索攻擊的焦點。為了制定精準(zhǔn)化勒索策略，攻擊者會在事前分析評估目標(biāo)機構(gòu)的IT安全建設(shè)現(xiàn)狀、遭受勒索攻擊后的損失程度和贖金支付能力等，精心選擇可為其帶來最大投資回報率的目標(biāo)機構(gòu)。

攻擊主體：由個人或單個黑客團伙攻擊轉(zhuǎn)向?qū)蛹壏置?、分工明確的黑色產(chǎn)業(yè)活動，勒索行為日益專業(yè)化。一方面，為實現(xiàn)價值多向變現(xiàn)，黑客團伙除自身發(fā)動勒索攻擊外，還會借由暗網(wǎng)和虛擬貨幣技術(shù)，對外出租或售賣成熟的勒索軟件產(chǎn)品和服務(wù)，這促使數(shù)據(jù)勒索“產(chǎn)業(yè)鏈”逐漸形成，上中下游的勒索軟件開發(fā)者、勒索執(zhí)行者，以及應(yīng)運而生的贖金談判和贖金代管者之間相互協(xié)作配合，共同瓜分勒索收益，大大降低了攻擊實施的技術(shù)門檻。另一方面，不同黑客團伙之間開始著手構(gòu)建具有精準(zhǔn)配合關(guān)系的勒索商業(yè)聯(lián)盟，通過共享受害者信息等手段，擴大勒索商業(yè)模式，并進一步增強勒索攻擊能力和隱蔽性。

攻擊模式：由單一加密勒索轉(zhuǎn)向多重勒索獲利，勒索手段趨于多樣化。當(dāng)受害方采取數(shù)據(jù)備份等防備措施，拒絕支付勒索贖金后，勒索攻擊手段也在持續(xù)演化。目前，已出現(xiàn)數(shù)據(jù)竊取外泄、DDOS攻擊威脅、供應(yīng)鏈攻擊等多重混合勒索模式，以增加贖金數(shù)目并提高受害機構(gòu)的贖金繳納率。例如，在加密之前通過在目標(biāo)環(huán)境中安裝可竊取重要數(shù)據(jù)并具有DDOS攻擊能力的后門程序，以“拒絕支付贖金則外泄數(shù)據(jù)或發(fā)動DDOS攻擊”為威脅籌碼，逼迫受害方支付贖金，更有甚者直接在暗網(wǎng)倒賣被竊數(shù)據(jù)，以獲得更多潛在利益。

二、國外應(yīng)對數(shù)據(jù)勒索攻擊威脅的最新舉措

加快反勒索立法，強化應(yīng)對勒索攻擊的法治保障。目前，各國紛紛從立法層面推進勒索攻擊治理，并重點關(guān)注以下四個方面的制度建設(shè)：一是建立強制性勒索攻擊事件報告機制。為加強執(zhí)法部門對勒索攻擊犯罪活動運作方式及勒索軟件威脅的全面了解，幫助其制定更好的應(yīng)對措施，2021年，美國推出《贖金披露法案》、《制裁和阻止勒索軟件法案》和《勒索軟件和金融穩(wěn)定法案》，澳大利亞提出《2021勒索軟件付款法案》，均強制要求支付勒索贖金的政府部門、企業(yè)等實體必須主動向指定執(zhí)法部門提供勒索攻擊及贖金等相關(guān)信息，包括實體名稱和聯(lián)系方式、攻擊者身份、勒索金額、加密貨幣錢包類型，以及已泄露的數(shù)據(jù)字段等。其中，《贖金披露法案》還提出，要求美國國土安全部建立專門網(wǎng)站，為各實體提供報告渠道。二是規(guī)范勒索贖金支付，防止繳納大額勒索贖金引發(fā)的重復(fù)攻擊。美國2021年在《勒索軟件和金融穩(wěn)定法案》中明確要求，勒索贖金超過10萬美元的，金融機構(gòu)需獲得財政部特別授權(quán)才可支付贖金。此外，澳大利亞也在《2022犯罪立法修正案(勒索軟件行動計劃)法案》中展示出對勒索攻擊采取零容忍的立場，明確提出政府不允許向勒索攻擊罪犯分子支付贖金。三是賦予執(zhí)法人員“數(shù)據(jù)中斷”權(quán)利，以幫助勒索攻擊受害者在不支付贖金的情況下防止?jié)撛诘臄?shù)據(jù)泄露風(fēng)險。澳大利亞《2021年監(jiān)視立法修正案(識別和破壞)法案》賦予澳大利亞網(wǎng)絡(luò)犯罪執(zhí)法人員相關(guān)權(quán)利，即通過各種方式獲取可能涉及犯罪活動的相關(guān)數(shù)據(jù)，并隨后對其進行破壞的權(quán)利。借助該權(quán)利，澳執(zhí)法人員可通過各種手段探尋勒索攻擊者服務(wù)器的位臵，并刪除存儲在這些服務(wù)器上用于“雙重勒索”的數(shù)據(jù)，進而有效打擊由勒索攻擊造成的數(shù)據(jù)泄露。四是對勒索攻擊者實施更嚴厲的懲罰，增強勒索犯罪活動威懾力。澳大利亞《2022犯罪立法修正案(勒索軟件行動計劃)法案》明確提出，將對勒索攻擊者最高判處10年監(jiān)禁，對其“關(guān)基”實施勒索攻擊的犯罪分子最高判處25年監(jiān)禁。

三、三點建議

探索反勒索立法，積極推進勒索攻擊治理法治化建設(shè)。我國現(xiàn)行法律還沒有針對勒索攻擊的專門規(guī)定，可考慮借鑒美國、澳大利亞的做法，制定出臺反勒索專項法案，明確“受害者應(yīng)承擔(dān)主動披露和報告勒索攻擊事件及贖金信息的相關(guān)義務(wù)、禁止某些特定類別的受害者向勒索攻擊方支付贖金”等勒索攻擊應(yīng)對路線，規(guī)范勒索攻擊信息共享和贖金支付;賦予執(zhí)法人員反勒索攻擊的“數(shù)據(jù)中斷”執(zhí)法權(quán)，以及從勒索軟件攻擊者手中沒收、扣押勒索費的相關(guān)權(quán)利，強化反勒索執(zhí)法權(quán)力;明確實施勒索軟件行為的刑事責(zé)任，加大勒索攻擊犯罪的懲治力度。

強化關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護，增強勒索攻擊防護能力和抵御彈性。一是推進標(biāo)準(zhǔn)化勒索攻擊應(yīng)急響應(yīng)機制建設(shè)與落實。借鑒美國、英國、歐盟的相關(guān)做法，從“事前”防范、“事中”監(jiān)測遏制恢復(fù)、“事后”回溯修補等層面出發(fā)，研究制定關(guān)于勒索攻擊標(biāo)準(zhǔn)化應(yīng)急響應(yīng)機制及流程的相關(guān)指南文件，在此基礎(chǔ)上，推動“關(guān)基”機構(gòu)嚴格落實應(yīng)急響應(yīng)機制建設(shè)，并定期組織“關(guān)基”機構(gòu)開展攻防演練，保障重要“關(guān)基”系統(tǒng)在遭遇重大勒索攻擊時具備良好的彈性恢復(fù)能力。二是加強反勒索攻擊技術(shù)的研發(fā)與應(yīng)用。組織開展底層加密技術(shù)研究與攻關(guān)，積極探索零信任、AI等新型技術(shù)在勒索攻擊防御中的應(yīng)用。在此基礎(chǔ)上，推動“關(guān)基”機構(gòu)加大在網(wǎng)絡(luò)安全防護技術(shù)上的投入力度，比如借鑒美國、新加坡的做法，要求“關(guān)基”機構(gòu)將零信任技術(shù)整合至重要系統(tǒng)的安全架構(gòu)和運營，利用零信任“層層認證”的特性，確保系統(tǒng)動態(tài)應(yīng)對網(wǎng)絡(luò)環(huán)境變化，及時彌補傳統(tǒng)邊界防護模式在應(yīng)對勒索攻擊中的先天不足，降低數(shù)據(jù)被勒索的可能性;推動勒索攻擊“AI化”防御體系建設(shè)，利用AI技術(shù)實現(xiàn)勒索特征識別檢測、勒索病毒遏制根除、勒索贖金支付追蹤等自動化防御流程。三是提供反勒索專業(yè)培訓(xùn)、工具等安全方案支持。借助門戶網(wǎng)站、線下宣講等方式，對“關(guān)基”機構(gòu)開展網(wǎng)絡(luò)安全培訓(xùn)，使相關(guān)人員了解勒索攻擊威脅以及應(yīng)對勒索攻擊的防護常識;官方提供勒索病毒檢測軟件、勒索攻擊防護能力評估軟件等簡便易用的防護工具。

加強組織或國際間合作，聯(lián)合打擊勒索攻擊網(wǎng)絡(luò)犯罪行為。一是加強執(zhí)法機構(gòu)與政府部門、私營企業(yè)、金融機構(gòu)等主體之間的威脅情報共享，聯(lián)合開展反勒索攻擊專項執(zhí)法行動，并積極推進勒索攻擊黑色產(chǎn)業(yè)鏈的常態(tài)化治理。比如，與私營企業(yè)合作，開展對郵件、即時通信工具等常見的勒索病毒傳播渠道的監(jiān)測，及時發(fā)現(xiàn)勒索攻擊入侵跡象;與金融機構(gòu)合作，強化金融交易檢測，對勒索贖金支付流程進行更加嚴密的追蹤、抑制和阻斷。二是加強國際合作，與國際同行開展聯(lián)合行動，共同調(diào)查并破壞勒索攻擊的全球勒索攻擊犯罪網(wǎng)絡(luò)，加強針對勒索攻擊者的起訴、跨境執(zhí)法數(shù)據(jù)協(xié)調(diào)和跨境抓捕等。

以上是部分內(nèi)容，完整版觀點詳見：https://docs.qq.com/pdf/DVXV2RWx6blFSbGxm

來源： 中國電子信息產(chǎn)業(yè)發(fā)展研究院