您所在的位置: 首頁(yè) >
新聞資訊 >
威脅情報(bào) >
全球數(shù)據(jù)勒索攻擊威脅新特點(diǎn)及對(duì)策建議
本文研究了國(guó)外應(yīng)對(duì)勒索攻擊的最新舉措,并提出了我國(guó)推進(jìn)勒索攻擊治理法治化、強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)、加強(qiáng)組織或國(guó)際間合作等建議。
隨著全球數(shù)字化進(jìn)程的不斷推進(jìn),數(shù)據(jù)價(jià)值越發(fā)凸顯,網(wǎng)絡(luò)攻防雙方均圍繞數(shù)據(jù)展開角力,其中,對(duì)數(shù)據(jù)強(qiáng)行加密的勒索手段成為最常用且有效的攻擊方式。2021年,數(shù)據(jù)勒索成為全球網(wǎng)絡(luò)攻擊的主角,給多國(guó)帶來(lái)機(jī)密數(shù)據(jù)泄露、社會(huì)系統(tǒng)癱瘓等重大危害,嚴(yán)重威脅了國(guó)家安全。在此背景下,美國(guó)首次因網(wǎng)絡(luò)攻擊宣布進(jìn)入國(guó)家緊急狀態(tài),并將數(shù)據(jù)勒索攻擊(以下簡(jiǎn)稱“勒索攻擊”)提升至與“911”恐怖襲擊同等的級(jí)別;英國(guó)、澳大利亞、日本、加拿大等國(guó)也紛紛將勒索攻擊視為當(dāng)前最大的網(wǎng)絡(luò)威脅。毫無(wú)例外,我國(guó)政府、醫(yī)療等機(jī)構(gòu)也頻遭勒索攻擊,成為頭號(hào)重災(zāi)區(qū)。賽迪研究院網(wǎng)絡(luò)安全研究所在分析全球數(shù)據(jù)勒索攻擊新特點(diǎn)的基礎(chǔ)上,研究了國(guó)外應(yīng)對(duì)勒索攻擊的最新舉措,并提出了我國(guó)推進(jìn)勒索攻擊治理法治化、強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)、加強(qiáng)組織或國(guó)際間合作等建議。
一、全球數(shù)據(jù)勒索攻擊新特點(diǎn)
攻擊目的:由單純經(jīng)濟(jì)牟利轉(zhuǎn)向?qū)嵤?shù)據(jù)破壞、竊取戰(zhàn)略機(jī)密、謀取政治訴求等多重企圖,勒索意圖愈加復(fù)雜化。 一方面,具有國(guó)家背景的黑客組織以“勒索”為幌子,以掩護(hù)其進(jìn)行數(shù)據(jù)破壞、情報(bào)獵取等真實(shí)意圖,秘密發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)。2021年,伊朗國(guó)家級(jí)黑客組織Agrius對(duì)以色列實(shí)施勒索攻擊,表面留下了索求贖金的信息,但背后早已竊取了目標(biāo)系統(tǒng)的重要情報(bào)數(shù)據(jù),并通過(guò)“隨機(jī)字符覆寫文件”機(jī)制,對(duì)相關(guān)數(shù)據(jù)進(jìn)行了永久性銷毀。另一方面,對(duì)某一領(lǐng)域問(wèn)題持有不同政治立場(chǎng)的黑客組織以“發(fā)動(dòng)勒索攻擊”為要挾,謀求自身政治訴求。
攻擊對(duì)象:由無(wú)差別的個(gè)人設(shè)備轉(zhuǎn)向政府及公共部門、大型企業(yè)等具有關(guān)鍵信息基礎(chǔ)設(shè)施屬性的定向機(jī)構(gòu),且勒索策略日趨精準(zhǔn)化。與個(gè)人設(shè)備相比,關(guān)基機(jī)構(gòu)數(shù)據(jù)資產(chǎn)價(jià)值較高,遭受勒索攻擊的影響范圍較廣、后果較重,加之其部分具有網(wǎng)絡(luò)安全保險(xiǎn)的保障,在遭遇重大勒索攻擊下,“關(guān)基”機(jī)構(gòu)的贖金支付意愿和能力均較強(qiáng),也使其日漸成為勒索攻擊的焦點(diǎn)。為了制定精準(zhǔn)化勒索策略,攻擊者會(huì)在事前分析評(píng)估目標(biāo)機(jī)構(gòu)的IT安全建設(shè)現(xiàn)狀、遭受勒索攻擊后的損失程度和贖金支付能力等,精心選擇可為其帶來(lái)最大投資回報(bào)率的目標(biāo)機(jī)構(gòu)。
攻擊主體:由個(gè)人或單個(gè)黑客團(tuán)伙攻擊轉(zhuǎn)向?qū)蛹?jí)分明、分工明確的黑色產(chǎn)業(yè)活動(dòng),勒索行為日益專業(yè)化。一方面,為實(shí)現(xiàn)價(jià)值多向變現(xiàn),黑客團(tuán)伙除自身發(fā)動(dòng)勒索攻擊外,還會(huì)借由暗網(wǎng)和虛擬貨幣技術(shù),對(duì)外出租或售賣成熟的勒索軟件產(chǎn)品和服務(wù),這促使數(shù)據(jù)勒索“產(chǎn)業(yè)鏈”逐漸形成,上中下游的勒索軟件開發(fā)者、勒索執(zhí)行者,以及應(yīng)運(yùn)而生的贖金談判和贖金代管者之間相互協(xié)作配合,共同瓜分勒索收益,大大降低了攻擊實(shí)施的技術(shù)門檻。另一方面,不同黑客團(tuán)伙之間開始著手構(gòu)建具有精準(zhǔn)配合關(guān)系的勒索商業(yè)聯(lián)盟,通過(guò)共享受害者信息等手段,擴(kuò)大勒索商業(yè)模式,并進(jìn)一步增強(qiáng)勒索攻擊能力和隱蔽性。
攻擊模式:由單一加密勒索轉(zhuǎn)向多重勒索獲利,勒索手段趨于多樣化。當(dāng)受害方采取數(shù)據(jù)備份等防備措施,拒絕支付勒索贖金后,勒索攻擊手段也在持續(xù)演化。目前,已出現(xiàn)數(shù)據(jù)竊取外泄、DDOS攻擊威脅、供應(yīng)鏈攻擊等多重混合勒索模式,以增加贖金數(shù)目并提高受害機(jī)構(gòu)的贖金繳納率。例如,在加密之前通過(guò)在目標(biāo)環(huán)境中安裝可竊取重要數(shù)據(jù)并具有DDOS攻擊能力的后門程序,以“拒絕支付贖金則外泄數(shù)據(jù)或發(fā)動(dòng)DDOS攻擊”為威脅籌碼,逼迫受害方支付贖金,更有甚者直接在暗網(wǎng)倒賣被竊數(shù)據(jù),以獲得更多潛在利益。
二、國(guó)外應(yīng)對(duì)數(shù)據(jù)勒索攻擊威脅的最新舉措
加快反勒索立法,強(qiáng)化應(yīng)對(duì)勒索攻擊的法治保障。目前,各國(guó)紛紛從立法層面推進(jìn)勒索攻擊治理,并重點(diǎn)關(guān)注以下四個(gè)方面的制度建設(shè):一是建立強(qiáng)制性勒索攻擊事件報(bào)告機(jī)制。為加強(qiáng)執(zhí)法部門對(duì)勒索攻擊犯罪活動(dòng)運(yùn)作方式及勒索軟件威脅的全面了解,幫助其制定更好的應(yīng)對(duì)措施,2021年,美國(guó)推出《贖金披露法案》、《制裁和阻止勒索軟件法案》和《勒索軟件和金融穩(wěn)定法案》,澳大利亞提出《2021勒索軟件付款法案》,均強(qiáng)制要求支付勒索贖金的政府部門、企業(yè)等實(shí)體必須主動(dòng)向指定執(zhí)法部門提供勒索攻擊及贖金等相關(guān)信息,包括實(shí)體名稱和聯(lián)系方式、攻擊者身份、勒索金額、加密貨幣錢包類型,以及已泄露的數(shù)據(jù)字段等。其中,《贖金披露法案》還提出,要求美國(guó)國(guó)土安全部建立專門網(wǎng)站,為各實(shí)體提供報(bào)告渠道。二是規(guī)范勒索贖金支付,防止繳納大額勒索贖金引發(fā)的重復(fù)攻擊。美國(guó)2021年在《勒索軟件和金融穩(wěn)定法案》中明確要求,勒索贖金超過(guò)10萬(wàn)美元的,金融機(jī)構(gòu)需獲得財(cái)政部特別授權(quán)才可支付贖金。此外,澳大利亞也在《2022犯罪立法修正案(勒索軟件行動(dòng)計(jì)劃)法案》中展示出對(duì)勒索攻擊采取零容忍的立場(chǎng),明確提出政府不允許向勒索攻擊罪犯分子支付贖金。三是賦予執(zhí)法人員“數(shù)據(jù)中斷”權(quán)利,以幫助勒索攻擊受害者在不支付贖金的情況下防止?jié)撛诘臄?shù)據(jù)泄露風(fēng)險(xiǎn)。澳大利亞《2021年監(jiān)視立法修正案(識(shí)別和破壞)法案》賦予澳大利亞網(wǎng)絡(luò)犯罪執(zhí)法人員相關(guān)權(quán)利,即通過(guò)各種方式獲取可能涉及犯罪活動(dòng)的相關(guān)數(shù)據(jù),并隨后對(duì)其進(jìn)行破壞的權(quán)利。借助該權(quán)利,澳執(zhí)法人員可通過(guò)各種手段探尋勒索攻擊者服務(wù)器的位臵,并刪除存儲(chǔ)在這些服務(wù)器上用于“雙重勒索”的數(shù)據(jù),進(jìn)而有效打擊由勒索攻擊造成的數(shù)據(jù)泄露。四是對(duì)勒索攻擊者實(shí)施更嚴(yán)厲的懲罰,增強(qiáng)勒索犯罪活動(dòng)威懾力。澳大利亞《2022犯罪立法修正案(勒索軟件行動(dòng)計(jì)劃)法案》明確提出,將對(duì)勒索攻擊者最高判處10年監(jiān)禁,對(duì)其“關(guān)基”實(shí)施勒索攻擊的犯罪分子最高判處25年監(jiān)禁。
三、三點(diǎn)建議
探索反勒索立法,積極推進(jìn)勒索攻擊治理法治化建設(shè)。我國(guó)現(xiàn)行法律還沒(méi)有針對(duì)勒索攻擊的專門規(guī)定,可考慮借鑒美國(guó)、澳大利亞的做法,制定出臺(tái)反勒索專項(xiàng)法案,明確“受害者應(yīng)承擔(dān)主動(dòng)披露和報(bào)告勒索攻擊事件及贖金信息的相關(guān)義務(wù)、禁止某些特定類別的受害者向勒索攻擊方支付贖金”等勒索攻擊應(yīng)對(duì)路線,規(guī)范勒索攻擊信息共享和贖金支付;賦予執(zhí)法人員反勒索攻擊的“數(shù)據(jù)中斷”執(zhí)法權(quán),以及從勒索軟件攻擊者手中沒(méi)收、扣押勒索費(fèi)的相關(guān)權(quán)利,強(qiáng)化反勒索執(zhí)法權(quán)力;明確實(shí)施勒索軟件行為的刑事責(zé)任,加大勒索攻擊犯罪的懲治力度。
強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù),增強(qiáng)勒索攻擊防護(hù)能力和抵御彈性。一是推進(jìn)標(biāo)準(zhǔn)化勒索攻擊應(yīng)急響應(yīng)機(jī)制建設(shè)與落實(shí)。借鑒美國(guó)、英國(guó)、歐盟的相關(guān)做法,從“事前”防范、“事中”監(jiān)測(cè)遏制恢復(fù)、“事后”回溯修補(bǔ)等層面出發(fā),研究制定關(guān)于勒索攻擊標(biāo)準(zhǔn)化應(yīng)急響應(yīng)機(jī)制及流程的相關(guān)指南文件,在此基礎(chǔ)上,推動(dòng)“關(guān)基”機(jī)構(gòu)嚴(yán)格落實(shí)應(yīng)急響應(yīng)機(jī)制建設(shè),并定期組織“關(guān)基”機(jī)構(gòu)開展攻防演練,保障重要“關(guān)基”系統(tǒng)在遭遇重大勒索攻擊時(shí)具備良好的彈性恢復(fù)能力。二是加強(qiáng)反勒索攻擊技術(shù)的研發(fā)與應(yīng)用。組織開展底層加密技術(shù)研究與攻關(guān),積極探索零信任、AI等新型技術(shù)在勒索攻擊防御中的應(yīng)用。在此基礎(chǔ)上,推動(dòng)“關(guān)基”機(jī)構(gòu)加大在網(wǎng)絡(luò)安全防護(hù)技術(shù)上的投入力度,比如借鑒美國(guó)、新加坡的做法,要求“關(guān)基”機(jī)構(gòu)將零信任技術(shù)整合至重要系統(tǒng)的安全架構(gòu)和運(yùn)營(yíng),利用零信任“層層認(rèn)證”的特性,確保系統(tǒng)動(dòng)態(tài)應(yīng)對(duì)網(wǎng)絡(luò)環(huán)境變化,及時(shí)彌補(bǔ)傳統(tǒng)邊界防護(hù)模式在應(yīng)對(duì)勒索攻擊中的先天不足,降低數(shù)據(jù)被勒索的可能性;推動(dòng)勒索攻擊“AI化”防御體系建設(shè),利用AI技術(shù)實(shí)現(xiàn)勒索特征識(shí)別檢測(cè)、勒索病毒遏制根除、勒索贖金支付追蹤等自動(dòng)化防御流程。三是提供反勒索專業(yè)培訓(xùn)、工具等安全方案支持。借助門戶網(wǎng)站、線下宣講等方式,對(duì)“關(guān)基”機(jī)構(gòu)開展網(wǎng)絡(luò)安全培訓(xùn),使相關(guān)人員了解勒索攻擊威脅以及應(yīng)對(duì)勒索攻擊的防護(hù)常識(shí);官方提供勒索病毒檢測(cè)軟件、勒索攻擊防護(hù)能力評(píng)估軟件等簡(jiǎn)便易用的防護(hù)工具。
加強(qiáng)組織或國(guó)際間合作,聯(lián)合打擊勒索攻擊網(wǎng)絡(luò)犯罪行為。一是加強(qiáng)執(zhí)法機(jī)構(gòu)與政府部門、私營(yíng)企業(yè)、金融機(jī)構(gòu)等主體之間的威脅情報(bào)共享,聯(lián)合開展反勒索攻擊專項(xiàng)執(zhí)法行動(dòng),并積極推進(jìn)勒索攻擊黑色產(chǎn)業(yè)鏈的常態(tài)化治理。比如,與私營(yíng)企業(yè)合作,開展對(duì)郵件、即時(shí)通信工具等常見(jiàn)的勒索病毒傳播渠道的監(jiān)測(cè),及時(shí)發(fā)現(xiàn)勒索攻擊入侵跡象;與金融機(jī)構(gòu)合作,強(qiáng)化金融交易檢測(cè),對(duì)勒索贖金支付流程進(jìn)行更加嚴(yán)密的追蹤、抑制和阻斷。二是加強(qiáng)國(guó)際合作,與國(guó)際同行開展聯(lián)合行動(dòng),共同調(diào)查并破壞勒索攻擊的全球勒索攻擊犯罪網(wǎng)絡(luò),加強(qiáng)針對(duì)勒索攻擊者的起訴、跨境執(zhí)法數(shù)據(jù)協(xié)調(diào)和跨境抓捕等。
以上是部分內(nèi)容,完整版觀點(diǎn)詳見(jiàn):https://docs.qq.com/pdf/DVXV2RWx6blFSbGxm
來(lái)源: 中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院