抵御勒索病毒,公有云下好乘凉?

三十多年前,哈佛大学的约瑟夫·波普在学生宿舍编写出AIDS木马,埋下了勒索病毒“恶之花”的种子。

WannaCry在2017年刮起的蠕虫风暴,更是让全世界都“想哭”。这种勒索病毒席卷150余个国家和地区,造成至少80亿美元的损失。国内大量的校园网、银行、加油站、ATM机甚至公安内网也遭到入侵,业务停摆、数据丢失在所难免。

伴随AI、物联网、区块链等新技术的迅猛发展,以及各类加密数字货币的持续火爆,勒索病毒的进化速度一日千里。根据Gartner的最新研究,新冠疫情引发的远程办公浪潮,致使网络攻击威胁成倍增长,地球人似乎挡不住勒索病毒疯狂的脚步。

精准打击头部机构,是勒索病毒升级的一大特征。仅今年上半年,就先后发生美国燃油管道运营商Colonial、全球最大肉类供应商JBS、厄瓜多尔国有电信公司、IT咨询巨头埃森哲等机构遭遇勒索病毒袭击的“大事件”。以RaaS模式运作的勒索病毒产业链,将重点目标集中于“肥缺”,以谋求利益最大化。

变着花样找“软柿子”捏,是勒索病毒蜕变的另一条路径。腾讯安全威胁情报中心今年5月发布的《勒索病毒趋势报告及防护方案建议》显示,勒索病毒的高频受害者多为数据价值大而IT建设较落后的领域,传统行业、医疗、政府机构遭受攻击的占比分别为37%、18%、14%,总计将近七成。

值得关注的是,很多勒索病毒开始针对中国市场进行“优化”:在前端,增加中文版本的勒索信件,并采取多种病毒集团化作战的方式发起攻势;在后端,为规避比特币监管造成的兑现困难,直接将挖矿软件挂在受害者的服务器上,拿不到赎金就借力“造币”。

面对来势汹汹的勒索病毒,一场没有退路的反击战正在酝酿、展开。

封地式防御信仰的崩塌

通过对全球近800名IT决策者和影响者的调查,IDC发布了《2021年勒索软件研究报告》。数据表明,全球超三分之一的组织在过去12个月内经历过勒索软件攻击。那些在数字化转型方面拥有长期投入计划和前瞻眼光的企业,抵御勒索软件风险的能力更强。

人无远虑,必有近忧。曾几何时,本地部署或采用私有云架构的安全策略成为主流,内外网隔离叠加数据中心分散布局似乎可构建难以攻克的堡垒。但凶悍的勒索病毒不信邪,特别擅长摧毁一个个封闭的小王国。

WannaCry演变为全球灾难,冲垮了对原有防御策略的信仰。WannaCry当时在互联网上有一个开关,如果及时关闭,可以降低损失。但在内外网隔离的架构中,很多设备是不能联网的,致使防线失守后无法阻断传播,整个内网很容易全面瘫痪。

勒索病毒对Windows系统的“偏爱”,也是始于WannaCry。无孔不入的勒索病毒借助已知漏洞或爆破密码的方式,能够轻松突破Windows的各种防线——其不仅加密中毒电脑的数据文件,而且还会强制结束Windows目录外所有运行程序。

风暴过后,很多人突然发现,采用Linux系统的云主机好像较少受到冲击,公有云对勒索病毒的防御能力显然更胜一筹。如果说公有云发展初期客户数量较少,上述结论的说服力尚不充分;那么在国内外大型云平台风起云涌的当下,重新思考面对勒索病毒的防御策略,可谓正当其时。

协同共享式防御应时而起

与各自为政的封地式防御相比,公有云打造的是协同共享模式,通过SaaS化的安全赋能,提高每一个节点的预警、检测和恢复能力,有效降低了勒索病毒“毒性”发作的几率与破坏力。

在传统模式下,用户自行采购软硬件安全产品,需要配备专业人员进行运维。厂商即使提供7×24小时的全天候服务,也无法实时、系统地排除全部安全隐患,对付超强的勒索病毒更是捉襟见肘。

公有云的代运维模式打破了一对一的困境,可以实现一对多、多对多的转换。一位安全顾问或运维专家能同时面向二三十家客户,将汇聚的信息、知识、资源,由一个点扩展到整个面,让每一家客户的需求都能得到快速响应,进而分享标准化、高品质的服务。

面对勒索病毒,公有云平台基于全网威胁感知和响应体系,拥有完善的入侵检测、病毒告警等防御机制,并可通过情报共享的方式,发现高危漏洞就第一时间推送给所有客户。即使百密一疏,云数据库的多重备份机制,也能让被勒索客户尽快恢复数据,减少损失。

魔高一尺,道高一丈。勒索病毒的不断进化,需要更强的安全赋能机制形成制衡。公有云平台一方面让客户每天产生的海量数据以最经济的方式存储,另一方面借助AI、大数据挖掘等工具,将专家经验和分析模型赋能给客户,以应对更复杂的安全环境。

尽管勒索病毒危害极大,但企业也不可能为此倾其所有,理应选择投入产出比最合理的模式。尤其对中小企业而言,通常IT建设投入100万元,就要有10万元用于安全领域,好钢更要用在刀刃上。

公有云帮助客户节省了安全架构规划、产品选购、人员配置等方面的成本,并通过即开即用、随需而用的方式,让客户不必一次性投入过大,且能在高峰时段或危急时刻满足特殊需求。这将极大缩短众多新兴企业的安全建设周期,动态预算、弹性使用也有助其达成安全防御与业务发展的双重目标。

三重防线构筑强大护城河

公有云的诸多优势,让协同共享模式逐渐得到认可,企业对抗勒索病毒的底气也越来越足。据《IT创事记》观察,国外的亚马逊、微软等公有云已渐成主流,国内的公有云也呈加速扩张的态势。

作为公有云上升势力的典型代表,腾讯云还专门推出了针对勒索病毒的解决方案,从事前、事中、事后构建三道防线,帮助客户全方位地应对挑战。这与网络安全防御模型PPDR中的“预测、保护、检测、响应”异曲同工,开创了公有云对战勒索病毒的范例。

第一重防线的侧重点是防患于未然,风险检测与充分备份并行。勒索病毒常通过钓鱼邮件、漏洞利用和密码爆破等手段突破边界,腾讯云多管齐下积极应对:云硬盘CBS保障数据可靠性;安全托管提供安全评估测评服务,以发现和修复网络弱点;主机安全提供基线检测与漏洞检测修复服务;针对漏洞支持网络资产安全漏洞扫描修复服务。

第二重防线强调精准狙击,及时告警、响应和拦截。黑产入侵系统后,会通过病毒投放、横向移动和加密勒索等形式对业务系统造成不可逆的侵害。腾讯云利用云安全运营中心协调云端安全防护产品,及时检测威胁、响应告警、分析日志、妥善处置;主机安全检测清除恶意病毒木马,拦截部分高危漏洞攻击;防火墙内置虚拟补丁机制,阻断横向移动,避免威胁扩散;Web应用防火墙通过对流量的实时检测,抵御各种形式的网络攻击。

第三重防线最核心的是备份还原及时有效。遭遇勒索病毒攻击后,企业应借助安全产品或服务快速恢复业务,并对事件进行溯源分析,及时对短板修复处理。腾讯云安全运营中心会对事件进行回溯调查,采取系统加固措施,避免攻击者再次来袭;云硬盘CBS快速恢复业务,防止系统因黑客攻击而中断;安全托管服务为企业提供全方位的应急响应服务。

防线千万条,预测第一条。腾讯安全总经理王宇认为,“如果能够在萌芽期对威胁先一步地感知,就会有充裕的时间窗口去响应,并做后续的应对。”因此,预测是整个防御流程中最关键的环节,而这正是腾讯云最大的竞争优势。

经过20多年的高速发展,腾讯实现了对C端、B端和云端的全覆盖,拥有国内最具规模、最为全面的威胁感知能力,由此为预测奠定了坚实基础。对安全大数据的丰富积累以及所属各大实验室的深度挖掘,让腾讯云能够防御包括勒索病毒在内的各种威胁,为客户的安全赋能亦可真正落地。

围绕勒索病毒的魔道之争,还将继续演绎新的故事。未来故事的情节也许扑朔迷离,但公有云肯定是位居C位的主角。🖋

作者关健,《IT创事记》合伙人、主笔:曾任《电脑商报》常务副社长兼执行总编、《中国计算机报》助理总编,媒体从业时间超过10年。

关健长期关注科技产业动态及趋势,与逾百位高科技公司领导者进行过对话,亦在众多科技会议与论坛中担任嘉宾主持。