2022年,网络世界暗流汹涌:元宇宙不再只是少数人的理论,俄乌冲突将虚拟世界嵌入现实;全域复合战争已经发生,虚拟货币全球崩盘;漏洞超越“核武”成为最强军备,勒索走进企业成为经营常态;_数据泄露风波未平,供应链攻击卷土重来……这一年,有太多问题需要面对。

2022年,我国加快推进网络安全领域顶层设计。实施了5年多的《网络安全法》迎来了首次修改, 进一步压实网络安全责任;《网络安全审查办法》发布,网络安全风险防范能力不断强化;对网络安全违规事件的审查和处罚力度也不断加强,国家、企业、个人各类网络行为得到规范。

2022年,安全成为全社会的共识。党的二十大报告中,91次提及安全,29次提及国家安全。面对百年未有之大变局加速演进,我国国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂。

我们选取了5个关键词来记录网络安全的2022年。

2022关键词1:俄乌网络战

高频率、大规模、新战法、新模式,首个全面网络战影响关基防护

2022年2月24日,俄乌军事冲突爆发,网络攻击战先行,期间发生大规模的网络攻击活动,俄乌双方通过大规模攻击关基设施,实现设施破坏、系统中断、数据窃取、信息战等四种主要目标,以配合军事行动。俄乌网络战被国际智库称为世界首个全面网络战。

一、俄乌网络战整体态势回顾

俄乌军事冲突期间,世界首个全面网络战爆发。知名智库北大西洋理事会认为,俄乌网络战是世界第一次全面网络战争,未来所有军事冲突都将同时发生网络攻击活动。

俄乌网络战呈现高频率、大规模、新战法、新模式特色,深度影响未来关基防护——关基设施安全防护需要具备能够应对大规模攻击的能力。

在网络战期间,俄乌双方利用DDoS攻击、钓鱼欺诈、漏洞利用、供应链攻击、恶意数据擦除攻击等多种“网络武器” 发起破坏袭击,威胁关系国计民生的关键基础设施,导致设施破坏、业务中断、通信停服、数据停服的后果。

具体来看,网络战期间主要攻击形式概括如下。

(1)设施破坏:半数乌克兰政府遭关停。俄方攻击者利用乌克兰政府网站CMS漏洞,破坏乌政府大量网站,发布威胁信息,制造社会混乱。

(2)数据擦除:关键业务被中断。双方使用大量数据擦除软件,对政府、ICT、金融和能源机构进行数据擦除攻击,致使业务瘫痪。

(3)通信中断:影响军事指挥。其中乌电信运营商Ukrtelecom、卫星互联网公司遭网络攻击,致使全国服务中断,服务能力降至战前的13%。

(4)数据窃取:大量被窃取利用。俄攻击者窃取700万人数据。利用 “机器人农场”向乌士兵 发短信,促士兵进行破坏和直接投降。

(5)信息战:直接影响战争走向。俄乌开展信息战,利用各类真实与虚假信息,制造混乱、赢得支持。直接影响舆论走向和战争结局。

二、俄乌网络战主要特点

俄乌网络战是现代首次网络战争,吸引了全球攻击组织与黑客人员参与,西方与俄罗斯网络攻防能力得以全面展示,期间攻防新趋势,对国家安全和关基安全防护建设具有深远影响。

概括而言,俄乌网络战具有如下特点。

· 网络战成为现代战争的标配,热战未起网络攻击先行。

未来的军事冲突都将配合网络攻击活动。根据奇安信的威胁情报分析研判,先于军事行动之前,便爆发了针对乌克兰政府机构等关键部门的大规模分布式拒绝服务攻击和数据擦除恶意软件攻击。在战争开战之前,利用网络战损毁敌对国关键信息系统,窃取军事情报,瘫痪互联网、交通、能源金融等关键基础设施,成为现代战争的首选项。

· 网络攻击规模、数量及参与人员达到前所未有的强度。

主要表现在,参与组织多: 全球参与网络战组织达89个,为历史最高(7月14日)。参与人员多: 全球约40万黑客人员参与其中,防护难度空前。攻击行动多:冲突相关网络攻击和行动达447 多次(截至9月中,对俄131、对乌144),影响 27 个国家。

· 关基行业成为网攻的重点,政府、能源、金融、交通、通信与制造等六行业攻击居前。

根据截至9月的统计,在447次行动中,针对政府行业的攻击高达134次;战争期间攻击政府机构,中断和瘫痪政务服务,易造成社会混乱;窃取数据可实现武器化,因而成首选攻击目标。其他依次为金融52次,媒体44,交通36次,能源30次,教育17次。

· 网络战出现新战法和新模式

全球参与攻击组织大量使用各类新攻击手段,出现了大量使用数据擦除软件、首度攻击卫星网络、首度应用深度伪造等新攻击对象和新手法。乌克兰成功尝试IT志愿军模式,成功实现安全能力晋级。

三、俄乌网络战对关基防护启示

俄乌利用高级网络武器,对系统漏洞、供应链漏洞、人的漏洞和新技术漏洞开展攻击,令网络战呈现出攻击强度高、手段丰富、目标多样、后果严重的特点,关基行业需要具备抗击未来网络战的风险底线思维,有效防范和面对网络空间的主要安全风险,尤其是需体系化思考,构筑一体化安全体系。

1、关基设施防护成为重中之重

俄乌网络战关基单位成为首要攻击目标,政府、能源、金融、交通、通信与制造六大行业攻击居前。

2、新型攻击方式需重点防范

攻击方密集使用数据擦除软件,软件供应链攻击、开发关基系统定制木马进行渗透和潜伏。攻击手段越来越难以防范,需要不断更新安全防护能力。其中,供应链风险凸显,成为最难以防范的方式。俄利用内容管理系统攻击,瘫痪数十家政府网站。Notpetya攻击利用乌财务软件;美国太阳风(SolarWinds)供应链攻击波及200家美重要机构。

3、新攻击面风险需要重点防护

现代数字基础设施加速发展,容器化、SaaS应用以及混合工作环境急速增长,企业面临的攻击面也在随之扩大。

俄乌网络战期间,首次出现对卫星互联网攻击、利用深度伪造发起信息战,展示出新技术的风险。实时更新攻击面,防范新风险待。

4、安全漏洞广泛存在是最大风险

安全漏洞是攻击主要入口。俄利用漏洞部署数据擦除软件,绕过多重身份验证。47%攻击是漏洞利用。1990-2019 Windows漏洞达6814个。主要攻击组织都维护着丰富攻击向量工具箱,可以随时作为攻击的有利武器。

5、最基础网络攻击依然是重要手段

人是安全链中最薄弱环节。网络钓鱼实现系统突破是重要攻击方式。模拟钓鱼攻击、用户安全意识教育仍是最有效的措施之一。

6、有效安全运营显著提升防护效果

根据微软公司的分析,俄罗斯对乌克兰的网络攻击成功率仅为29%。乌通过消减漏洞、降低暴露面、主动威胁狩猎、威胁情报共享、强化安全运营取得了较好防护效果,设法维持绝大多数地区的基本公用事业服务。俄乌网络战期间发生多个终止攻击活动和降低攻击损失的案例。

2022关键词2:安全合规

监管加码、罚单频出 “合规”建设迫在眉睫

2022年,网络安全行业什么话题最热?合规无疑是其中之一。

在这一年,各种法律法规进入全面落实阶段。《网络安全法》迎来正式实施5周年,并迎来首次修改;《数据安全法》迎来实施1周年,相关的管理认证、监管细则等陆续推出,《数据出境安全评估办法》正式公布;《关基保护条例》《个人信息保护法》先后迎来实施一周年;《网络数据安全管理条例》也正式纳入立法过程。

与此同时,2022年也是监管加码、罚单频出的一年。滴滴被罚80.26亿元;工信部累计通报、下架违法违规APP近3000款;《网络安全法》修改意见,对企业罚款从最高100万提高到5000万或上一年度营业额的5%。

“不以规矩,不能成方圆”,合规是实现网络安全、保障国家安全的基础,正成为数字经济时代政企机构的首要任务与核心挑战。二十大报告,91次提及安全,29次提及国家安全!这足以体现安全在未来国家发展中的地位和影响。对政企机构来说,网络安全合规即发展。

图:国家战略与网络安全法律法规概览

一、内外部形势严峻 网络安全加强合规建设迫在眉睫

网络安全在合规驱动的道路上,至少有国际外部环境、国家战略要求,数字化经济发展、威胁形式变化等多重因素的联合驱动。

首先是国际环境波云诡谲,网络对抗威胁日益严峻。

整个2022年,世界百年未有之大变局正在加速演进,和世纪疫情交织叠加,国际环境日趋复杂,网络霸权主义对世界和平与发展构成威胁,网络空间安全面临的形势持续复杂多变。数字化空间的对抗已成为大国交锋的重要战场,网络安全已成为国家安全的重中之重。这也就不难理解我国在平衡安全与发展之间关系时的逻辑。强化安全法律体系构建与合规要求,如何强调其重要性都不为过。

其次是数字化潮流大势所趋,安全底板重要性凸显。

当前,“数字经济”正成为拉动中国经济增长的新引擎,其高速发展离不开国家宏观规划和政策的支撑。2021年3月,“中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要”正式发布,其中提出迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。

2022年12月19日,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”),对数据确权、流通、交易、安全等方面做出部署。“数据二十条”明确,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。

最后,网络空间威胁形势日新月异,影响范围与维度不断扩展,也是网络安全政策法规密集出台的又一大推动因素。

2022年以来,安全攻击呈现出以下四个新趋势:第一是勒索攻击事件呈现显著上升趋势;第二是数据窃密事件指数级攀升,且每起数据泄露事件带来的平均损失越来越大;第三是有组织的APT攻击威胁不减,甚至上升到大国之间的外交博弈;最后,供应链安全已成为网络安全的新战场,之前的安全短板亟待补课。

二、从合规体系完善到实际效果落地尚存在距离

回顾整个2022年,面对复杂而严峻的网络安全威胁形式,当前我国各个行业的合规落地实施仍存在诸多软肋和不足,具体表现在以下三个方面“。

第一,网络安全的主体责任未压实。

目前网络安全法律法规、规章标准虽然名目繁多,但惩罚措施较为宽松。即便是《网络安全法》正式实施以后,其最高罚款也不超过100万元,对于中大型企业尤其是各行业的头部公司而言,相较于复杂的网络安全技术与人才的投入,其处罚力度也远远不够。

这就带来了一个问题,网络安全主体责任并未压实。尤其越是头部的大型企业和政府机构,其发生网络安全事故后导致的后果也越严重,不仅是经济损失,更多时候其造成的国家安全与社会民生影响往往更为严重。这也是为什么在《关基保护条例》中,特别强调了从关基运营者的主体责任,以及保护工作部门的本行业本领域监测预警与指导任务。

第二,网络安全“能力体系”的亟待完善

网络安全从法规到落地执行,需要大量的能力支撑,这些能力中包括技术、管理、运行能力,这种综合能力体系的构建,就需要有框架、参考架构、标准、指南作为指导。

近两年来我国网络安全法律法规完善速度非常快,已经走在了全球前列,但在网络安全能力体系的建设上,相比最先进的体系而言,中间这层的能力指引缺失,却在一定程度上阻碍了我国网络安全整体水平的进步。

第三,常态化、实战化的深度运营缺失。

网络安全最终的效果需要从实战化中体现,尽管近年来实战攻防演习的水平越来越高,但有很多问题也隐藏其中。比如在演习期间防守非常严密,随着演习的结束,所有运营手段都又恢复成“老样子”:对那些高危甚至已经发生在野利用的漏洞视而不见、需要加固的策略无持续优化、安全设备的检测规则也不及时更新……如此一来,原本查漏补缺的目的就并未达到,借演习来提升实战化安全能力、满足合规需求的目标也就随之落空。

三、结束语

总体来看,从无法可依到有法可依,从合规性驱动到合规性和强制性驱动并重,以《网络安全法》、《数据安全法》、《个人信息保护法》等为代表的网络空间安全法治建设,为维护国家总体安全、抵御网络空间各种风险发挥了重要作用。然而,在当前国际严峻的威胁形势下,网络安全面对的挑战依然严峻,合规建设任重而道远。只有落实体系化建设,实现国家指导、行业保护、网络服务机构支持、运营者落实等多方协同,才能落实相关合规监管要求,筑牢网络安全底板,化解重大风险,为我国数字强国之路保驾护航。

2022关键词3:信创安全

“大信创”开启万亿级风口 网络安全迎“最好五年”

党的二十大报告将国家安全和科技自立自强提升到了全新高度,信创(信息技术应用创新产业)作为万亿级热门赛道,成为2022年的年度关注焦点。

如果说2020年是信创元年,2022年可称为行业信创元年。机构普遍认为,2020-2022年是党政信创需求爆发的三年,从2023开始至2027年,行业信创将接力党政信创,从金融行业、运营商、电力行业逐渐向教育、医疗等行业扩散。未来五年,从党政到行业,信创“2+8+N”应用体系的需求将全面爆发。据海比研究院统计,到2025年,信创市场规模预计突破2万亿,2021-2025年复合增长率为35.7%。万亿级蓝海市场呼之欲出,“大信创”时代已经到来。

一、信创从党政迈向“2+8+N”重要行业

“大信创”时代,随着信创内涵渐趋丰富、生态日趋成熟,网络安全将迎来爆发式增长的黄金时代。一方面,信创建设浪潮从党政迈向“2+8+N”重要行业领域,网络安全市场空间将呈指数级攀升;另一方面,信创的数字化也在不断深入和成熟,从早期政务办公到深入行业经营业务,甚至在生产运营系统中,行业的安全需求迎来细分和井喷。可以预见,在产业生态日趋成熟、信创发展日趋市场化的背景下,拥有核心技术实力的安全企业才能够获得领先市场份额。

具体在行业进展上,党政、金融由于起步最早,且有明确政策要求,走在了信创的最前沿。其中,党政作为信创发展的排头兵,目前已基本完成省市级单位电子公文系统的国产化替换。未来会进一步下沉至县级、乡镇级党政单位的电子公文系统替换中。同时,市级以上党政单位的电子政务系统国产替换也会同步进行。金融行业,随着信创一期、二期试点的结束,头部金融机构(银行、保险、证券)基本已完成了OA系统的国产替换,少数已实现了单轨运行。未来将逐步向非核心业务系统(ERP、CRM等)的国产替换演进。在目前进行的第三期信创试点中,信创进程持续推进。

其次,电信行业信创在新一轮的政策引导下,也开始稳步发力。电信行业信创,主要围绕三大运营商进行,目前已基本实现了底层服务器、整机等硬件的国产替换。同时,各地纷纷建立了相关“信创实验室”,并启动软件迁移适配工作,推动电信行业信创持续落地。

最后,教育、能源、交通等行业的信创,虽尚处发展初期,但一些头部企业和机构已开始进行国产化IT设施替换试点。未来随着政策进一步出台,这些行业的信创势必也会全面开展。

二、新场景叠加新威胁 “大信创”赛道催生网安大市场

信创并不意味着安全,甚至可以说,信创更需要安全。因为在信息化的重塑过程中,面临的新场景、新威胁更加复杂,对安全提出了更高的挑战。

首先是信创环境下,安全漏洞和病毒问题更加严峻。由于信创大量基于开源框架复用,面临着软件供应链、信创漏洞研究缺失等问题。根据奇安信《2021中国软件供应链安全分析报告》显示,国内企业软件项目100%使用了开源软件;超8成软件项目存在已知高危开源软件漏洞。和传统终端环境一样,信创终端同样存在着木马、病毒、恶意软件肆虐,勒索、挖矿病毒横行等情况。

第二是信创安全普遍还是外挂式安全,并没有与数字化深度聚合。目前信创安全普遍与信创重构相脱节,更偏重于生态、适配和业务迁移,缺少了与安全深入融合。随着行业信创的爆发期即将到来,“云大物移智”等数字化新技术在信创环境中不断应用,新的风险、新的攻击手段也不断来临,伴随这些新场景而来的则是一个个巨大的安全问题。

第三是信创安全缺乏全局和前瞻视角,并未实现同步规划、同步建设、同步运营。具体表现在“重替代、轻安全规划”,“重功能、轻安全融合”,“重单品、轻体系建设”等,面对网络攻击依然停留在事后补救的“补丁式防护”,缺少围绕体系化建设的咨询、规划、评估,其效果可想而知。

可见,在复杂多变的国际环境、层出不穷的新型威胁之下,“大信创”面临的安全挑战依然严峻,同时也带来巨大的网络安全需求。

三、政策利好持续加码 信创网安市场将迎井喷

2022年,信创行业迎来了多重政策利好。二十大报告中多次提到坚持“科技自立自强”,“大信创”在国家战略高度中的基础性、关键性、自主性和安全性特征全方位凸显,未来一段时间预计“信创”有望迎来政策持续加码。

2022年5月,深圳发布了《关于促进消费持续恢复的若干措施》,在第五条明确提出了“扩大信创产品市场规模”,并明确要求“对采购50 万元以上信创产品、符合条件的用户单位,按采购额的3%给予补贴。”同时对党政机关、国资国企、新增关键信息基础设施,以及金融、能源、教育、医疗、电信、交通等重点领域的信创产品采购比例进行了规定。研究机构指出,信创核心品类有望继续横向拓宽、纵向下沉,以区县信创为代表的党政事业单位信创有望进一步打开千亿级空间。

据测算,党政信创潜在市场规模1616亿元,行业信创潜在需求约2500亿元。依据《网络安全产业高质量发展三年行动计划(2021——2023年)》中规定,电信等重点行业网络安全投入占据信息化投入比例不低于10%来计算,信创网络安全市场的潜在市场规模将达400亿元以上。预计到2025年,中国的信创产业产值将会达到8000亿元,如果网络安全能够占到10%,就能够为网络安全行业带来800亿的市场,这无疑是一个巨大风口。

展望2023年,行业信创将会爆发,网络安全将围绕着网络、数据、身份、应用、运营等五方面加强建设,数据、身份、安全运营等将是网络安全行业的爆发点。按照网络安全投资占比5~10%的比例,万亿级大信创风口将带来数百亿的网络安全市场。在这个过程中,能力全面的头部厂商,竞争优势显然更加明显,容易形成强者愈强的“马太效应”,以奇安信等为代表的综合能力更全面、信创经验更成熟的网络安全厂商,有望在这个黄金赛道上继续扩大领跑优势。

2022关键词4:数据泄漏

勒索软件、网络钓鱼、人为错误……平均损失435万美元的数据泄露因为什么?

在过去的2022年里,数据泄露的风波仍在继续,且有愈演愈烈的趋势。有网络安全公司的公开研究显示,仅在第三季度,便有1.089亿个账户被侵入而发生数据泄露事件,比上一季度增加了70%。

与之对应的是,数据泄露给组织造成的损失也在不断增加。

据IBM Security的“数据泄露成本报告”显示,2021—2022年间,数据泄露的全球平均成本从424万美元增加至435万美元,同比增长2.6%,创历史新高。虽然数据泄露有关的财务成本较高,但其对于企业的实际影响显然还要更深,甚至涉及到声誉损失、法律责任以及消费者的信任损失等。

2022年全球数据泄露Top10

综合考量数据泄露数量、影响范围以及造成的损失等多方面因素,下面盘点出了2022年来全球范围内发生的十起较为严重的数据泄露事件。

No. 10: SuperVPN、GeckoVPN和ChatVPN数据泄露

此次事件涉及几个广泛使用的Android VPN服务(SuperVPN、GeckVPN和ChatVPN),导致2100万用户的信息泄露。这些信息包括用户全名、用户名、国家名称、账单明细、电子邮件地址和随机生成的密码字符串。

No. 9:哥斯达黎加政府数据泄露

在一次备受瞩目的网络攻击中,Conti勒索软件团伙入侵了哥斯达黎加政府系统,窃取了具有极高价值的数据,并索要2000万美元,迫使中美洲政府宣布进入紧急状态。数周后,共有670GB的数据(占访问数据的90%)被发布到泄漏站点。

No. 8: Neopets数据泄露

今年7月,一个包含Neopets(游戏网站)6900万用户账户信息的数据库遭公开发售。数据库可用信息包括姓名、电子邮件地址、邮政编码、性别和出生日期等。一项调查显示,攻击者在2021年1月3日~2022年7月19日共18个月期间,曾多次访问了Neopets的IT系统。

No. 7: Twitter数据泄露

年中,Twitter网站上540万个账户的电话号码和电子邮件地址遭泄露。多份报道称,这些数据是在2021年12月通过漏洞赏金计划中披露的Twitter API漏洞收集的,该漏洞允许人们将电话号码和电子邮件地址提交到API中检索相关的Twitter ID。使用这些ID,黑客得以检索有关账户的公共信息,以创建包含私人和公共信息的用户记录。

No. 6: 学习通用户数据疑似被公开售卖

有报道称,大学生学习软件超星学习通的用户信息遭到泄漏被公开售卖,其中泄漏的相关信息高达1亿7273条。

不少大学生纷纷反映自己的“超星学习通”学习账号疑似被别人使用,账户查看次数大幅增加。此外,不少学生反映,近期接到的诈骗电话可以准确地报出自己的姓名,身份证号以及支付宝的相关信息。

不过学习通方面否认了相关数据泄露事件。相关负责人回应,到目前为止还未发现明确的用户信息泄露证据,鉴于事情重大,已经向公安机关报案。

No.5:Twilio数据泄露

美国通讯巨头Twilio今年8月证实,网络犯罪分子在一次网络钓鱼攻击后访问了125名客户的数据。攻击者伪装成IT部门的工作人员,诱骗公司员工交出登录凭证。现任和前任员工最近报告说,他们曾收到自称是来自IT部门的短信,称员工的密码已经过期、日程已更改,要求员工登录被攻击者控制的URL。

Twilio称,其他公司也曾遭受过类似的攻击,并对如何应对威胁行为者进行了协调,包括与运营商合作停止恶意消息的发送,与注册商和托管提供商合作关闭恶意URL。

在27万余总客户群中的209名客户、7500万总用户中的93名Authy最终用户的账户受到了此次事件的影响。Twilio还表示,没有证据表明恶意行为者访问了Twilio客户的控制台账户凭据、身份验证令牌或API密钥。

No. 4: DoorDash数据泄露

今年8月,外卖巨头DoorDash证实其490万客户、员工和商家的个人信息遭到泄露。DoorDash表示,攻击者访问了DoorDash客户的姓名、电子邮件地址、送货地址和电话号码。黑客还获取了“一小部分”用户的支付卡信息(包括银行卡类型和卡号后四位数字)。

No. 3: Optus数据泄露

今年9月,拥有970万用户的澳大利亚电信公司Optus遭遇大规模数据泄露,涉及用户姓名、出生日期、电话号码和电子邮件地址等信息。还有一群客户的实际地址和个人身份信息(如驾驶执照和护照号码)可能已泄露。多份报道称,是由国家支持的黑客或犯罪组织突破了该公司的防火墙,获取了敏感信息。

No. 2: LAUSD数据泄露

由于美国第二大学区——洛杉矶联合学区(LAUSD)未能在10月4日之前支付赎金,俄语黑客组织Vice Society泄露了该学区的500GB信息。这些数据包含护照详细信息、社会安全号码和纳税表格、联系方式、法律文件、包含银行账户信息的财务报告、健康信息、定罪报告和学生的心理评估等个人身份信息。

No. 1: Medibank数据泄露

澳大利亚最大的健康保险提供商之一Medibank Private证实,970万新老客户(包括180万名国际客户)的数据已被未经授权访问。但Medibank称不会支付赎金,并表示:“我们认为,通过支付赎金来确保黑客归还、并防止其公布客户数据的可能性非常有限。”

从上述发生的事件来看,造成数据泄露的原因多种多样,主要包括勒索软件攻击、钓鱼邮件以及不正确的安全配置等外部和内部因素。

Verizon发布的《2022年数据泄露调查报告》(DBIR)显示,目前有四个主要途径会威胁到数据资产:凭证窃取、网络钓鱼、漏洞利用和僵尸网络。其中,82%的违规事件涉及人为因素。无论是凭证丢失、网络钓鱼、误用等简单的错误,人在安全事件和数据漏洞事件中始终扮演着非常重要的角色。

在所有导致数据泄露的入侵行为中,62%的系统入侵事件是由供应链造成的。与此同时,勒索软件继续保持上升趋势,同比增加了近13%。这一增长幅度相当于过去五年的总和。

从防守方角度来看,当前数据安全防护面临的四大难题:一是数据资产梳理不清,被盗窃100M的数据和被盗窃1个T的数据概率相同,防线一旦被突破将导致“一失万无”;二是特权账号管理不严,管理员、技术员、操作员三员”安全隐患大;三是API接口管控不当,一点被突破,容易造成安全防线全面溃败;四是风险感知不全面,如遇到“蚂蚁搬家式”的盗窃手法,很难及时告警。

数据安全治理三步走战略

基于奇安信今年来数据安全建设的实践,奇安信提出了数据安全系统治理的三步走战略,盘清资产、精准防护、全局管控。

第一步,盘清资产。系统梳理业务系统、应用、数据等,并形成数据资产梳理报告。

第二步,精准防护。一方面,要做好特权账号管理,做到能审查、能告警、能拦截;另一方面要做好API管理,可通过API安全卫士及时发现API异常行为,提防外部攻击。

第三步,全局管控。以“零信任”策略为核心,实现“权限最小化”,降低被攻击的风险;通过数据安全态势感知,对各类安全日志进行研判,快速响应处置。

2022 关键词5:勒索攻击

国家进入紧急状态、巨量数据泄露、暗网交易猖獗,一切拜勒索攻击所赐。

2022年一系列严重网络安全事件背后都离不开勒索犯罪集团的操作。2022年勒索犯罪集团的活跃度达到国家勒索的新高度,LockBit、Conti和Lapsus$三大勒索犯罪集团空前活跃,政府、医疗、制造业、金融业等行业饱受勒索软件困扰。

2022年勒索攻击四大特点

特点1. 进入“国家勒索时代”的勒索攻击日益政治化

勒索软件不仅是网络犯罪分子的工具,而且是具有潜在影响力的政治工具,这意味着越来越难以区分,攻击是处于经济动机还是政治动机。

2022年哥斯达黎加总统罗德里戈·查韦斯·罗伯斯在就职当日(5月8日)签署了紧急状态法令,宣布哥斯达黎加遭受网络犯罪和网络恐怖分子的侵扰,国家进入“网络安全紧急状态”。根据报道,从4月中旬到5月初,27个政府机构成为第一波攻击活动的目标;5月底的第二波攻击又使哥斯达黎加的医疗保健系统陷入了漩涡。作为应对,哥斯达黎加总统向勒索软件攻击背后的负责人“宣战”:“我们处于战争状态,这并不夸张。这是一场针对国际恐怖组织的战争。这可能是迄今为止最严重的勒索软件事件。”在勒索软件侵扰下,该国国际贸易陷入停顿状态,超过3万次医疗预约被迫重新安排,税务服务也被迫中断。数以百万计的哥斯达黎加人因勒索攻击而损失惨重,受影响机构的工作人员只能转用纸笔来完成工作。

此次勒索攻击狂潮的核心力量是与俄罗斯有关的勒索犯罪集团Conti。在Conti的1000多次勒索软件攻击中,针对哥斯达黎加的攻击尤为突出。这种针对哥斯达黎加整个国家的勒索攻击,意味着进入“国家勒索” 的新勒索软件时代,它完全不同于过去针对政府机构的勒索攻击——大多是针对地方市政机构的战术攻击,而不是针对关键政府服务的广泛攻击。

对黑山和阿尔巴尼亚的高度破坏性勒索软件攻击同样具有高度的政治动机。在阿尔巴尼亚,伊朗国家附属团体从 2022 年 7 月开始对该国政府系统实施了一系列破坏性报复性攻击,被归因于伊朗情报和安全部(MOIS)。2022 年 8 月导致黑山的政府系统和国家服务关闭的勒索软件攻击,几乎可以肯定也是出于政治原因。

特点2. 勒索软件即服务(RaaS)渐成主流

回顾今年的勒索软件形势和重大事件,我们发现,勒索即服务(RaaS)愈加成熟,旧的恶意软件变体回归,新的变体不断发展,漏洞愈发武器化,网络勒索生态逐渐工业化。在过去的几年里,勒索软件成为网络罪犯最流行的工具之一。网络勒索犯罪集团的工具包在不断升级,以使数据泄露的过程更快、更轻松。

勒索软件即服务作为一种新兴的商业模式,允许任何几乎没有技术专长的人就可以发动对特定目标的勒索软件攻击,所需要的仅仅是注册RaaS平台,并支付相应的服务费用(通常是所收取赎金的一定比例)。

LockBit团伙是2022年全球最猖獗的勒索犯罪集团。LockBit也被称为Bitwise Spider,起源于俄罗斯,遵循RaaS运营模式,赎金由 LockBit 开发人员团队和发起攻击的会员分配,后者最多可获得 3/4 的赎金,且后期主要采用“双重勒索”策略(文件加密+数据披露)来敲诈受害者。LockBit目前攻击的受害者数量已高达一千多个,约为著名勒索团伙Revil的5倍,Conti的2倍。此外,网络安全供应商Digital Shadows的报告显示,在2022年第二季度勒索软件攻击事件中,LockBit占到了33%。2022年6月,Unit 42发布报告称,截至5月份,LockBit占据了2022年勒索软件相关攻击事件中的46%,导致全球850多家组织沦为受害者,可见其威胁之大。

特点3. 勒索软件新技术趋势:跨平台快速加密

越来越多跨平台勒索软件,适应性提高。为了造成尽可能多的损害并提高恢复难度,勒索组织会加密更多的系统,这意味着其勒索软件需要在不同的架构和操作系统中运行。应对方法是用“跨平台编程语言”(如 Rust 或 Go)编写勒索软件,使用跨平台语言还方便将勒索软件移植到其他平台。此外,对分析人员来说,破解跨平台二进制文件比破解普通C语言编写的恶意软件更困难。

勒索攻击者正在大量应用间歇性加密来快速加密受害者的文件,这也是2022年勒索软件的一个重大的特点。从两方面来看,间歇性加密对勒索软件运营者来说是非常重要的:速度——完全加密是非常耗时的,而时间对攻击者来说是非常重要的,加密速度越快就越能防止被检测与拦截;逃避——防御者可以使用统计分析来检测勒索软件的加密操作,通过评估文件 IO 操作强度或文件修改的相似性可以进行检测。与完全加密相比,间歇性加密可以有效规避此类分析。LockFile 勒索软件是首批引入间歇性加密技术的勒索软件家族之一。此后,越来越多的勒索软件都应用了这一技术。

特点4. 关基设施仍是勒索重点攻击目标

2022 年第三季度,包括能源、医疗保健和制造业在内的关键行业成为勒索软件的高度攻击目标。

2022年8月,我国知名的财务软件公司用友畅捷通T+软件客户遭受勒索病毒攻击,同时广联达、金蝶、管家婆、致远等软件公司用户也被勒索病毒攻击。经确认,来自该勒索病毒的攻击案例已超2000余例,且数量仍在不断上涨。此外,我国某知名家电巨头也被传出遭遇勒索攻击。

通过对公开报道的LockBit重大勒索事件统计也可以反映出其攻击重点。LockBit组织的攻击尤其青睐软件和信息技术、制造、政府、网络安全、国防等关键行业。

图2 LockBit勒索软件攻击的行业分布图

目前,LockBit勒索软件攻击范围遍及北美、欧洲和亚太地区,似乎并无国界之分。其中,美国、法国、英国、中国等国家为重灾区。

LockBit勒索软件攻击目标国家分布

结束语

勒索攻击走进新时代,网络罪犯变得越来越专业,也越来越肆无忌惮。其传播方式、攻击目标将突破传统局限性,向多元化、低门槛、广分发等方向传播。

在勒索病毒威胁面前,没有人能够置身事外。与常规战争不同,这场反勒索国际战争没有尽头,应对无国界的网络勒索攻击,需要各方更多的合作和团结一致,加大对网络安全的投入,提高其网络安全弹性,分配更多资源来应对攻击。

此外,面对不断升级的新型攻击技术和勒索方式,传统安全手段已无法有效抵御勒索软件攻击。奇安信安全专家建议政企机构重视常态化安全运营、打造体系化与细粒度的安全防护,加强溯源能力,同时升勒索攻击发生后的快速响应、处置能力,以有效应对勒索攻击的威胁。

2022年度重大勒索事件

未来

地缘政治日益增加的复杂性、动荡和不确定性,以及经济的高波动性和不断升级的网络威胁,预示着2023年网络安全必然是政企机构面临的首要任务。

全球监管机构不断完善网络安全的相关规则,2023 年或将迎来完美的网络监管风暴,科技公司也必将努力跟上网络监管的需求。

攻击者和防御者之间永无休止的竞争加剧,应对网络攻击的时间窗口将继续缩小;在安全防护与业务发展之间取得适当的平衡无疑将是成功的关键,这或许意味着零信任等创新技术的应用将会加速。

我们很难确切地预测 2023 年会发生什么,但网络风险显然不会停滞不前,各类机构需要为更多的网络威胁做好准备。

关于作者

《网安26号院》为奇安信集团内部月刊,定期分享月度安全态势与观察。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。