奇安信专家 | 美国多州进入紧急状态 系统安全建设迫在眉睫

当地时间5月9日，美国政府宣布美国17个州和华盛顿特区进入紧急状态，原因是当地最大燃油管道运营商遭网络攻击下线。据媒体报道，美国最大的成品油管道运营商Colonial Pipeline在当地时间周五(5月7日)因受到勒索软件攻击，被迫关闭其美国东部沿海各州供油的关键燃油网络。

该公司在一份声明中表示：

作为应对，我们主动切断某些系统的网络连接以遏制威胁，这使得所有的管道运输临时暂停，也影响了我们的一些IT系统。

图片来自Colonial PipeLine

白宫发言人称，拜登总统在上周六早上被通报此事，联邦政府正在积极评估影响，避免供应中断，帮助科洛尼尔公司恢复运营。美国网络安全与基础设施安全局表示，这次事件凸显了勒索软件对组织的威胁。

奇安信集团董事长齐向东表示，美国多州因网络攻击宣布进入紧急状态，再次说明网络安全不是加强某个环节就能解决的，需要提升整体的防护水平，建立完整的网络安全体系。

严峻的勒索攻击形势 | 猖狂的DarkSide组织

根据多方外媒报道，据知情人士透露，该攻击由DarkSide勒索软件团伙发起，该组织在周四仅两个小时的时间内就从位于佐治亚州阿尔法利塔的Colonial公司网络中窃取了近100 GB的数据。

如此猖狂的DarkSide团伙到底是何许人？据奇安信对DarkSide团伙的长期跟踪发现，该团伙是一个母语为俄语的网络犯罪团伙，会使用扫描工具来寻找目标网络中的漏洞（通常是已知漏洞），从而获取初始访问权限。

当获取到文件服务器的权限后，该组织会将目标的数据进行手动上传，随后加密目标公司的文件，并将部分信息上传至其暗网博客，并声称若不交付赎金，就公布目标公司的敏感数据。

图片来自BBC

另外，该组织使用的勒索软件除了会进行常规的加密文件的操作外，还会连接并发送受害者信息到攻击者的命令控制服务器(C2)，这可能是攻击者记录受害者具体信息的一种方法，方便在日后作为入侵证据。

值得关注的是，DarkSide组织在2021年1月份一笔勒索软件的交易中便获45个比特币，约合人民币1700多万元。对此，奇安信反病毒专家判断，面对如此巨额的收益，未来针对组织的定向勒索攻击会愈加猖狂，针对的目标公司体量也会愈来愈大。

又是勒索软件攻击 | 是时候给基础架构安全补课了

时至今日，大家对于勒索软件攻击早已不感到陌生。根据Group-IB研究人员的报告，仅在过去一年，全球勒索软件攻击次数就增长150%以上，能源行业因此也遭受了较大打击。

比如美国某天然气运营商遭到勒索攻击，被迫关闭2天，并被国土安全部通报；欧洲能源巨头Enel Group年内两次遭遇不同勒索软件攻击，多达5TB数据被窃取，威胁索要1400万美元赎金；台湾最大两家炼油厂遭到勒索攻击，波及整个供应链，甚至加油站的IT系统也无法使用。

美国安全机构预测，2021年预计每11秒将发生一次勒索攻击，全年超过300万次。今年3月，电脑巨头宏碁遭到勒索攻击，黑客开出了迄今为止最高数额的赎金，约合人民币3.25亿元。勒索软件已经成为全球范围各大企业挥之不去的梦魇。

有趣的是，研究表明，软件漏洞，尤其是高龄漏洞和Windows远程访问工具漏洞，是勒索软件渗透企业防御体系的重要突破口。从宏碁遭到的REvil勒索软件攻击，到震惊业界的永恒之蓝（WannaCry）病毒事件，都是因为旧漏洞未及时修补，让勒索病毒轻松攻破和肆意传播。

奇安信系统安全专家表示。“勒索软件不像高级APT那样长期隐蔽且难于防御，只要基础安全架构、即系统安全工作保障到位，实战化安全运行开展起来，勒索病毒就很难有可乘之机。”

抵御勒索攻击不能一劳永逸 | 系统安全亟需常态化

“面对愈加强大的定向勒索攻击者，我们对网络安全防御需要提升整体的防护水平，要以面对APT组织攻击的策略进行防御体系建设，才能够抵御目前网络攻击技术水平愈加高强的定向针对性勒索软件攻击。” 奇安信基于本次勒索事件如此研判。

此次事件中，CISA的官员建议：“我们鼓励每一个机构都采取行动去加强‘网络安全的防御姿态（Cybersecurity Posture）’，以减小对各类威胁的暴露面。” 这里面提到的“防御姿态 - Posture” 是非常值得关注的，这也是“安全左移”的关键点。

就像空战中，战机需要保持优势的战斗姿态，占据有利位置，是赢得战斗的基础。这个我们通常说的安全态势（Security Situation Awareness）还是有差异的。

而在网络安全领域，基础结构安全的Posture，主要就是解决“资产-漏洞-配置-补丁”问题的系统安全；纵深防御的Posture，是防护策略有效性，以构成坚实的防御“阵地”；积极防御的Posture，是威胁发现能力和处置及时性有效。这次事件中，系统安全就是面对勒索攻击，收缩暴露面的重要举措。只有整体的网络安全防御体系中，各个构成系统与环节的“防御姿态 - Posture”都能通过体系化建设与实战化运行得以保障，整体的防御效果，才能实现。

系统安全是做好基础结构安全的基石，实战化运行实现体系化、常态化运营的核心方法。要建好基石，

首先要盘清资产，在此基础上，实现对资产的全面纳管；

其次，通过资产纳管，进而真正实现对资产安全的全程掌控，包括了从发现资产，到使用资产，以及资产变更等各种场景，以及在这些状态下的风险全面掌控。

第三，掌控风险是为了驱动处置工作，包括系统加固、漏洞修复，以及其他各种手段，提升整个信息化系统的基础架构安全性，形成真正的内生安全。

最后，通过盘点资产、纳管资产、掌控风险、数据驱动、安全运行等层层递进的工作，帮助客户在数字化运营时，建立时刻保持最佳安全状况的信息化底座。  

“掌握自身的网络安全姿态是支撑实战化安全运行的基本能力。首先，安全要发挥价值在于实战化运行，也就是要真正用起来。而安全运行起来后，所有的安全事件和问题的处置最终都会归结到资产、配置、漏洞、补丁上来。同时，抽象的漏洞威胁情报与应对措施，需要和具体资产实现挂钩，进而全生命周期（资产生命周期和漏洞生命周期）跟踪，驱动支撑安全运营融入到IT大运维中，为信息化保驾护航。”奇安信安全专家谈到。 

面对巨大的利益诱惑，居高不下的成功率，勒索攻击永远不可能休止，安全防护不能一劳永逸。只有重视以网络资产为核心的系统安全建设，筑牢实战化安全运行的基石，才能避免重蹈勒索病毒造成重大损失的覆辙。

作者：奇安信专家