《勒索攻击防护技术应用指南(2024版)》报告发布
随着产业数字化时代的到来,网络、信息、数据的应用价值越来越高,不法分子也关注到高价值地带的出现,为网络空间带来极大的威胁。2023年勒索攻击数量增加73%,赎金总额高达11亿美金以上,已成为造成的损失最高的网络犯罪之一。为了帮助甲方用户更好的应对逐渐增加的勒索攻击风险,安全牛发起了《勒索攻击防护技术应用指南(2024版)》报告研究工作,报告于9月12日正式发布。
关键发现
当前勒索攻击团伙的攻击技术、组织能力、运营方式进一步专业化。同时,勒索攻击过程中的作业手段趋于标准化和模式化,攻击者注重其中单点作业能力的增加。
报告调研发现,当前我国企业用户对勒索攻击威胁的关注点正在发生转变,已从原有的业务连续性担心转变为更加关注由勒索攻击引发的数据泄露风险。调研数据统计,89.74%的受访用户表示最担心勒索攻击导致的数据泄漏问题。
调研发现,对当前市场上已有的专项勒索攻击防护产品或方案,只有17.95%的受访用户认为是比较成熟的,而有12.82%的甲方用户认为技术和产品均不成熟。国产勒索专项防护产品/服务的防护能力在近两年有一定的进步,但整体上距离用户期望还有差距,仍有较大可提升空间。
调研发现,部署专项勒索安全防护产品的甲方用户占比较小。在调研的甲方用户中,76.92%的用户还是围绕安全合规进行的安全建设,只有23%的用户是围绕风险进行的安全建设。结果显示,当前企业仍将勒索攻击防护能力建设作为网络安全整体建设的一部分,专项防护市场还未充分形成。
报告调研发现,国内网络安全厂商在推出勒索攻击专项产品的同时,也在积极提供更全面的勒索防护解决方案,即"服务+产品+运营"的综合防护策略。
报告认为,单点式的安全防护难以应对高级勒索攻击。安全牛建议企业构建更为力全面的勒索攻击防护体系。在构建勒索攻击防护体系时,应先构建顶层建设规划,然后通过查看自身弱点,逐步进行单点提升。
勒索攻击发展趋势
从攻击技术看,近两年来勒索攻击的技术发展、组织形式等变化不大,勒索攻击技术层面趋于稳定,而在攻击细节层面,勒索攻击或有如下发展趋势:
1. LLM对攻击者的加持
当前大预言模型智能是最火热的新兴技术,同时也加剧了网络风险态势。基于LLM的攻击行为无法改变攻击的基本思路,但是能够提升攻击链条每个节点的攻击成功率,并加快的整体的攻击效率。在大模型的加持下,攻击者能够进一步扩大攻击范围,攻击方式可由定向攻击,转为广撒网式攻击。
2. 勒索组织间的合作攻击
攻击者除在提升攻击成功率外,也在专注于提升攻击的效率。攻击者通过多种途径提升自身的作业能力将降低勒索攻击的准入门槛。而对于企业来讲,数据泄露造成的影响将更不可控。同时单次被勒索成功后,攻击路径、窃取的数据也更可能支持新的勒索攻击。
3. 国家级行为体的勒索攻击活动将增加
网络攻击不会脱离宏观政治变迁,勒索攻击也不例外。随着世界格局动荡,勒索攻击也成为了国家之间博弈的手段。国家行为体的参与将提升攻击者的攻击能力,让防守形势更加严峻,其攻击造成的影响包括:
• 直接为国家行为体带来经济收益或数据收益;
• 造成对手的基础设施不可用;
• 通过勒索攻击为对手带来舆论上的压力以及信心上的损害;
• 利用勒索攻击的样本进行其它攻击行为。
4. 利用伪造数据进行勒索
一些勒索攻击组织,视同通过伪造企业数据,来向目标企业进行诈骗式勒索。这种黑产的诈骗行为在数据泄漏网站已屡见不鲜,而近年来通过这种行为进行勒索的情况也开始出现。这类诈骗行为的存在,也为企业在考虑是否支付赎金时,增加了新的必要考虑因素。
勒索攻击防护技术演进
传统的勒索防护将容灾备份视为勒索防护的最后一道防线。而当前,随着双重勒索、无加密勒索比例的增加,备份已不能满足对勒索防护的需求,勒索攻击的防护措施需要逐步前置。
1.从单点产品向整体方案演进
有效应对勒索攻击已不能仅依赖某个特定产品的针对性防护,而是需要在现有防护措施的基础上,在各个环节和阶段叠加防护能力,从而构建一个从服务到产品、从网络边界到终端设备的综合防护方案。整体勒索攻击防护解决方案不仅能显著提升防护效果,还能充分利用现有的安全防护措施,避免网络安全产品或服务的重复部署。这一转变也反映了网络安全领域的重要趋势,即从孤立的点状防护向全面的纵深防御过渡,更好地应对当今复杂多变的网络威胁环境。
2.从应用系统防护转向权限保护
无论是横向移动还是文件操作,攻击者都需要获取系统的高级权限才能执行这些行为。因此,当前勒索防护的重点已从关注系统动态转向对权限的保护。一种典型的基于权限的勒索防护方法是与零信任理念相结合。通过零信任架构,可以在网络中构建更细粒度的网络分段,从而降低内网横向移动的风险。对于核心资产或系统,采用更严格的持续评估和验证机制,以提高访问的合法性。
这种转变反映了网络安全领域的一个重要趋势:从传统的基于边界的防护向以身份和权限为中心的防护模式转变。这种方法不仅能更有效地应对复杂的勒索攻击,还能为组织提供更精细、更动态的安全控制。
3.从被动防御向主动防护
勒索攻击防护注重在造成影响前进行防护,因为一旦数据被窃取或系统被加密,通常情况下只能支付赎金减少影响。因此,从被动防御向主动防御转变,提前发现风险,有助于提升防护效率,降安全防护于未然。当前主流应用于勒索攻击防护的主动防护技术包括攻击面管理和欺骗式防御。
4.增强网络弹性
网络弹性是衡量一个组织在被网络攻击的时候,能够保持业务连续性、数据可用性的指标。包含网络资源的系统 “预测、承受、恢复、适应对抗条件、压力、攻击或者破坏的能力”。在勒索攻击防护体系构建时,叠加网络弹性能力建设理念,可以将被勒索后的损失降到最低。为了降低勒索攻击的影响,企业需要从弹性的视角进行构建系统失陷后的响应策略,对于系统锁定、数据锁定类型的勒索攻击具有较高应用价值。
勒索攻击防护关键能力
在本次报告中,安全牛将勒索攻击的安全防护能力细化为云防护能力、数据防护能力、边界防护能力、网络防护能力、终端防护能力、服务器防护能力、整体安全防护能力以及安全运营服务八大能力,并通过产品部署、实施流程、场景分析等多种方式,对这八大能力的落地进行建议。
勒索攻击防护部署示意图
在构建勒索攻击防御体系时,应将边界防护作为首要屏障,同时强化每个网络域、终端和主机的独立防护能力。如前所述,勒索攻击防护是一项需要多层次能力叠加的系统性防护工作。因此,企业在实施勒索攻击防护时,建议遵循以下三大原则:
1.能力差距识别:
根据防护体系示意图,全面评估当前安全防护能力,精准识别潜在漏洞。重点审查已部署产品是否具备针对勒索攻击的特定防护功能,例如特定样本的查杀能力、相关漏洞的补丁修复、勒索威胁情报的有效利用等。
2.需求重点判断:
基于组织自身情况,明确判断勒索攻击防护的核心需求。例如,是侧重于数据防护,还是终端防护?哪些网段需要重点保护?通过这些问题,确定防护策略的优先级。
3. 能力部署策略:
综合考虑能力差距、防护需求和预算等因素,制定合理的能力部署策略。在能力叠加部署时,针对核心需求部署专门的防护产品或工具,而对于其他方面,可采用传统安全能力进行覆盖。
通过遵循这些原则,组织可以构建一个全面、有效且符合自身需求的勒索攻击防御体系,从而显著提升整体安全防护水平。
我国勒索攻击防护代表性厂商
本次报告以安全牛年度《中国网络安全企业100强》和《中国网络安全行业全景图》研究成果为基础,共调研国内勒索攻击防护技术厂商21家,并对其中应用表现较好的10家代表性厂商进行了收录和推荐(排名不分先后,按公司简称首字母序展现)。
