您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
全球數(shù)據(jù)勒索攻擊威脅新特點及對策建議
本文研究了國外應對勒索攻擊的最新舉措,并提出了我國推進勒索攻擊治理法治化、強化關鍵信息基礎設施網(wǎng)絡安全保護、加強組織或國際間合作等建議。
隨著全球數(shù)字化進程的不斷推進,數(shù)據(jù)價值越發(fā)凸顯,網(wǎng)絡攻防雙方均圍繞數(shù)據(jù)展開角力,其中,對數(shù)據(jù)強行加密的勒索手段成為最常用且有效的攻擊方式。2021年,數(shù)據(jù)勒索成為全球網(wǎng)絡攻擊的主角,給多國帶來機密數(shù)據(jù)泄露、社會系統(tǒng)癱瘓等重大危害,嚴重威脅了國家安全。在此背景下,美國首次因網(wǎng)絡攻擊宣布進入國家緊急狀態(tài),并將數(shù)據(jù)勒索攻擊(以下簡稱“勒索攻擊”)提升至與“911”恐怖襲擊同等的級別;英國、澳大利亞、日本、加拿大等國也紛紛將勒索攻擊視為當前最大的網(wǎng)絡威脅。毫無例外,我國政府、醫(yī)療等機構也頻遭勒索攻擊,成為頭號重災區(qū)。賽迪研究院網(wǎng)絡安全研究所在分析全球數(shù)據(jù)勒索攻擊新特點的基礎上,研究了國外應對勒索攻擊的最新舉措,并提出了我國推進勒索攻擊治理法治化、強化關鍵信息基礎設施網(wǎng)絡安全保護、加強組織或國際間合作等建議。
一、全球數(shù)據(jù)勒索攻擊新特點
攻擊目的:由單純經(jīng)濟牟利轉向實施數(shù)據(jù)破壞、竊取戰(zhàn)略機密、謀取政治訴求等多重企圖,勒索意圖愈加復雜化。 一方面,具有國家背景的黑客組織以“勒索”為幌子,以掩護其進行數(shù)據(jù)破壞、情報獵取等真實意圖,秘密發(fā)動網(wǎng)絡戰(zhàn)。2021年,伊朗國家級黑客組織Agrius對以色列實施勒索攻擊,表面留下了索求贖金的信息,但背后早已竊取了目標系統(tǒng)的重要情報數(shù)據(jù),并通過“隨機字符覆寫文件”機制,對相關數(shù)據(jù)進行了永久性銷毀。另一方面,對某一領域問題持有不同政治立場的黑客組織以“發(fā)動勒索攻擊”為要挾,謀求自身政治訴求。
攻擊對象:由無差別的個人設備轉向政府及公共部門、大型企業(yè)等具有關鍵信息基礎設施屬性的定向機構,且勒索策略日趨精準化。與個人設備相比,關基機構數(shù)據(jù)資產(chǎn)價值較高,遭受勒索攻擊的影響范圍較廣、后果較重,加之其部分具有網(wǎng)絡安全保險的保障,在遭遇重大勒索攻擊下,“關基”機構的贖金支付意愿和能力均較強,也使其日漸成為勒索攻擊的焦點。為了制定精準化勒索策略,攻擊者會在事前分析評估目標機構的IT安全建設現(xiàn)狀、遭受勒索攻擊后的損失程度和贖金支付能力等,精心選擇可為其帶來最大投資回報率的目標機構。
攻擊主體:由個人或單個黑客團伙攻擊轉向層級分明、分工明確的黑色產(chǎn)業(yè)活動,勒索行為日益專業(yè)化。一方面,為實現(xiàn)價值多向變現(xiàn),黑客團伙除自身發(fā)動勒索攻擊外,還會借由暗網(wǎng)和虛擬貨幣技術,對外出租或售賣成熟的勒索軟件產(chǎn)品和服務,這促使數(shù)據(jù)勒索“產(chǎn)業(yè)鏈”逐漸形成,上中下游的勒索軟件開發(fā)者、勒索執(zhí)行者,以及應運而生的贖金談判和贖金代管者之間相互協(xié)作配合,共同瓜分勒索收益,大大降低了攻擊實施的技術門檻。另一方面,不同黑客團伙之間開始著手構建具有精準配合關系的勒索商業(yè)聯(lián)盟,通過共享受害者信息等手段,擴大勒索商業(yè)模式,并進一步增強勒索攻擊能力和隱蔽性。
攻擊模式:由單一加密勒索轉向多重勒索獲利,勒索手段趨于多樣化。當受害方采取數(shù)據(jù)備份等防備措施,拒絕支付勒索贖金后,勒索攻擊手段也在持續(xù)演化。目前,已出現(xiàn)數(shù)據(jù)竊取外泄、DDOS攻擊威脅、供應鏈攻擊等多重混合勒索模式,以增加贖金數(shù)目并提高受害機構的贖金繳納率。例如,在加密之前通過在目標環(huán)境中安裝可竊取重要數(shù)據(jù)并具有DDOS攻擊能力的后門程序,以“拒絕支付贖金則外泄數(shù)據(jù)或發(fā)動DDOS攻擊”為威脅籌碼,逼迫受害方支付贖金,更有甚者直接在暗網(wǎng)倒賣被竊數(shù)據(jù),以獲得更多潛在利益。
二、國外應對數(shù)據(jù)勒索攻擊威脅的最新舉措
加快反勒索立法,強化應對勒索攻擊的法治保障。目前,各國紛紛從立法層面推進勒索攻擊治理,并重點關注以下四個方面的制度建設:一是建立強制性勒索攻擊事件報告機制。為加強執(zhí)法部門對勒索攻擊犯罪活動運作方式及勒索軟件威脅的全面了解,幫助其制定更好的應對措施,2021年,美國推出《贖金披露法案》、《制裁和阻止勒索軟件法案》和《勒索軟件和金融穩(wěn)定法案》,澳大利亞提出《2021勒索軟件付款法案》,均強制要求支付勒索贖金的政府部門、企業(yè)等實體必須主動向指定執(zhí)法部門提供勒索攻擊及贖金等相關信息,包括實體名稱和聯(lián)系方式、攻擊者身份、勒索金額、加密貨幣錢包類型,以及已泄露的數(shù)據(jù)字段等。其中,《贖金披露法案》還提出,要求美國國土安全部建立專門網(wǎng)站,為各實體提供報告渠道。二是規(guī)范勒索贖金支付,防止繳納大額勒索贖金引發(fā)的重復攻擊。美國2021年在《勒索軟件和金融穩(wěn)定法案》中明確要求,勒索贖金超過10萬美元的,金融機構需獲得財政部特別授權才可支付贖金。此外,澳大利亞也在《2022犯罪立法修正案(勒索軟件行動計劃)法案》中展示出對勒索攻擊采取零容忍的立場,明確提出政府不允許向勒索攻擊罪犯分子支付贖金。三是賦予執(zhí)法人員“數(shù)據(jù)中斷”權利,以幫助勒索攻擊受害者在不支付贖金的情況下防止?jié)撛诘臄?shù)據(jù)泄露風險。澳大利亞《2021年監(jiān)視立法修正案(識別和破壞)法案》賦予澳大利亞網(wǎng)絡犯罪執(zhí)法人員相關權利,即通過各種方式獲取可能涉及犯罪活動的相關數(shù)據(jù),并隨后對其進行破壞的權利。借助該權利,澳執(zhí)法人員可通過各種手段探尋勒索攻擊者服務器的位臵,并刪除存儲在這些服務器上用于“雙重勒索”的數(shù)據(jù),進而有效打擊由勒索攻擊造成的數(shù)據(jù)泄露。四是對勒索攻擊者實施更嚴厲的懲罰,增強勒索犯罪活動威懾力。澳大利亞《2022犯罪立法修正案(勒索軟件行動計劃)法案》明確提出,將對勒索攻擊者最高判處10年監(jiān)禁,對其“關基”實施勒索攻擊的犯罪分子最高判處25年監(jiān)禁。
三、三點建議
探索反勒索立法,積極推進勒索攻擊治理法治化建設。我國現(xiàn)行法律還沒有針對勒索攻擊的專門規(guī)定,可考慮借鑒美國、澳大利亞的做法,制定出臺反勒索專項法案,明確“受害者應承擔主動披露和報告勒索攻擊事件及贖金信息的相關義務、禁止某些特定類別的受害者向勒索攻擊方支付贖金”等勒索攻擊應對路線,規(guī)范勒索攻擊信息共享和贖金支付;賦予執(zhí)法人員反勒索攻擊的“數(shù)據(jù)中斷”執(zhí)法權,以及從勒索軟件攻擊者手中沒收、扣押勒索費的相關權利,強化反勒索執(zhí)法權力;明確實施勒索軟件行為的刑事責任,加大勒索攻擊犯罪的懲治力度。
強化關鍵信息基礎設施網(wǎng)絡安全保護,增強勒索攻擊防護能力和抵御彈性。一是推進標準化勒索攻擊應急響應機制建設與落實。借鑒美國、英國、歐盟的相關做法,從“事前”防范、“事中”監(jiān)測遏制恢復、“事后”回溯修補等層面出發(fā),研究制定關于勒索攻擊標準化應急響應機制及流程的相關指南文件,在此基礎上,推動“關基”機構嚴格落實應急響應機制建設,并定期組織“關基”機構開展攻防演練,保障重要“關基”系統(tǒng)在遭遇重大勒索攻擊時具備良好的彈性恢復能力。二是加強反勒索攻擊技術的研發(fā)與應用。組織開展底層加密技術研究與攻關,積極探索零信任、AI等新型技術在勒索攻擊防御中的應用。在此基礎上,推動“關基”機構加大在網(wǎng)絡安全防護技術上的投入力度,比如借鑒美國、新加坡的做法,要求“關基”機構將零信任技術整合至重要系統(tǒng)的安全架構和運營,利用零信任“層層認證”的特性,確保系統(tǒng)動態(tài)應對網(wǎng)絡環(huán)境變化,及時彌補傳統(tǒng)邊界防護模式在應對勒索攻擊中的先天不足,降低數(shù)據(jù)被勒索的可能性;推動勒索攻擊“AI化”防御體系建設,利用AI技術實現(xiàn)勒索特征識別檢測、勒索病毒遏制根除、勒索贖金支付追蹤等自動化防御流程。三是提供反勒索專業(yè)培訓、工具等安全方案支持。借助門戶網(wǎng)站、線下宣講等方式,對“關基”機構開展網(wǎng)絡安全培訓,使相關人員了解勒索攻擊威脅以及應對勒索攻擊的防護常識;官方提供勒索病毒檢測軟件、勒索攻擊防護能力評估軟件等簡便易用的防護工具。
加強組織或國際間合作,聯(lián)合打擊勒索攻擊網(wǎng)絡犯罪行為。一是加強執(zhí)法機構與政府部門、私營企業(yè)、金融機構等主體之間的威脅情報共享,聯(lián)合開展反勒索攻擊專項執(zhí)法行動,并積極推進勒索攻擊黑色產(chǎn)業(yè)鏈的常態(tài)化治理。比如,與私營企業(yè)合作,開展對郵件、即時通信工具等常見的勒索病毒傳播渠道的監(jiān)測,及時發(fā)現(xiàn)勒索攻擊入侵跡象;與金融機構合作,強化金融交易檢測,對勒索贖金支付流程進行更加嚴密的追蹤、抑制和阻斷。二是加強國際合作,與國際同行開展聯(lián)合行動,共同調查并破壞勒索攻擊的全球勒索攻擊犯罪網(wǎng)絡,加強針對勒索攻擊者的起訴、跨境執(zhí)法數(shù)據(jù)協(xié)調和跨境抓捕等。
以上是部分內容,完整版觀點詳見:https://docs.qq.com/pdf/DVXV2RWx6blFSbGxm
來源: 中國電子信息產(chǎn)業(yè)發(fā)展研究院