影响|安永：数字化时代，企业如何取势攻毒？_数字化|软件|入侵|企业|攻击

文章图片

1. 勒索软件与挖矿劫持：共同的经济利益引发了攻击网络安全是一个广泛的话题，根据目的不同，攻击形式也多种多样。很多人认为网络安全就是黑客攻击和信息窃取，但这些攻击的目的都比较简单。经济利益是攻击者进行网络攻击行为的一个主要动机。一些公司开发了复杂的勒索工具和程序，甚至针对某些行业进行量身定制，通过发动具有破坏性的攻击来获利。据统计，在2019年和2020年两年内，这种攻击行为越来越多，并且可以预见的是，它将持续增长，对各行各业都造成威胁。
本文将重点讨论勒索软件和挖矿劫持这两个专用示例，阐述其背后的动机和技术，以及安永网络安全响应与调查的真实案例，并给出专业的建议。
我们正在描述各行业中普遍看到的威胁即攻击-勒索软件攻击和一种新兴的威胁-挖矿劫持攻击。到2021年，这两种攻击，特别是勒索软件攻击，都被视为全球各个行业中每个组织都可能面临的普遍威胁。
2. 勒索软件与挖矿劫持是什么? 01）勒索软件
勒索软件是基于经济利益回报需求的恶意软件，在未支付给攻击者赎金之前，整个系统或软件数据均被加密，无法正常使用。
简介：通常，攻击者恶意加密的核心数据，并以此为要挟，勒索赎金解密。
影响：对整个系统的可用性产生严重影响，甚至导致整个业务不可用，造成难以估量的损失。
攻击周期：

文章图片

02）挖矿劫持
挖矿劫持是挖矿货币和劫持的组合。利用配置错误、漏洞或恶意软件在受害者系统上部署挖掘软件。
简介：滥用资源来开采加密货币，大多是自动化的（通常是隐秘且自动进行的）。
影响：造成一定的经济损失，严重的话会导致企业宕机，服务无法访问。
攻击周期：

文章图片

3. 潜在影响是什么? 影响视情况而定，有些企业比其他企业拥有更加成熟的安全能力，可以检测到网络攻击并采取措施阻止，但那些没有足够安全能力的企业无法检测到这些恶意攻击并造成损失。
不可否认，勒索软件攻击对公司影响最大，甚至导致企业完全停摆。虽然这有些危言耸听，但在2020年12月，美国某筹资公司就因被勒索软件攻击而完全停摆，这导致所有员工被解雇，重启工作也没有按计划进行。其他的例子包括各行业部门和政府部门，在这些部门中，勒索软件导致的严重的业务中断从几天到几个月不等，造成数百万美元的损失。
据报道，事情朝着更棘手的方向发展，网络威胁者专门针对医院进行攻击，导致一些系统无法正常使用，正如9月份发生的那样，德国某医院由于被勒索软件入侵，不得不将急诊病人转移到其他医院。安永已对多起此类案件做出响应，并观察到针对中国公司的量身定制的勒索软件攻击。在我们帮助客户恢复业务运营的案例中，我们发现，网络入侵者积极寻找中国特有的网络安全供应商以及其安全解决方案，并努力地绕过这些供应商，以最大化提高他们部署恶意软件的成功率，从而增加了潜在威胁的影响。
挖矿劫持会导致一系列的影响，比如系统性能下降，而系统性能下降就会导致业务的中断。如果云资源被劫持并用于采矿操作，影响则会更严重，因为这些通常是按资源消耗收取费用，而挖掘加密货币的消耗非常高。在最近发生的案例中，挖矿劫持在性能消耗上更为狡猾，由于其隐蔽性，且没有明显的性能影响，因此更加难以检测和发现。
对于这两种攻击，无论是根除和恢复，还是处理事件本身、识别和修复根本原因，都需要不菲的成本。如果网络入侵者在核心的系统上执行勒索软件，企业的长期创收能力就会受到真实和严重的影响。
4. 网络入侵者的观点：这有利可图么? 最近，佛罗里达州的两个城市(里维埃拉海滩和湖城)被迫支付价值110万美元的比特币赎金。下图是各种勒索软件的平均支付。

文章图片
按勒索软件压力计算的平均勒索软件支付金额
一些组织对IT和安全的关注不同，使得它们的成熟度也不相同。因此，当一些缺陷容易被人利用时，某些组织或公司更倾向通过支付赎金来恢复业务。对于网络入侵者来说，开发勒索软件是有利可图的。
同时，挖矿劫持是一种“免费”的赚钱方式，它将成本转嫁给他人。如下所示，在2020年期间，我们发现自动攻击可以最大程度地降低网络入侵者的成本并提高其获利能力。
勒索软件和挖矿劫持的动机都是获取经济利益回报，有报道称，入侵后勒索软件往往被直接弃用来掩盖攻击行为。赎金的支付方式也常常以比特币的形式，并且这种趋势越演愈烈，且获利形式也越来越复杂。

文章图片

安永的真实案例我们不仅通过咨询服务为客户提供了各种协助，还通过部署和运营下一代安全运营和响应能力帮助客户应对多种挑战。
01）勒索软件
我们的业务咨询部门向安永的网络安全响应和调查团队通报了一个基于客户端的事件。期间，发现一个来自中国的输入连接造成总部后台核心系统的加密。在本次事件发生期间，中国分公司被完全关闭而且须重建其IT基础设施。勒索软件事件迫使总部重建所有后台系统，并且造成业务运营停滞数天。

文章图片

在2020年末，我们发现了非常相似的攻击手法，这很可能来自相同的网络威胁者，因为使用了相同的工具进行攻击。不同的网络入侵者把来自黑市的Ransomware-as-a-Service的自动攻击服务用于制作勒索软件。
安永与客户总部安全团队一起确定整个攻击周期并明确了根本原因。安永团队为客户提供了根除行动，并在现场增加了专职人员，以协助基础架构的重建，从而实现业务的快速恢复。
02）加密挖矿
安永的安全运营中心检测到一个未知网站的高量异常请求。在调查之后，我们发现了一种加密挖矿软件正在运行，它开始在组织中向多个服务器系统扩散。最后一个有效载荷是Monero-miner软件。

文章图片

【影响|安永：数字化时代，企业如何取势攻毒？】在调查受影响的系统和日志之后，安永帮助识别整个攻击生命周期并确定根本原因。我们提出了缓解行动，并协助采取了恢复步骤。
该怎么做? 做好准备，保持纵深防御。不要只关注周边防御，如防火墙，而是巩固您的端点可见性能力。随着新冠病毒的流行，应准备好可供远程工作使用的工具。问问自己：

你能防止每一起安全事件吗？
你如何检测预防措施是否失效？
在接到通知后，你该如何回应？

安永拥有超过20年的与网络弹性和安全运营中心（SOC）相关的工作经验，安永的网络安全托管服务（CMS）产品可帮助客户推动数字信任并增强业务弹性。通过利用安永以平台为中心的网络服务和功能，我们的客户可以心无旁骛，专注于其核心业务。安永的网络安全服务范围包括威胁检测和响应、威胁风险管理、数据保护和隐私、数字身份以及第三方网络风险评估。
网络安全已成为重要的驱动力，疫情推动了员工和企业数字化转型。
01）保护
增加网络入侵者的入侵难度：

为关键业务系统和流程制定恢复计划
及时为IT系统和终端设备打上补丁
对关键数据进行完整的备份，并离线存储至少一个版本
对员工进行安全意识培训，提高他们的安全感知意识
对外部应用进行安全审查，如渗透测试和IT体系架构审查
在可行的情况下，使用多因子认证
禁用和监控默认帐户的使用
分割和限制端点系统之间的内部通信
在适当的情况下，防止本地管理帐户批量处理、服务或通过终端服务登录
根据可用性的指南减少攻击面https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/attack-surface-reduction

02）检测
积极探测和发现可能有漏洞的事件：