全球數據勒索攻擊威脅新特點及對策建議
本文研究了國外應對勒索攻擊的最新舉措,并提出了我國推進勒索攻擊治理法治化、強化關鍵信息基礎設施網絡安全保護、加強組織或國際間合作等建議。
隨著全球數字化進程的不斷推進,數據價值越發凸顯,網絡攻防雙方均圍繞數據展開角力,其中,對數據強行加密的勒索手段成為最常用且有效的攻擊方式。2021年,數據勒索成為全球網絡攻擊的主角,給多國帶來機密數據泄露、社會系統癱瘓等重大危害,嚴重威脅了國家安全。在此背景下,美國首次因網絡攻擊宣布進入國家緊急狀態,并將數據勒索攻擊(以下簡稱“勒索攻擊”)提升至與“911”恐怖襲擊同等的級別;英國、澳大利亞、日本、加拿大等國也紛紛將勒索攻擊視為當前最大的網絡威脅。毫無例外,我國政府、醫療等機構也頻遭勒索攻擊,成為頭號重災區。賽迪研究院網絡安全研究所在分析全球數據勒索攻擊新特點的基礎上,研究了國外應對勒索攻擊的最新舉措,并提出了我國推進勒索攻擊治理法治化、強化關鍵信息基礎設施網絡安全保護、加強組織或國際間合作等建議。
一、全球數據勒索攻擊新特點
攻擊目的:由單純經濟牟利轉向實施數據破壞、竊取戰略機密、謀取政治訴求等多重企圖,勒索意圖愈加復雜化。 一方面,具有國家背景的黑客組織以“勒索”為幌子,以掩護其進行數據破壞、情報獵取等真實意圖,秘密發動網絡戰。2021年,伊朗國家級黑客組織Agrius對以色列實施勒索攻擊,表面留下了索求贖金的信息,但背后早已竊取了目標系統的重要情報數據,并通過“隨機字符覆寫文件”機制,對相關數據進行了永久性銷毀。另一方面,對某一領域問題持有不同政治立場的黑客組織以“發動勒索攻擊”為要挾,謀求自身政治訴求。
攻擊對象:由無差別的個人設備轉向政府及公共部門、大型企業等具有關鍵信息基礎設施屬性的定向機構,且勒索策略日趨精準化。與個人設備相比,關基機構數據資產價值較高,遭受勒索攻擊的影響范圍較廣、后果較重,加之其部分具有網絡安全保險的保障,在遭遇重大勒索攻擊下,“關基”機構的贖金支付意愿和能力均較強,也使其日漸成為勒索攻擊的焦點。為了制定精準化勒索策略,攻擊者會在事前分析評估目標機構的IT安全建設現狀、遭受勒索攻擊后的損失程度和贖金支付能力等,精心選擇可為其帶來最大投資回報率的目標機構。
攻擊主體:由個人或單個黑客團伙攻擊轉向層級分明、分工明確的黑色產業活動,勒索行為日益專業化。一方面,為實現價值多向變現,黑客團伙除自身發動勒索攻擊外,還會借由暗網和虛擬貨幣技術,對外出租或售賣成熟的勒索軟件產品和服務,這促使數據勒索“產業鏈”逐漸形成,上中下游的勒索軟件開發者、勒索執行者,以及應運而生的贖金談判和贖金代管者之間相互協作配合,共同瓜分勒索收益,大大降低了攻擊實施的技術門檻。另一方面,不同黑客團伙之間開始著手構建具有精準配合關系的勒索商業聯盟,通過共享受害者信息等手段,擴大勒索商業模式,并進一步增強勒索攻擊能力和隱蔽性。
攻擊模式:由單一加密勒索轉向多重勒索獲利,勒索手段趨于多樣化。當受害方采取數據備份等防備措施,拒絕支付勒索贖金后,勒索攻擊手段也在持續演化。目前,已出現數據竊取外泄、DDOS攻擊威脅、供應鏈攻擊等多重混合勒索模式,以增加贖金數目并提高受害機構的贖金繳納率。例如,在加密之前通過在目標環境中安裝可竊取重要數據并具有DDOS攻擊能力的后門程序,以“拒絕支付贖金則外泄數據或發動DDOS攻擊”為威脅籌碼,逼迫受害方支付贖金,更有甚者直接在暗網倒賣被竊數據,以獲得更多潛在利益。
二、國外應對數據勒索攻擊威脅的最新舉措
加快反勒索立法,強化應對勒索攻擊的法治保障。目前,各國紛紛從立法層面推進勒索攻擊治理,并重點關注以下四個方面的制度建設:一是建立強制性勒索攻擊事件報告機制。為加強執法部門對勒索攻擊犯罪活動運作方式及勒索軟件威脅的全面了解,幫助其制定更好的應對措施,2021年,美國推出《贖金披露法案》、《制裁和阻止勒索軟件法案》和《勒索軟件和金融穩定法案》,澳大利亞提出《2021勒索軟件付款法案》,均強制要求支付勒索贖金的政府部門、企業等實體必須主動向指定執法部門提供勒索攻擊及贖金等相關信息,包括實體名稱和聯系方式、攻擊者身份、勒索金額、加密貨幣錢包類型,以及已泄露的數據字段等。其中,《贖金披露法案》還提出,要求美國國土安全部建立專門網站,為各實體提供報告渠道。二是規范勒索贖金支付,防止繳納大額勒索贖金引發的重復攻擊。美國2021年在《勒索軟件和金融穩定法案》中明確要求,勒索贖金超過10萬美元的,金融機構需獲得財政部特別授權才可支付贖金。此外,澳大利亞也在《2022犯罪立法修正案(勒索軟件行動計劃)法案》中展示出對勒索攻擊采取零容忍的立場,明確提出政府不允許向勒索攻擊罪犯分子支付贖金。三是賦予執法人員“數據中斷”權利,以幫助勒索攻擊受害者在不支付贖金的情況下防止潛在的數據泄露風險。澳大利亞《2021年監視立法修正案(識別和破壞)法案》賦予澳大利亞網絡犯罪執法人員相關權利,即通過各種方式獲取可能涉及犯罪活動的相關數據,并隨后對其進行破壞的權利。借助該權利,澳執法人員可通過各種手段探尋勒索攻擊者服務器的位臵,并刪除存儲在這些服務器上用于“雙重勒索”的數據,進而有效打擊由勒索攻擊造成的數據泄露。四是對勒索攻擊者實施更嚴厲的懲罰,增強勒索犯罪活動威懾力。澳大利亞《2022犯罪立法修正案(勒索軟件行動計劃)法案》明確提出,將對勒索攻擊者最高判處10年監禁,對其“關基”實施勒索攻擊的犯罪分子最高判處25年監禁。
三、三點建議
探索反勒索立法,積極推進勒索攻擊治理法治化建設。我國現行法律還沒有針對勒索攻擊的專門規定,可考慮借鑒美國、澳大利亞的做法,制定出臺反勒索專項法案,明確“受害者應承擔主動披露和報告勒索攻擊事件及贖金信息的相關義務、禁止某些特定類別的受害者向勒索攻擊方支付贖金”等勒索攻擊應對路線,規范勒索攻擊信息共享和贖金支付;賦予執法人員反勒索攻擊的“數據中斷”執法權,以及從勒索軟件攻擊者手中沒收、扣押勒索費的相關權利,強化反勒索執法權力;明確實施勒索軟件行為的刑事責任,加大勒索攻擊犯罪的懲治力度。
強化關鍵信息基礎設施網絡安全保護,增強勒索攻擊防護能力和抵御彈性。一是推進標準化勒索攻擊應急響應機制建設與落實。借鑒美國、英國、歐盟的相關做法,從“事前”防范、“事中”監測遏制恢復、“事后”回溯修補等層面出發,研究制定關于勒索攻擊標準化應急響應機制及流程的相關指南文件,在此基礎上,推動“關基”機構嚴格落實應急響應機制建設,并定期組織“關基”機構開展攻防演練,保障重要“關基”系統在遭遇重大勒索攻擊時具備良好的彈性恢復能力。二是加強反勒索攻擊技術的研發與應用。組織開展底層加密技術研究與攻關,積極探索零信任、AI等新型技術在勒索攻擊防御中的應用。在此基礎上,推動“關基”機構加大在網絡安全防護技術上的投入力度,比如借鑒美國、新加坡的做法,要求“關基”機構將零信任技術整合至重要系統的安全架構和運營,利用零信任“層層認證”的特性,確保系統動態應對網絡環境變化,及時彌補傳統邊界防護模式在應對勒索攻擊中的先天不足,降低數據被勒索的可能性;推動勒索攻擊“AI化”防御體系建設,利用AI技術實現勒索特征識別檢測、勒索病毒遏制根除、勒索贖金支付追蹤等自動化防御流程。三是提供反勒索專業培訓、工具等安全方案支持。借助門戶網站、線下宣講等方式,對“關基”機構開展網絡安全培訓,使相關人員了解勒索攻擊威脅以及應對勒索攻擊的防護常識;官方提供勒索病毒檢測軟件、勒索攻擊防護能力評估軟件等簡便易用的防護工具。
加強組織或國際間合作,聯合打擊勒索攻擊網絡犯罪行為。一是加強執法機構與政府部門、私營企業、金融機構等主體之間的威脅情報共享,聯合開展反勒索攻擊專項執法行動,并積極推進勒索攻擊黑色產業鏈的常態化治理。比如,與私營企業合作,開展對郵件、即時通信工具等常見的勒索病毒傳播渠道的監測,及時發現勒索攻擊入侵跡象;與金融機構合作,強化金融交易檢測,對勒索贖金支付流程進行更加嚴密的追蹤、抑制和阻斷。二是加強國際合作,與國際同行開展聯合行動,共同調查并破壞勒索攻擊的全球勒索攻擊犯罪網絡,加強針對勒索攻擊者的起訴、跨境執法數據協調和跨境抓捕等。
以上是部分內容,完整版觀點詳見:
https://docs.qq.com/pdf/DVXV2RWx6blFSbGxm
來源: 中國電子信息產業發展研究院
