全球勒索软件攻击损失将超2650亿，360专家呼吁加强协同联防

美国餐饮巨头遭勒索攻击 360呼吁转变安全思维

当人们对美国科洛尼尔管道公司遭遇勒索软件攻击的事件还心有余悸时，新的犯罪又在全球高频发生。日前，有外媒报道，美国餐饮服务巨头Edward Don也遭勒索软件攻击，导致电话、网络、邮件等维持业务正常运营的设施受到严重影响。作为餐饮食品服务供应体系中的重量级分销商，Edward Don的沦陷将给餐厅、医院、酒店与酒吧等机构的供应链带来沉重打击。

无独有偶，在美国之外，今年以来也发生了多起发全球关注的严重勒索攻击事件。几个月前，爱尔兰遭受了史上“最严重的网络攻击”，卫生部门的IT系统在此次勒索事件中被迫关闭，在线预约接种疫苗也被迫中断，对爱尔兰疫情防控带来了巨大影响。起亚、宏碁、等巨头公司都遭遇了勒索软件攻击，每起勒索要求的赎金都是2亿人民币起步，最高的达到1亿美元。

纵观全球，巨头们似乎都不得不开始正视这个“共同的敌人”。正如在360集团创始人、董事长周鸿祎不久前在2021年数博会上的断言：随着勒索软件攻击成本的降低，未来更多新的网络犯罪团伙加入到勒索软件攻击活动寻求快速获利，勒索软件攻击将越发大行其道，成为数字化的“死对头”。

交付赎金如同饮鸩止渴

事实上，当前被曝光的勒索软件攻击事件还只是“冰山一角”。360安全专家表示，一方面，媒体报道主要只关注大型公司的网络攻击事件，而还有一大部分攻击事件瞄准了中小企业。他直言，由于小型企业通常没有财力或人力资源来进行强大的网络评估和风险量化流程，安全防范措施更落后于大公司，勒索攻击对于这样的企业可以说更是“探囊取物”。另一方面，由于绝大多数遭遇勒索攻击的企业都担心损害企业能力形象，因此大部分都会对勒索软件入侵的事实守口如瓶。因此，除了被广泛关注的巨头们遭受攻击的新闻之外，真实的数据远超人们的想象。

在数博会上，周鸿祎就曾透露，仅2020年一年，360公司（三六零601360.SH）就接到并处理了3800多起勒索软件攻击事件。根据360安全大脑的监测，数字经济越发达的地区越是勒索软件攻击的重灾区，其中，广东、浙江、江苏排在前三位。在周鸿祎看来，这正说明勒索软件发生的频率和数字经济的发展程度成正比，数字化程度越高，被勒索软件攻击的可能性就越大。

在勒索软件攻击大行其道的同时，受害者们却始终难以找到一劳永逸的应对措施。

一份来自市场调查机构Censuswide的最新报告显示，企业在遭遇勒索软件攻击之后，由于无法正常展开工作，因此会有相当一部分企业会选择向黑客支付赎金，但大约80%选择支付赎金的组织会遭到第二次攻击，其中46%被认为是来自同一个团伙。一家在勒索软件事件后支付了数百万美元的公司，在交出加密货币后的两周内，又被同一黑客攻击了。这其中，即使受害者支付了赎金以重新获得其加密文件的访问权，也经常出现问题。46%的支付者发现一些数据被破坏，51%的人重新获得了访问权，但没有数据损失；3%的人根本没有拿回他们的数据。

勒索攻击呈现四大特征

对此，360安全专家直言，勒索软件攻击日益猖獗，正是因为绝大多数企业网络安全防护手段却还停留在非常原始的阶段，而与之相对的勒索软件攻击形态却在迅速“进化”，逐步APT化。

一是，定向攻击逐渐成为常态，过去的撒大网的勒索攻击正在变少，针对高价值目标的定向攻击越来越多。攻击者根据目标的支付能力、对加密数据的依赖程度以及攻击可能造成的政治、经济上的影响，来精心选择目标。例如，制造业正在成为勒索软件攻击的高价值目标。IBM 2020年发布的威胁情报称，该年第一季度，勒索软件攻击在所有行业增长了25％，但针对制造业的攻击增加了156％，是风险最高的行业。全球网络安全软件公司趋势科技数据也显示，2020年第三季度有150家制造企业牵涉勒索软件，多于任何其他行业。今年3月，全球知名的制造商霍尼韦尔(Honeywell)就成为最新一家在网络攻击中受害的制造巨头。

二是，勒索软件团伙也呈现出更强的组织性，向公司化运作发展，不同犯罪组织相互配合，形成更广泛的犯罪生态。今年美国科洛尼尔管道公司遭遇勒索事件中，其幕后黑手DarkSide的暗网官网上就出现有新闻中心、行动准则、合作伙伴等页面，显示出了很高的组织化水平。

三是，勒索攻击走向产业化。勒索即服务成为攻击新模式，攻击者只需要购买勒索服务就可以发起攻击，这些服务易于部署、不需要任何编程技能，门槛很低。

四是，勒索攻击的技术手段也更加专业化。勒索软件已经不是普通的病毒程序，开始利用0day漏洞或者高危漏洞，而且传播途径更加多样化，甚至可以通过供应链传播。

360构建安全大脑守护数字经济

因此，360安全专家认为，未来，随着全产业加快步入数字化，全球企业要应对不断“进化”的勒索软件攻击，就需要建立底线思维、对抗思维，建立能够深度防御、协同联防的新体系。

在这方面，360也率先进行了探索，经过十多年的网络攻防对抗中，跟全球的黑客都交过手，总结、沉淀了一套新方法论，即：

一是要做、顶层规划、底层建设。就是要统筹规划网络安全能力体系，突出底层网络安全基础设施建设；

二是要攻防视角，能力导向。就是要以攻防对抗的视角设计安全体系，以安全能力作为最终的安全评判标准；

三是要全域连接、统一分析。就是要通过全域广泛部署探针，最大范围汇聚安全数据，集中统一大数据分析；

四是要情报共享、协同联防。即通过制定威胁情报格式、交互标准，实现情报相互查询共享和协同联防；

五是要持续运营、服务赋能，就是要高水平安全专家持续运营，最终以SaaS方式输出公共网络安全服务和赋能。

在这套方法论的指导下，不断抽象，形成了一套新的以安全大脑为核心的网络安全能力体系。这套能力体系首先是建设基础设施群，把基础设施作为面向未来的安全能力依托；然后是搭建安全专家团队，对基础设施进行持续运营，形成输出安全公共服务的能力；最后把安全公共服务XaaS化，输出威胁情报、漏洞信息、网络地图、实网攻防等服务，最终建立起一套持续运营、不断升级的安全能力，应对各种安全新挑战。

目前，该体系已在360的企业客户中全面落地，同时还接连服务于重庆、天津、青岛、鹤壁、苏州、郑州等城市的安全基础设施建设和运营，树立了标志性的安全服务典范。