围绕网络勒索事件,几乎是所有国家、行业无法避开的。利益的驱动愈演愈烈,类似LockBit的黑客组织蠢蠢欲动,发动一次又一次的网络攻击。据2023年9月消息称,山东烟台网安部打掉了一个有组织、谋取非法利益的黑客犯罪团伙,该团伙通过网络渗透攻击手段,连续作案300余起,涉案金额超30亿元。
2024年4月8日,Palo Alto Networks(派拓网络)在北京银泰召开了勒索软件威胁回顾与洞察媒体沟通会。“网络攻击分布在各个行业,金融、能源、制造,我们看到网络安全的现状是非常严峻的,一个是网络攻击规模越来越大、二是攻击速度越来越快,三是网络攻击造成的影响越来越大。”派拓网络大中华区总裁陈文俊表示:“为什么勒索软件会带来更大的收益?因为网络入侵以前可能都是先进到一些系统里面隐藏,当拿到相关数据以后再发起攻击。而现在很多时候会在当天便找到漏洞,直接发起攻击。派拓网络调查发现,去年很多时候数据从攻击到外泄平均两三天就可以发生,所以网络攻击速度是越来越快的。”
此外根据派拓网络的调查,网络安全问题的复杂性越来越高。因为随着生成式AI的流行,勒索软件的变体迭代也更加频繁。有研究表明WormGPT、FraudGPT等工具的出现,生成式AI导致网络钓鱼邮件攻击增长135%。据最新市场调研报告数据,生成式AI和云的广泛应用使得恶意机器人(Bad bots)暴涨,占互联网总流量的73%。
生成式AI降低网络攻击的门槛,并更广泛地用于提高钓鱼邮件和社会工程攻击的专业化水平,使得勒索软件更容易渗透企业。同时,生成式AI的攻击内容更加难以被辨别,尤其是借助Bot自动化攻击手段,让攻击者可以更快速、准确地扫描漏洞或对网络发起攻击,大幅增加网络攻击的波及面和有效性。
派拓网络大中华区售前总经理董春涛表示:“生成式AI出现以来,传统的安全自动化大大提升。不过防御手段的能力也大大提升,企业要思考如何更好的利用AI技术来减轻传统安全工作的负载。”
在行业上来讲,黑客对于所有行业都有涉及,但是董春涛称,制造业受其影响最为严重,其次是服务业和法律机构,还有一些高科技行业。因为制造业在很多时候企业整个工厂不同环节是完全隔绝的,对其运营技术(OT)系统的可见性十分有限,缺少网络的足够监控,有时甚至无法落实最佳安全实践。同时给予庞大的基数,制造业无法全面做到安全的保护。所以,一旦被勒索,损失就会非常大。
为此,派拓网络提出了几点建议,首先要落实深度的防御策略,包括高级的防御,包括DNS的安全,包括UR过滤等等一体化高级的安全能力;其次在整个架构上、设备上、技术上提高之外,企业还要制定应急的响应计划,并根据自己的能力,且要积极配合第三方咨询机构,专业的机构往往会制定专业防御规划;第三,确保攻击面的完全可见性,从外部对网络暴漏出的所有服务做检查;第四,在企业范围内落实零信任网络机构;第五,加强对云商资源的保护;六,强调身份验证,将MFA(Multi-Factor Authentication,多因子认证)作为一项技术控制和安全策略,对所有用户强制执行,并且除了单层的认证之外,还要多加几层多重认证方式,以一切手段来提高认证;第七,落实最小权限管理,在IAM(Identity and Access Management,身份和访问管理)上,对其做更小原则的限制,更大程度地减少安全事件的影响;最后,企业要思考如何更好的利用AI技术来减少传统安全工作的负载。
作为安全领域咨询公司,陈文俊提到,派拓网络在十几年前就已采用精准式AI防御,即要精准的了解攻击的来源,又要通过机器学习、算法、小模型来推动AI的网络安全。目前,派拓网络安全平台、云安全平台、安全运营平台均有内嵌AI的算法。所以,生成式AI的发展,也使攻防部署由过去被动式专为主动式的预防,做到网络、云、端间的关联、联防的防护。陈文俊说道:“所以,精准式AI、生成式AI在我们的平台中有所体现。此外,做AI很重要的一个就是数据,你必须要有一些干净的数据,算法效果才会好,这个也是我们的优势。”随后董春涛补充道:“随着十年以来,我们的模型在各种产品里面采用了4,400多个机器学习的模型用来处理不同的样本。因为很多时候AI用例的关键在于你用这个模型做了什么事情。”
事实上,派拓网络也意识到只靠网络安全是无法应对未来的发展,于是派拓网络通过转型、收购在云端、端点、安全运营、咨询等领域开始整合,覆盖硬件、软件和SASE的安全性。同时为了面对更多未知的威胁,派拓网络Cortex可以全面集成数据、分析和自动化的SOC新方法来提供保护。并且设有Unit42安全咨询部门提供威胁情报和安全咨询,以此来帮助企业提前部署安全场景,且在面对威胁时,会在短时间内作出反应。
写在最后:
董春涛提到,作为安全公司,一般都会交换安全情报。所以,安全公司往往会分享自身的情报内容,以便能够做到更加全面的防护。陈文俊表示:“大家在网上能找到CSIRT(计算机安全事件相应团队),这个是安全公司做情报交换的组织,我们公司也是创办这个组织的成员,他们基本上规定一个月要去贡献1000个情报信息。”