现如今，随着千行百业数字化转型的不断深化，数据信息成为企业的重要核心资产。而勒索软件作为一种具有破坏性的恶意软件类型也是频频发威，给个人、企业的信息安全构成了严重威胁。

  根据Akamai发布的《互联网现状》报告显示，与2022年第一季度和2023年第一季度相比，过去六个月中零日和单日漏洞的猖獗滥用导致受害者数量增加了143%。由此可见，勒索软件威胁形势越发严峻。

  日前，比特网采访到阿卡迈技术公司(Akamai)北亚区技术总监刘烨，他围绕勒索软件发展趋势、企业如何更好应对勒索事件等话题，进行了深入分享。

 

Akamai北亚区技术总监 刘烨

  Akamai安全性的5个关键基础

  2023年是Akamai成立的第25周年，其发展历程可以分为三个阶段：一是在成立之初，Akamai提供CDN服务的企业。二是在第二个10年中，该公司开始将发展重心放在“安全解决方案”上，例如，在2010年推出自研的WAF和DDoS集成的攻击防护解决方案。为帮助用户阻断大规模DDoS攻击，在2014年收购Prolexic，做流量清洗等。三是自2022年起，Akamai开始重点布局云计算业务，希望未来无论是在边缘计算还是数据中心，可以作为一个公有云的方案提供商。据悉，Akamai推出了一款涵括内容交付、网络安全和云计算的大规模分布式边缘和云平台Akamai Connected Cloud，可使应用程序和体验更靠近用户，帮助用户远离威胁。

 

  数据显示，2022年，Akamai 43%的营收来自于安全业务、安全解决方案和安全服务。可以说，“安全”已然成为Akamai营收的重要组成部分。

  据刘烨介绍，作为一家负责支持和保护网络生活的云服务提供商，Akamai构建了包括全球平台、安全解决方案、安全情报、安全服务和培训与教育在内的5个关键基础，帮助客户应对互联网上所出现的安全隐患。

  第一，全球平台。Akamai拥有非常完善的平台，并不断保障平台的健壮性、安全性和稳定性。

  第二，安全解决方案。Akamai不断改善自身安全产品，通过解决方案，帮助客户应对不同的安全问题。

  第三，安全情报。对平台收集的数据进行分析，可以很大程度上看到安全趋势。通过这些趋势，可以帮助客户了解应该在哪些方面着重发力，从而解决安全隐患。

  第四，安全服务。安全产品用的好不好，安全情报的利用程度高不高，是与服务分不开的。如何根据客户的要求做定制化的服务、策略，帮助客户发现安全隐患，其实通过Akamai安全服务，客户可以完善自身的安全架构。

  第五，培训与教育。Akamai提供了很多培训，将更多综合知识传授给客户，让客户了解Akamai的解决方案，以及安全市场上比较流行的恶意软件是如何运作的，如何更好地进行防护。

  如何应对勒索软件攻击？

  需要指出的是，在安全情报方面，Akamai平台上承载着大量的数据，每天需要处理超750TB的攻击数据、7万亿次的DNS请求、300亿次爬虫请求。根据这些数据，Akamai发现，勒索软件团伙异常活跃，他们使用“零日”和“一日”漏洞滥用等激进的攻击方法以及多种勒索攻击方法，最大限度地增加受害企业的损失。

  从垂直领域来看，过去一年，制造业受害者人数增长了42%，成为勒索软件攻击受害者数量最多的行业。

 

  刘烨认为原因有三点：首先，在制造业中，众多系统和服务需要进行软件更新。同时，由于可能涉及工业设备的支持，其中部分系统可能为老旧系统或未经更新的系统。

  其次，攻击者常使用勒索软件加密受害者的数据。在制造业中，图纸、数据和知识产权等信息具有极高的机密性。一旦这些数据被加密，受害者往往面临巨大的压力，为了保护机密信息和避免生产中断，他们大概率会选择支付赎金。

  最后，在制造业中有大量的物联网设备接入进来，这些物联网设备连接到互联网并拥有自己的系统甚至应用终端。然而，在过去，这些终端的安全性并未受到足够重视。因此，这些物联网设备在接入网络的同时，也增加了勒索软件的攻击面。

  从企业规模来看，65%的勒索软件受害者是收入不超过5千万美元的规模较小的企业。

  刘烨表示，尽管大规模公司拥有更多的营收和财力，但由于其强大的安全团队和防御措施，攻击者成功利用漏洞并加密数据的概率实际上非常低。相反，规模较小的企业往往缺乏足够的安全资源和防护措施，使得它们成为勒索机构的主要关注目标。

  此外，在某些情况下，同一受害者遭到不同勒索软件团体的两次攻击，多个勒索软件组的受害者在初次攻击的前三个月内遭受后续攻击的可能性几乎高出6倍。

  刘烨指出，一旦企业遭受勒索软件的攻击，这明确表明其系统存在安全漏洞，安全防护措施不够充分。此外，对于那些遭受二次勒索的企业，Akamai观察到一些特征。其中，有些企业被同一机构多次勒索，即便支付了赎金，攻击者仍可能继续对其进行勒索，原因是他们已得知该企业有支付赎金的经历。另一种情况是，遭受过一次勒索的企业，无论是否支付赎金，都有可能成为第二个勒索机构或攻击者的目标，这些攻击者可能通过数据加密或其他渗透方式再次对企业进行勒索。这些勒索行为得以成功的原因之一是，攻击者之间会相互传递信息。他们分享关于潜在目标企业的详细信息，例如企业性质、是否支付过赎金、系统是不是更加坚固、是否存在漏洞等。因此，那些曾经遭受过攻击的企业，再次被勒索的概率会大大增加。

  对此，刘烨提出五点建议，具体来看：

  第一，全面了解自身攻击面。攻击面是指应用系统或网络系统中可能受到攻击的系统、资产以及网络中的薄弱环节。因此，首要任务是明确自身的攻击面是什么。对于一些客户而言，他们可能并未意识到某些物联网设备存在安全风险。然而，重要的是要能够识别IT资产中哪些部分可能成为攻击者的目标，哪些可能被利用作为攻击的跳板。

  第二，制定可靠的流程/行动手册。在攻击发生时，无论是运维人员还是安全构建者，都需要迅速应对多种情况。此时，按照预先制定的应急手册或流程进行操作至关重要，以防止遇到突发情况时不知如何应对。

  第三，监控出站流量，确定是否存在威胁指标(IOC)。实际上，有一些入侵指标是可以观察到的，包括：在漏洞被攻击以后，通常会表现出一些典型特点。许多安全公司，不管是安全咨询公司还是服务商，都会提供指导，如何从日志中看到是否遭受攻击，如何通过IP地址观察怎么被攻击，以及从不同系统观察入侵指标。企业需要基于这些指标来评估系统是否被入侵，是否有数据被未经授权地导出或传输。

  第四，确保法律团队随时关注立法动态。由于勒索事件与其他网络安全事件存在差异，在支付赎金时需明确法律上的要求。例如，不同国家对此有不同规定，在有些国家或地区支付赎金是不被允许的。因此，企业如果确定系统被攻陷，且已收到勒索邮件。除了与技术团队沟通外，还应立即通知法务团队。这样，法务团队能够提供建议，指导如何应对这一问题。

  第五，开展修补、培训、防护。针对勒索软件威胁，培训是至关重要的一环，这里所说的培训涵盖了对全体员工的培训。在许多勒索事件中，往往是因为内部员工不小心点击了某些恶意链接。因此，在需要输入密码或点击外部链接时，都应先自问是否应该进行这些操作。虽然此类培训不能100%解决问题，但至少能让企业内的非IT人员意识到不是所有链接都可以随意点击，不是所有地方都可以随意输入密码。

  值得一提的是，Akamai提出了一套完整的零信任解决方案，包括：1、Akamai Guardicore Segmentation(微分段)，这项技术可以将网络划分为不同的段，以确保在某一部分遭受攻击时，攻击者也无法进一步访问到内部的重要数据和系统;2、Enterprise Application Access(Zero Trust远程访问)确保用户在远程访问时的安全性;3、Secure Internet Access Enterprise(安全Web网关)通过扫描请求的文件和Web内容来阻止恶意有效载荷，以便在威胁危及端点设备之前实施拦截;4、多因子认证(Multi Factor Authentication)防范员工账户接管攻击和数据泄露;5、安全评估与咨询服务(Akamai Hunt)，通过Akamai的工具帮助用户检测系统是否已经遭受入侵，是否存在某些勒索软件或安全隐患。

 

  “总而言之，Akamai希望能够为客户提供一种全面的零信任解决方案，以确保无论是‘东西向的流量’还是‘南北向的流量’都能被有效监控和防范。并且，遏制勒索软件的传播，无论其是尝试侵入内部网络，还是在内部系统之间进行传播。”刘烨说道。

  大模型带来的机遇和挑战

  2023年以来，大模型热度持续攀升，相关产品不断涌现。那么，在这一背景下，网络安全将面临哪些机遇和挑战呢？

  在刘烨看来，对于安全厂商来说，可以利用大模型等AI技术加固安全产品和系统，提升整体网络安全水平。以Akamai为例，每天Akamai可能面临750TB的安全攻击数据和数万亿次的DNS请求，通过AI和机器学习技术，Akamai能准确区分正常流量和攻击流量，从而更好地识别并防御攻击。另外，基于这些数据，Akamai可以分析攻击者的特征。例如，当面对某个API发起请求时，可以借助数据模型、以及分析方法，判断是否为正常访问。最后，在面对不同的攻击时，Akamai可以借助AI技术自动化更新安全策略。

  对于攻击者而言，发起勒索的所有条件变得更简单。攻击者会借助大模型生成钓鱼网站、开发聊天机器人、为不同的人定制化钓鱼软件。而最重要的一点是，攻击者可以利用深度学习技术来分析手中所掌握的数据。通过对这些数据的精细分析，构建出“用户画像”，即描绘出哪些用户最有可能愿意支付赎金，或者哪些数据对攻击者最具价值。因此，攻击者可以有针对性地针对这些高价值目标和漏洞进行精确攻击。

  我们看到，AI是一把双刃剑，这把剑起什么样的作用，取决于掌握在谁的手中。因此，安全厂商首要考虑的是如何妥善运用数据和分析方法，更有效地遏制攻击者的行为。

  写在最后：

  毫无疑问，勒索软件已成为网络安全领域中最为严重的威胁之一。在新的技术趋势和安全挑战下，Akamai通过不断创新和完善安全产品线，为企业提供了坚实的网络安全保障。

  面向未来，我们有理由相信，Akamai凭借着不断创新的能力以及在网络安全领域的丰富经验，将助力越来越多的企业筑牢网络安全防线，从容应对挑战。