国外运营商中招，支付系统瘫痪！国内运营商能躲得过勒索病毒吗？

厄瓜多尔国家电信公司CNT正在缓慢恢复服务。
7月22日开始，支付系统逐渐恢复，截至7月25日，用户可在全国4万多个充值点支付账单。被勒索病毒攻击至今，已过了将近10天。攻击者表示，他们从CNT窃取了超过190GB的文件，CNT的支付系统、客户联络系统一度陷入瘫痪。
这是今年又一次大型基础设施类企业被攻击，此前5月，美国甚至因为全国最大的燃油管道公司被黑客勒索而宣布进入紧急状态。数据显示，2021年上半年勒索病毒暴发量已超过去年总和，平均每11秒发生一次勒索攻击，带来的直接经济损失超过300亿美元，是2015年的57倍。
“勒索攻击正在APT（高级可持续威胁）化。”国内知名白帽子、被称为“TK教主”的腾讯安全玄武实验室负责人于旸日前在接受包括《IT时报》在内的媒体采访时表示，人工入侵和勒索病毒相结合的定向攻击将成为今后黑客攻击的主流趋势。
道高一尺，魔高一丈，不怕贼偷，就怕贼惦记。
无论是城市还是传统大型企业，中国正掀起一阵“数字化转型浪潮”，与之而来的风险是，可能成为国际黑客组织的目标。
那么，中国电信运营商会成为下一个CNT吗？
“信息化程度越高、对计算机系统和网络依赖程度越高、企业IT系统越复杂，被勒索的可能性越高。”腾讯安全反病毒实验室负责人马劲松透露，全球勒索病毒已演进至标准化和专业化，甚至有成套完整的代码可参考，一旦被攻破防线，企业很难破解。
百分百防御成功的“安全墙”并不存在，做好防护和数据备份是应有之义。
不久前，上海市经济和信息化委员会软件和信息服务业处处长裘薇曾在世界人工智能大会上透露，在今年发布的网络安全“十四五”规划以及即将发布的网络安全产业的行动计划当中，将进一步明确政府和公共企事业单位在网络安全上的投入比例不低于10%。
难被破解的勒索攻击
“我们没有遇到过。”一位国内省级电信运营商安全负责人王淼（化名）告诉《IT时报》记者，至少在他所知范围内，国内电信运营商并没有被大规模袭击的事件。这与国内运营商在网络安全防护、预防措施以及危机处理等方面管理相对严谨有关，却也并不排除有企业担心“家丑外扬”而内部自行处理的可能。
中国正成为勒索病毒的头号重灾区。
“勒索攻击已是常态。”仅去年一年，知名白帽子、网络尖刀创始人曲子龙知晓的国内攻击案例便超过百例，受损最多的一家企业被勒索数百万元，大多数企业并没有声张，默默自行处理。
全球范围内，针对大型企业的定向APT攻击正变得普遍。早期勒索病毒以自发性传播为主要特征，攻击者“广泛撒网”，只看谁自动跳到“网”里，但近两年来，定向的APT攻击基本成为大型黑客组织的主要“生财之道”。
此次攻击CNT的勒索软件RansomEXX 臭名昭著，此前已有巴西政府网络、美国得克萨斯州交通部(TxDOT)、柯尼卡美能达、IPG Photonics和Tyler Technologies等政府和企业“中招”。
翼盾智能和第五空间研究院创始人朱易翔分析，基础设施类的企业通常对信息化依赖程度较高，支付能力强，而且受影响程度比较大，有动力支付赎金，“能源、金融、电信运营商、交通公共事业以及政府相关部门，都会面临勒索挑战”。
一个悲观的结论是，一旦被勒索病毒攻击成功，“解锁”是一件相当困难的事，病毒的密钥通常采用非对称加密算法，很难靠暴力反向破解，只要算法和密钥足够复杂，破解密码需要几万年。
“一旦被攻击成功，只要两条路径：第一，交赎金，第二，被加密的数据不要了，恢复备份。”王淼认为，数据备份的恢复，是遭遇勒索后最有效的措施，但黑客也可能在窃取企业重要系统数据后，威胁泄露企业敏感信息。
这个新风险在CNT案例中已经显露，黑客威胁，如果不缴纳赎金，将公开CNT的用户数据。在数据安全被进一步重视的国内，这是个新“雷区”。
“不能简单认为把数据保护好了就完全不怕，攻击者完全可以采取另一种模式的勒索对你进行攻击。”于旸表示。
关键在于“御敌于门外”
勒索病毒攻击如同晚期癌症，一旦发现，便很难控制癌细胞扩散，因此，最有效的“抗癌”手段，便是防止“癌细胞”第一次进入。
王淼列举了勒索软件攻击电信运营商常见的三种模式：第一，利用系统通用漏洞进行传播攻击，如果系统存在可以被命令执行等的高危漏洞，则勒索病毒可能借此入侵传播；第二，利用社会工程学方式进行攻击，例如使用钓鱼邮件，将勒索软件捆绑在正常软件中诱导受害者执行等；第三，通过对系统进行账号密码（如：RDP，SSH等）的破解，获得系统控制权，从而植入勒索病毒。
王淼所在的电信运营商备有相当规范的防范勒索病毒攻击预案，其中包括各种终端的预防措施、发现中毒后防止蔓延的措施以及启用数据备份。早些年，WannaCry病毒第一次暴发时，尽管也有员工电脑被感染，因为防范得当，并未形成事实性影响。
然而，近几年来，随着上云、大数据、数字化等企业信息化应用的发展，系统边界正变得模糊。马劲松分析，以前黑客可能接触到的只有企业网站，现在员工个人的邮件、社交网络、App等都可能成为攻击点，被攻击者的暴露面正越来越广。
“对人员培训是防范攻击最重要的环节”，马劲松认为，对员工的安全教育、安全素养的培训是长期持久的工作，比如，收到莫名的电子邮件、社交网络上的奇怪链接、捡到可疑的U盘，都要保持高度警惕。
除了教育和自律，加固安全措施、做好备份，都是降低风险的方式。王淼所在的电信运营商，员工弱口令登录被坚决杜绝，系统不仅对口令格式有要求，而且定期要求员工更改密码，否则无法登录内网系统。
没有“银弹” 只有动态攻防
“攻击到了APT层面，便很难解决。”于旸认为，每天都有新的员工入职、新的漏洞出现、新的攻击技术出现，单纯筑墙式的“边界防御”不再能完全御敌于门外。
“Never Trust， Always Verify（永不信任，持续验证）”零信任模型（Zero Trust Model)的出现，部分解决了员工端被攻击的风险，其核心思想是，对任何用户、设备、应用程序都不因一次身份验证而给予“终身信任”，内外网一视同仁，不相信任何人，验证一切。
也就是说，系统对所有进入企业网络的人，都要基于身份、动作、特征、数据等变量不断核验，同时把“城市”分割成无数个大大小小的房子，允许通过身份核验的用户，只拥有进出和使用小房子的权限。这样确保了无论业务如何变化和扩展，企业的数字资产始终处于动态安全状态。
不过，王淼认为，零信任可以从一定程度上提高攻击难度，降低被攻破的风险，但企业整体安全的真正提升，还需要建立人、技术、管理的综合防御体系。
“安全防范要谨防银弹思维，企业主经常问，是否有一套系统可以彻底解决问题？但从来没有天下无敌的武器。”马劲松对此也十分赞同，攻防是动态过程，需要持续的投入、持续的运营、持续的升级和关注。
只是长期以来，安全作为一项长期、潜在收益的投入，在企业IT成本中占比往往只在3%-5%之间，“随着国家监管日益增强、网络安全攻防挑战越来越激烈，如果建立完善的防御体系，这个比例的确比较低。”王淼认为，上海前段时间提出的10%占比，是非常有必要的。
新挑战：供应链攻击
一旦被攻击，数据备份的恢复，依然是被勒索后最有效的解决措施。但有些时候，攻击组织非常狡猾，通过暴力破解服务器或者利用漏洞进入网络，在获得管理员密码的访问权限后，手动部署勒索软件并加密被攻击者的核心关键设备，甚至会先破坏其备份服务器。
“出现这种情况，一般是数据备份并没有做到位，没有异地分开存储，如果是备份在同网段、同类型服务器，也很有可能被攻破。”王淼介绍，其所在电信运营商都是跨网络备份，而且会对数据进行分级管理，重点保护核心资产数据。
在万事皆云的年代，企业上云是把双刃剑，既扩大了受暴露面，但同时可以更好地依赖云技术。
据马劲松介绍，当腾讯云的客户主机出现很多异常行为时，比如高负载情况、高CPU占用、高磁盘占用，系统会自动告警甚至直接阻断，这些措施都是基于云端实施，部署、交付成本很低。此外，基于云的数据加密、备份可以做得更加充分和及时，即使被攻击，也会有多种数据恢复手段，做相应弥补。
朱易翔则补充介绍，目前有一种磁盘快复制技术，可以在远端或者异地，对磁盘做快照或者镜像，这样数据传输不多，占用带宽较少，但同样可以实现备份，且数据恢复也比较快。
但朱易翔同时提醒，国内电信运营商要注意的是新挑战——对供应链的攻击。
2020年12月，知名IT公司Solars旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码，由于其客户群体覆盖了大量重要机构和超9成的世界500强企业，导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视。
电信运营商信息系统庞杂，内有相当多数量的软件和组件，一旦其供应商被大规模侵入，很有可能成为病毒污染链上的一个“分子”，朱易翔认为，这个潜在威胁，将可能给国内电信运营商带来诸多“麻烦”。