勒索攻击深观察②：安全威胁冲击供应链与工业互联网，企业亟需构建防护体系

南方财经全媒体记者 吴立洋  孙诗卉  北京，上海报道

作为网络攻击的一种新兴模式，勒索软件除了给企业经营带来直接的数据泄露、业务瘫痪等运营威胁，为了防范安全风险，不断提高的网安预算也给企业导致企业承担的软硬件成本压力快速提升。更为重要的是，互联网技术与企业生产经营的深度结合使得单次风险不再局限于个别企业，基础性的安全漏洞可能进一步通过供应链或工控系统直接威胁产业链生产安全。

这一风险对产业链的潜在影响是巨大的。2021年7月，IT解决方案开发商Kaseya报告称，黑客利用的Kaseya的 VSA 软件漏洞进行了攻击，尽管只有不到 0.1% 的客户在此次漏洞攻击中受到影响，但其仍然波及了800到1500家中小型公司。且面对未知的安全风险，企业往往缺乏合理评估损失范围和规划安全防范体系的意识和能力。

多位相关领域专家在接受记者采访时表示，在新的网络安全形势下，普通企业除了要认识到完善企业安全防护的必要性，还需明确法律法规要求，合理规划网络安全机制，有效分配网安预算，辅以网络安全保险等方式，降低勒索软件等网络攻击威胁，保障企业安全稳定生产。

成本压力陡增

勒索软件威胁的提升，给企业经营带来最直接的影响即是经济方面的压力。

据Coveware统计数据显示，与2019年相比，2020年第三季度的勒索组织给出的赎金要求同比增加约5倍；此外，一个又一个知名企业遭到勒索攻击而损失惨重的案例被爆出，也使行业中人人自危，着力提升网络安全防护相关的预算。

天融信云安全市场总监黄安松在接受21世纪经济报道记者采访时表示，传统的勒索攻击形式就是文件加密，此后又出现了数据泄露和DDoS攻击等勒索形式。

他进一步指出，今年来愈发频繁，攻击形式更为多元的勒索软件攻击等网络攻击会给企业经营带来以下几方面的压力：首先是运维压力，一旦公司终端或者业务系统遭受网络安全攻击，必然会影响办公效率，增加运维工作量；其次是预算压力，如果业务系统遭到严重破坏甚至崩溃，除直接造成的损失外，还要面对激增的信息系统恢复成本；最后，部分企业遭到攻击，可能会被监管机构通报，部分提供对外服务的企业如果因攻击而导致信息泄露，会引发消费者信任危机以及法律违规风险，企业也要承受巨大的监管压力、市场信任以及合规压力。

此外，企业进行常规安全防护的成本也在不断提升。黄安松指出，增加的成本主要包括相应软硬件安全产品的采购费用，而此这一类产品相对比较专业，需要对现有的运维人员进行培训或者聘用专业人员进行操作，因此，增加人员费用以及产品后续使用维护的其他相关费用也是一项不可忽视的成本增量。

但在具体的企业网络安全实践中，由于经费、能力等方面的限制，统一按照最高标准进行安全防护往往既不经济也不现实。多位从业人员在接受记者采访时建议，要以重要数据、关键位置为重点，结合企业具体规模与业务，构建多层次安全应急响应能力。

南京某软件开发公司安全专员则告诉记者，以一家员工人数一万左右的企业为例，如果业务内容与计算机代码和编程高度相关，其安全防护成本量级可能就达千万。对具体企业而言，To C的公司如若遭到攻击，可能蒙受的损失往往显著高于To B的公司：“如果因网络攻击而导致业务中断，To C企业的波及范围会更广，所需花费的维护成本也更高。”

多位安全行业从业者在接受记者采访时也提到，企业需要根据自身规模和需求，合理规划安全防护机制建设。北京某安全行业从业者认为，企业应该对生产领域、营收情况、客户圈、所涉赛道进行定位，并判断进行正常的生产活动是否需要特别强大的安全保障；除了升级软硬件系统，在管理中，以软件公司为例，需要保证代码不外流，开发和即将发布的产品不会被竞争对手获知，提升员工的安全防护意识，结合企业整体规模，也可以对所需安全成本进行基本的估算。

供应链与工控安全

“勒索软件已不再是个别企业的问题，它威胁的是整体的生产过程。”

有从业者在采访中指出，深入具体业务机理、渗透供应链与工控系统是企业，尤其是制造业企业在面对勒索软件时易被“牵一发而动全身”的主要原因。

数字经济时代，随着生产与经营的数字化转型，在数字产业化与产业化的驱动下，计算机系统和互联网已深深嵌入企业生产的过程中，产业链条上的不同生产单位也被数字化更为紧密地结合在一起。

但另一方面，网络漏洞与网络攻击的风险也更易通过数字网络蔓延，在软件开发领域，基础程序构件层面的代码漏洞可能蔓延至整个软件供应链；在工业互联网领域，企业生产也可能遭到勒索软件攻击等网络安全问题的直接威胁，对产业链运作产生影响。数字经济时代，保障供应链安全与工控安全已成为企业生产安全的重要组成部分。

据腾讯安全专家李铁军介绍，供应链攻击日益常见，软件需要不断进行版本升级更新，攻击者通过对软件开发环境进行入侵，在软件源代码中做手脚，将关键的软件组件或相应的软件升级渠道替换掉，通过软件供应链可以快速实现对恶意软件的分发，带来非常严重的后果。其攻击目的可能是情报获取，或是组建僵尸网络。有案例显示，入侵者通过供应链投毒，将恶意软件通过软件升级渠道分发到敏感或要害部门，使攻击者在目标网络中畅通无阻。

逻辑漏洞亦是安全防控的薄弱环节。上述南京某软件开发公司安全专员告诉记者，某些漏洞符合业务的正常逻辑，也没有显著的特征，但如果对权限管控等方面做得不够严谨，入侵者也可利用该漏洞获取企业信息，甚至直接控制服务器，且此类漏洞往往较难被安全设备发现和及时排除。

李铁军指出，应对软件供应链风险，有不同的解决思路和方法。已有一些安全产品可以做到利用机器人或爬虫软件，对当前互联网上的开源软件和工具包进行监测，一旦更新，在其尚未被大面积采用时，抢先进行安全检测，如果发现问题可以尽快进行处理；此外，也可以通过扫描器以对企业已使用的开源组件进行安全检查，分析其中是否存在安全漏洞，是否被低信誉的开发者篡改。还有一种方式是通过软件成份分析，对软件包的组件进行详细物料调查，以排除可能存在风险的组件，对高风险软件组件进行重点筛查等等。

在工业互联网领域，“工业控制系统安全”也成为近年来被频繁提及的概念。北京某安全行业从业者表示，随着云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合，工业控制系统逐步走向链接化、自动化与智能化，但也由此产生了一系列安全隐患。且由于其可能被攻击的目标重要性很高，涉及企业生产乃至基础设施建设，一旦被破坏，对社会生活或将产生影响，因而各行业对其重视度也在不断提升。

“主要难点之一是如何结合现有的企业生产状况，在保证产能和具体利润的同时，做到保障生产设备和生产活动的安全。”他表示。

李铁军认为，工业互联网系统影响国计民生，一些发生在国外的案例可以看出此类系统遭遇恶意攻击会产生巨大影响，比如工业系统瘫痪、城市运转混乱等。对于工业互联网安全，需要首先对安全管理现状进行摸底，熟悉自身设备和系统，采取对应的防范措施。对于已经相当高普及度的IoT设备，比如智能路由器、智能灯杆、监控摄像头等等设备，已经有较多分析报告揭露了广泛存在的僵尸网络风险，这些设备数量极其庞大，而且存在修复成本较高的问题（用户本身重视不够，或使用不当的情况较为普遍，有的情况下存在“除非更换新设备、否则风险一直存在”），这些都需要设备制造商和用户积极采取措施进行修补。

构建全方位安全体系

在当前网络安全形势愈发严峻的背景下，企业应如何做好安全防护，提升对勒索软件攻击等网络攻击的应对能力？

黄安松认为，当前仍有很多企业的网络安全建设主要还是从边界去防护，防止攻击从外部进入企业内部，但实际上有很多威胁恰恰是来自企业内部，已经潜伏在终端上的病毒、移动存储介质拷贝文件造成的感染以及人员不合规的操作都会增加网络安全风险；此外，部分企业在终端侧缺乏有效防护，传统终端防护产品基于特征匹配，对未知和变种病毒检测能力较差，可能对无文本等新型攻击方式缺少应对手段，且此类产品往往对终端资源占用较高，还会影响系统日常运行。

他进一步提出，后知后觉的被动响应越来越难以满足现有的防护需求，企业的安全防御思路应该发生转变，从应急响应模式转换到持续监测的安全思维，网络安全公司要帮助这些企业从数据中心视角解决安全问题，提供统一的管控能力，主动进行针对可能的攻击痕迹持续性监控和分析。

“应加强终端侧的安全防护，采用更先进的技术，提高对变种和未知病毒的查杀能力，同时构建多维度的防护，提升对新型攻击的防御水平。与此同时，安全产品需要尽可能轻量化，不能对业务系统以及正常办公造成影响。” 黄安松说。

梆梆安全服务中心实验室负责人吴建平则认为，企业构建自身防护体系，可以从邮件端和内部员工培训入手。首先，企业应建立一个良好的邮件防护系统，对外来邮件和内部人员邮件的内容和附件进行审计，通过邮件沙盒的形式让其先试运行，看是否存在病毒或恶意软件；此外，还要加强对开发人员、运维人员等员工的安全培训，防止下载一些来源不明的软件，其中就可能含有勒索病毒等恶意软件。

上述南京软件开发公司安全专员也强调，提升安全防范意识既是做好网络安全保障的基础，也是关键，部分企业的员工长久以来缺少安全防范意识，就当前勒索攻击逐渐铺开的网安形势和紧迫性而言，应尽快在日常管理中进一步加强：“一是做好钓鱼软件的防护，二是重视杀毒软件的作用，三是不随意使用普通文件保存系统密码等敏感信息，在此基础上，才能进一步做操作红线、数据保护红线相关的设置。”

“应对勒索软件风险，企业需要从自身实际情况出发，采取相应的安全方案。如果预算相对有限，要优先保证自己最核心的业务安全，做好数据备份。”李铁军强调，在保证核心安全运维团队具备相应专业能力的基础上，要对所有员工进行安全常识培训，在业务系统中力所能及地部署覆盖各个节点的安全防御系统，比如通过NDR系统做流量检测和响应，通过EDR设备做终端的威胁检测和响应。

他建议企业组建自己的网络安全专业团队，和专业安全厂商合作，部署全面的安全解决方案。需要特别强调的是，安全方案也需要专业团队动态维护，不是简单上一套技术方案，安全风险就可以解除了，安全防护和黑客攻击是长期的人与人的对抗：“在安全系统的建设和维护上，一蹴而就的想法是不现实的。”