2024年,网络安全事件层出不穷,影响危害愈演愈烈,尤其以勒索攻击为代表。
据国外知名咨询机构Verizon《2024年数据泄露调查报告》的数据显示,经济利益驱动下,高ROI的攻击手段备受青睐,攻击者愈发倾向使用能高投资回报率的攻击手段。其中最为严重的就是勒索攻击,占据高ROI攻击事件的近三分之二。
另外,根据联邦调查局互联网犯罪投诉中心(IC3)勒索软件投诉数据显示,由勒索软件和其他勒索行为导致的损失成本中位数为4.6万美元。
企业虽然在不断地加固“防护盾”,但“道高一尺,魔高一丈”,勒索攻击也随之生变,尤其是AI技术的加持下,勒索攻击也越来越“狡猾”。自此,勒索组织发出勒索攻击,企业反勒索对抗,呈现了一场又一场像“猫鼠游戏”般的较量。
企业应该如何在这场较量中“稳操胜券”?建立“反勒索”思维是第一步、构建“有韧性”的、全面的制度+技术体系至关重要,而具体到技术、能力层面,企业又如何应对不断升级的勒索攻击?
在这样的背景下,应对勒索攻击的检测和防护是企业必然需要具备的能力。
深耕网络安全赛道多年的瑞数信息给出了更为明确的技术方案——“用AI来对抗AI”,勒索攻击的检测和防护也可以更智能。
一、勒索攻击与反勒索的“猫鼠游戏”
勒索攻击与反勒索防护之间的关系,正如一场复杂的“猫鼠游戏”。在捍卫博弈中,“猫”与“鼠”分别扮演着进攻与防御的角色,双方不断围观、预测、规避与反制。
早期的勒索病毒倾向于对整个文件进行全局加密,导致文件内部的混乱程度极高,极易被传统检测工具识别。
传统的勒索防护手段通常依赖于检测文件和数据的“无序性”,即通过分析加密后文件的混乱度来判断是否遭遇勒索病毒。
然而,随着勒索攻击者的技术仍在不断升级,不断调整加密策略,使得传统检测方式面临严峻的挑战,攻防之间始终处于动态博弈之中。例如采用跳跃式加密方式,仅对文件的某些部分进行加密,使文件整体的混乱程度变化不大,从而规避传统检测工具的判断。
另外,不同类型的文件本身存在差异性。某些类型的文件在未加密状态下就具有较高的“无序性”,这就需要防护工具针对文件类型进行细粒度的分类和建模。
更为重要的是,AI技术的发展,不仅提升了网络安全防护的技术水平,也让勒索攻击手段变得更加复杂,目标愈发明确,攻击更加隐蔽,更加难以防范,危害也日益增大。
随着勒索攻击专业化、团队化运作,勒索攻击逐步发展出五大新趋势:
●新一代勒索攻击采用low and slow(高隐蔽且高持久化)的攻击手法;
●多重勒索模式引发数据泄漏风险;
●病毒变异较快,攻击路径多元化,易传播;
●勒索病毒扩散渠道转向web应用漏洞。
●供应链成为勒索攻击的重要切入点;
在2024年发生的勒索攻击事件中,不少案例都呈现以上五大特征。如2024年6月出现的Brain Cipher勒索组织,在短时间内在印度尼西亚发起攻击导致Brain Cipher。最新消息显示,他们攻击了全球最大的会计师事务所之一的德勤Deloitte英国公司,并窃取了超过1TB的敏感数据。
Brain Cipher采用典型的双重勒索,除了加密文件外,还会窃取敏感数据,并威胁称,如果要求得不到满足,他们就会公开这些数据,对攻击企业造成严重影响。
对于企业而言,如何做好勒索攻击的检测和防护则更为艰难。不过,深耕网络安全多年的瑞数信息有“巧囊妙计”—— 数据安全检测与应急响应系统(DDR)。
二、瑞数信息:AI赋能下的“反勒索之盾”
为什么说瑞数信息的DDR解决方案是面向复杂勒索攻击的“巧囊妙计”?
这是DDR的产品架构。
不难发现,瑞数信息DDR解决方案的底层是强大的数据安全底座,通过永久增量数据获取、不可篡改的安全存储和动态隔离功能,保证数据的完整性和安全性。
检测引擎中引入了AI智能能力,借助机器学习和熵值计算技术,对文件和数字根据库的动态变化进行深度检测,精准识别异常行为与潜在威胁。
在整体架构上,DDR实现了从事前数据风险管理、事中智能威胁采集到事后快速应急响应的三重保障。它不仅融合了最前沿的信息安全技术,还充分考虑了实际操作中的灵活性与易用性,帮助为企业构建起一块“坚不可摧”的“反勒索之盾”。
具体来看:
1、 数据安全是底层逻辑
瑞数DDR以“数据链接+数据安全支架”为基础,搭建了支架的数据安全防线:
· 数据链接:支持多种数据接入方式,通过永久增量和增量合成的方式实现离线数据的获取,将企业生产数据高效转化为离线检测资源,最大限度减少检测对生产环境的影响。
· 数据安全底座:提供不可篡改的存储机制(如WORM功能),确保备份数据仓库不受攻击影响。同时,支持快照存储、云对象存储等用途的灾备技术,提升数据存储和恢复的灵活性。
· 动态变化回顾:利用文件与数据库的动态变化追踪技术,对备份数据的每日增量部分进行深度分析,快速定位被勒索攻击的损坏数据,检测准确率超过99%。
通过数据安全基础的强大功能,瑞数DDR能够有效隔离并保护备份数据,为勒索攻击的快速检测和恢复提供保障。
2、融入AI能力的盾牌
瑞数DDR结合AI技术创新出“人工智能安全检测引擎” ,集成了文件健康体检和数据库健康体检的功能,从而提供了全方位的数据保护措施。
· 在线检查 + 离线深度检测:结合熵值计算与机器学习算法,分析勒索加密行为特征,以应对“low and slow”模式下的勒索攻击。通过对文件和数据库的熵值方差建模,实现表级、字段级深度检测,并联动数据安全底座,实现深度检测和异动监控,提升检测精准度的同时,可以迅速感知异常。
· 自主学习进化:面对跳跃式加密、局部加密等复杂手段,瑞数信息持续追踪勒索组织的加密方法,及时补充检测引擎中。其收敛性机器学习引擎能够自我学习与进化,使得能够检测模型在面对变化多端的攻击手段时,也能保持高度准确性。
AI不仅增强了系统的自适应能力,还通过智能学习持续优化检测引擎,确保检测效率和准确性始终保持在高水平。
3、DDR为企业数据安全打造了“三重防线”
瑞数信息通过“事前数据风险管理、事中智能威胁感知、事后快速应急响应”构建了全面的安全闭环:
· 事前预警:通过动态沙箱功能模拟真实生产环境,精准定位潜在的攻击路径。
· 事中防护:实时监测数据的异常变化,包括文件内容与权限的偏离,确保威胁在早期阶段被遏制。
· 事后恢复:系统通过损害评估报告及修补建议,结合行为分析和日志分析等手段,确认需要恢复的时间点,将数据恢复时间控制在分钟级,以确保被加密数据的恢复时间在业务可承受的范围之内。
这三道防线的建立,有效对抗勒索攻击,协助企业在快速恢复系统的正常运行,将勒索攻击造成的损失降到最低。
瑞数的DDR实际应用中展现出了其强大的灵活性和适应性,目前这套解决方案已经在不少行业得到实践验证,从高精制造业到金融、能源、电商互联网等,打造了了不少标杆案例。
|
