周鸿祎：从勒索软件攻击看数字时代网络安全新挑战

文/老周开讲

        5月26日，在2021中国国际大数据产业博览会“围绕数字经济创新·共建数据安全生态”论坛上，360集团创始人、董事长周鸿祎发表演讲时表示，当前，随着整个世界都在加速数据化，勒索攻击也正在成为数智时代的“死对头”。

以下是老周的发言摘要：

勒索攻击成数据安全上的巨大威胁

        近期，美国油管公司燃油管道遭受勒索软件攻击，受到全社会的关注。央视对此问题进行了连续三天的报道，令人震撼。大家先前普遍认为勒索软件是病毒的一种，中毒之后杀毒就好了。但是，为什么今天黑客组织勒索美国一家油管公司就导致美国东海岸燃油供应出现问题，为此美国交通部还宣布进入紧急状态？

        这件事情反映了数据安全领域的巨大趋势，值得关注。

        其实勒索软件这个名字并不恰当，没有描述出其危害性。时至今日，更应该称之为“勒索攻击”。

        举例来说，通过密码对数据进行加密处理，数据即使被别人偷走也没有用，因为旁人并不知晓密码。勒索攻击反其道而行之，并不试图偷走你的数据，而是对数据进行二次甚至多次加密。就如同，我们把钱放在保险柜里面，小偷窃取的时候并不企图撬开柜门，而是做了一个更大的保险柜。这样一来没有新保险柜的钥匙，这个钱我们同样无法使用。

        为什么一些网络安全传统防范方法对付勒索攻击的时候显得无效？这是因为有人把数据加密了，只要加密的位数足够多，加密强度足够大，最牛的网安公司也没有办法解决。

        对于勒索软件，这几年大家可能感知不多。被勒索的人不会满世界宣告，只会悄悄地交赎金了事。然而，有些案例中交了赎金，攻击方也不会交出“密码”。勒索软件这几年呈爆发式增长，有报告预计，2021年每11秒将发生一次勒索攻击。据我们了解，最近几年国外发生的勒索软件攻击事件攻击金额都在1000万美金以上。从事勒索软件行业比从事安全行业的利润要多数百倍，导致很多人前赴后继，逐渐形成了犯罪手法中一种主要的商业模式。

        国内的形势也不容乐观，仅2020年一年内，360就收到并处理了约3800起勒索软件攻击事件。举个例子，医院数据库被加密，病例调不出来，住院记录也调不出来。病人没有办法看病买药，人命关天，医院不得不交赎金。这种事件危害性巨大。有句俗话：“外行看热闹，内行看门道。”这次美国油管公司出事，大家热烈讨论。但是内行看门道就倒吸了一口冷气，勒索攻击可能会成为未来数据安全一个非常大的威胁。

勒索攻击是APT攻击，被严重低估

        这次油管攻击事件实际上是⼀个披着勒索软件外衣的定向攻击，本质上是国家力量之间发生的APT攻击（Advanced Persistent Threat）。今天的勒索软件已经完全不像先前的病毒时代，软件像病毒⼀样四处流传，不⼩⼼中招，个人交点赎⾦就可以了。现在的勒索软件在完全向着APT演化。

        一、有组织犯罪更加高效，已形成商业模式

        勒索软件可以形成⾼额收⼊，一般勒索软件组织有上千万美⾦甚⾄更⾼的利润，这使得他们可以招揽最优秀的网络安全专家，买到更新的漏洞，甚⾄买到美国的网络武器。这种有组织犯罪更加⾼效，是过去小病毒、小木马、小黑产不能比拟的。

        二、攻击目标由个人转向政府、重点企业及重点设施

        前些年，勒索软件攻击还普遍针对个人，个人电脑中招大不了格式化，勒索个⼈，个人也没地⽅去换⽐特币。所以对个⼈的勒索软件攻击这些年全部转向了政府、企业、基础设施，特别是能源、交通。最近，国内两家知名房地产公司也遭到了攻击。简而言之，谁有钱，它就奔着谁去。美国油管公司的攻击事件证明，基础设施未来会成为重要的攻击对象。

        三、通过破坏数据导致基础设施停摆

        过去谈公共基础设施，必谈工业互联⽹安全，谈震⽹事件，如何攻击PLC控制器、如何攻击⼯控机，但是随着数字化的发展，勒索软件打开了⼀个新思路，不⽤去攻击物理设施。由于物理设施的运转也是依靠大数据的，所以只要攻击大数据一样能对基础设施带来伤害。⽐如这次美国油管公司事件，最早也以为是输油管道控制器被攻击了，但其实是它的财务数据记账系统被攻击了，无法记账就导致送油无法被记录，最后导致停摆。由此可见，⼤数据在现今时代越发重要，未来世界都是数据化的，⼀旦大数据被攻击将会造成非常严重的后果。

        四、攻击手法定向化、持续化

        从攻击⼿法来说，现在勒索软件绝非随意大面积散播、广撒网，而基本上都是有组织地瞄准⼀个单位，定向的进⾏⻓时间的谋划，进⾏持续化攻击，找出薄弱的攻击点，最终实现致命⼀击。所以，我建议安全行业应该把“勒索软件”中“软件”这两个字去掉，把它定义成“勒索APT”，这样才能对其危害性有更加充分的认识。

        五、技术手段更加专业

        勒索软件已非普通的病毒程序，背后都是⼤活⼈，开始利⽤0day漏洞或者⾼危漏洞，甚⾄通过供应链攻击的⽅法。⽐如，美国前段时间发⽣⼀次叫太阳⻛的供应链攻击，很多公司⽤的⼀家⽹管设备被⼈在代码⾥植⼊了后⻔，使得很多美国国防单位、⼤型私营公司，包括⼀些安全公司，都被⼈自动注⼊了后⻔，黑客通过后门就可以长驱直入，攻击进来之后再对数据进⾏处理、加密。所以，不能再把勒索软件看成常规的恶意软件或者是⼀般的⽊⻢病毒。

        六、加密货币支付方式，导致追踪困难

        勒索金额⾼倒也罢，现在勒索软件团伙赎金只接受⽐特币。⽐特币作为⽆法追踪的数字货币，犯罪集团都非常喜欢。这就导致⽆论是美国的FBI还是中国的⽹警，交完赎⾦，根据赎⾦地址也找不到谁收了钱。在被勒索软件攻击以后，如果算法做得很拙劣，代码写得不好，逆向也可有可能把它解开，但是如果是⽤了⾼强度的加密算法，中了招就确实是没有办法了。

大数据驱动业务或导致物理世界更脆弱

        数字时代以“大数据”为中心，大数据驱动业务。未来，医院没有大数据不能工作。医院建立了人类基因库，人类看病依据基因库，如果基因库被加密了，医院会停止运转。再比如现在的智能汽车，连网后一旦云端大数据被加了密，正在行驶的智能汽车或许会被逼停。

        勒索软件攻击以数据攻击为目标，以业务中断为攻击效果，有矛并有盾，有盾必有矛。所以我认为大数据时代如果任由勒索攻击肆意妄为，不能找到一些有效解决方法，将会成为一场灾难。

        上边所提到的，不过是数字化时代网络安全新挑战的冰山一角。当前，数字化已经变成中国的国家战略，我国提出双轮驱动的思想。数字产业化鼓励数字产业快速发展，而国家更看重产业数字化，把实体经济，如制造业、传统行业、工业、智慧城市和车联网等与大数据、云计算、人工智能相结合，从而产生“转基因”。基因重组，产生化学反应颠覆性的结果。然而，这也带来新的安全问题。

        数字化4个特征：一切皆可编程，万物都可互联，大数据驱动业务，软件定义世界。软件定义汽车，软件定义网络，软件定义通信，软件定义货币。在这种情况下，软件有漏洞就可以被攻击，万物互联会导致很多虚拟世界的攻击蔓延到物理世界。试想一下，如果交通枢纽碰到问题，交通灯乱了或者航空公司出不了票，整个社会是什么样子？一切供应链安全，包括数据泄露、数据污染、未来老百姓吃喝玩乐、衣食住行，甚至整个国家的运转、城市的运行以及基础设施、工业的运转都架构在脆弱的网络软件和数据之上。这时，如果不能应对新的安全威胁，数字化发展越快，安全积累的风险越大。

建立安全大脑，应对新挑战

        传统的安全手段已经无法应对新时代网络攻击带来的新挑战。当前，安全体系不健全，防火墙和杀毒软件都是碎片化的，大家各管自己的一亩三分地，无法看见高风险的攻击。世界各国的网络安全都只作为信息化、数字化的附属品，没有得到真正的重视。

        对此，我呼吁要建立国土防控系统，在国家一级、行业一级、城市和区域一级建立相应的体系，用更强大的安全能力赋能各个单位并帮助各个单位做好安全防护。如果大家还是各自为政，只装一些网络安全软件，这对付小流氓、小木马没有问题，但很难应对高级攻击。

        地方政府应该建立自己的安全能力体系，建立自己的安全基础设施，例如建立安全大数据分析，网络地图的测绘中心，威胁情报分析中心，城市级、行业级、国家级的安全运营中心。

        还有一个问题需要反思：威胁情报互联了吗？广州的一个单位遇到了问题，它在北京的分支机构知道吗？答案恐怕是否定的。因此，需要建立一套安全能力体系、一套安全基础设施，能把发生在每个点的安全事件收集起来，通过统一的大脑式分析，把攻击的雏形描绘出来，在发生攻击的时候能真正感知到。

        过去十年时间里，360跟全球的黑客组织都交过手，取得了一定的成果。我们也帮助国家定位了在境外44个国家级的黑客组织，监测到2700多次网络攻击。

        这次，我们在贵阳建立一个安全大脑的中心枢纽节点，希望跟贵阳合作，能够把当地的安全运营体系、安全运营团队、网络安全公共服务建立起来，覆盖贵阳大数据产业，为大数据产业保驾护，也欢迎大家都来加入我们这个体系。