专题·勒索软件治理 | 对石油行业勒索软件治理的思考 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 昆仑数智科技有限责任公司刘磊万娟韩雪王岩

勒索软件攻击已经成为全球最严峻的网络安全威胁之一，仅 Lockbit 勒索组织在 2023 年就发起了千余次攻击，目标遍及全球范围内的金融、交通、能源、医疗等社会基础服务设施。埃森哲、波音、台积电、富士康等至少 2000 家企业或政府组织都是受害者。近期，施耐德电气连续数月遭受 Cactus 勒索软件团伙的攻击，导致其客户工业控制和自动化系统的敏感信息泄露。同时，美国汽车软件供应商（CDK Global）也连续遭遇勒索攻击，并支付了超过 2500 万美元的赎金。勒索软件攻击的范围越来越广，索要的赎金越来越高。此外，随着石油行业加速投入数字化转型和智能化发展的浪潮，积极培育新能源、新材料等战略性新兴产业，加快形成新质生产力，数据集中化、IT/OT 融合以及人工智能等新技术创新，使得行业高价值数据增多、网络互联范围扩大、安全缺失的问题愈发突出，石油行业也因此成为勒索组织紧盯的重点目标。

一、勒索软件攻击的特点和趋势

勒索软件攻击的高收益导致勒索组织层出不穷，其目标选取愈加精准、攻击手段专业化，使得防范难度越来越大。2017 年 5 月，WannaCry 通过“永恒之蓝”漏洞在全球范围大爆发后，黑客们发现这种简单粗暴的勒索方式可以快速带来巨大的收益。2019 年 6 月，GandCrab 勒索组织发表官方声明，称团队仅用 16 个月就获取了 20 亿美元，并在一个月内关闭了其勒索软件即服务（RaaS）业务。这无疑打开了潘多拉的盒子，直接导致勒索组织及其攻击行为的爆发。一方面，黑产从业者数量持续上升，传统的“灰黑”产业中均可看到勒索软件的身影，老的勒索家族依旧活跃，甚至在治理后又死灰复燃，而新的勒索组织不断涌现，数量高速增长。另一方面，勒索组织专业化程度快速提升，高额利益驱使勒索组织快速迭代勒索软件，为对抗安全软件而不断升级技术。勒索组织内部分工精细，甚至可以针对特定目标定制勒索工具和策略，形成了 RaaS 产业链。

勒索软件攻击从来不是孤立的，而是众多网络攻击中的一种。勒索软件攻击遵循杀伤链框架的七个阶段：侦查跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令与控制以及目标达成。不同的是，勒索软件攻击使用的武器是勒索软件，目标是加密或破坏数据并索要赎金。勒索软件攻击具有以下特点。

一是聚焦高价值目标。与过去的“广撒网”相比，勒索组织选取目标更具针对性，通过侦查跟踪，评估目标数据的重要性和支付能力，锁定高价值行业，成功后索要的赎金根据目标的价值水涨船高。

二是对抗能力更强。过去，勒索软件传播主要依赖钓鱼邮件，现在则越来越多地利用高危漏洞，甚至利用零日漏洞进行攻击，难以被监测和发现。针对重要行业，勒索组织为了提高成功率和影响面，深入研究特定行业的业务、设备、数据以及安全防护情况，升级安全防护绕过技术，并采用软件供应链或多种手段的组合进行攻防对抗。

三是覆盖范围更广。勒索软件以往主要出现在 Windows 平台，目前已在 Android、MacOS 和 Linux 等操作系统上出现。同时，勒索软件的攻击对象不仅限于计算机，在数据库、各种嵌入式设备和专用设备也被曝出遭受勒索软件攻击。

人工智能技术的迅猛发展给各个行业都带来了前所未有的变革和进步。与此同时，勒索组织也开始利用人工智能技术，快速发现目标系统中的漏洞并创建勒索软件，甚至实现勒索软件攻击的自动化，从而减少攻击成本、缩短攻击时间、降低攻击门槛，加之巨额利润，必将导致勒索软件攻击的泛滥。

二、石油行业数字化转型面临的新风险与挑战

近年来，物联网、大数据、云计算、人工智能、区块链等技术创新加速应用于各个行业，我国及世界主要国家和地区纷纷加快数字化转型的战略布局。推进数字化转型是我国“十四五”时期建设网络强国、数字中国的重要战略任务。随着行业数字化转型的快速推进，网络安全工作，尤其是应对勒索软件攻击时，面临着一系列新风险和挑战（如图所示）。行业内大型企业无法承受勒索软件攻击带来的一系列负面影响，比如大规模数据泄露或重要业务遭破坏而停摆等。而勒索组织一直对行业虎视眈眈，窥伺时机采取行动，一旦勒索软件攻击成功，将对企业乃至整个行业造成重创。

图石油行业数字化转型面临的新风险与挑战

首先，行业数字化转型推动了生产活动的智能管控，实现了生产作业全要素、全过程的全面感知、实时分析、动态调整和自适应优化，这要求具备大量的实时数据采集、存储和分析能力。数据湖仓一体、大数据分析、虚拟/增强现实等技术广泛应用，使得数据集中化程度加大，数据量增多、数据种类增多，安全管控的难度巨大，导致高价值数据被加密或泄露的风险加大。

其次，IT 与 OT 的融合是行业数字化转型的关键技术。为提升生产效能，企业需要加大生产作业现场的数字化、智能化改造，推动经营管理、现场管理与作业控制的纵向集成，打通 IT 与 OT 成为必然。这种变化使得勒索软件的威胁从 IT 网络延伸到 OT 网络，攻击范围扩大，防护难度增加。

再次，新质生产力的生成促使创新业务规模、业务关联度及业务架构复杂性不断提高。人工智能技术的广泛应用，智能钻机、加油机器人等具备自动感知、执行、交互、决策能力的智能设备层出不穷，依赖无线通信、云边端的协同程度不断增加，导致对网络的依赖性增加，控制节点也随之增加。这要求网络安全防护技术水平不断提升，否则将难以抵御勒索软件的攻击。

勒索软件攻击事件持续上升，国内外企业、政府和科研院所等饱受其害，对社会经济生活的影响不断加大。勒索组织最初只进行数据加密或系统锁定的勒索，随之产业化和规模化的发展，转变为使用数据泄露、诈骗恐吓等手段进行勒索，甚至实施破坏性攻击。对行业内大型企业而言，大规模的数据泄露不仅会造成严重的经济损失，还会产生巨大的负面影响，甚至面临名誉损失和法律风险。勒索组织正是抓住了企业的这种心理，通过入侵获取企业敏感数据，敲诈企业支付巨额赎金，否则将数据公开出售。除此之外，勒索软件攻击造成的重要业务应用停服也是企业无法承受的风险。虽然大部分勒索软件攻击是为了高额赎金，但也存在一些有组织攻击背景的团伙，其目的是破坏或摧毁关键信息基础设施或重要系统。重点行业由于其战略地位，长期经受高级持续性威胁（APT）的潜伏攻击，部分 APT 组织实施网络攻击、窃取企业数据之后，为了消除痕迹，会进一步植入破坏性的勒索软件，将数据加密，其目的是打击破坏目标基础设施，使其无法修复，并掩盖其真实的攻击意图。

三、石油行业勒索软件治理的建议

应对全球范围内持续增长的勒索软件攻击，各国纷纷开展针对勒索组织的执法行动，已有至少 11 个国家的执法机构对 Lockbit 勒索组织开展联合执法。虽然执法有一定的效果，但勒索软件攻击数量仍在上升。作为国家能源战略的重要支柱，石油行业频繁受到勒索软件攻击，治理工作迫在眉睫。

一是深入业务，建立弹性。企业的第一要务应是识别关键业务，加强关键业务链上系统和数据的安全防护，避免一味追求大规模、大集中而引入未知的安全隐患；关键业务应建立弹性，具备敏捷的基础架构，具备监测和发现安全威胁的能力以及完善的应急预案，在确保业务可用性和连续性的前提下，能快速适应和应对风险。网络安全应护航信息化、数字化，决不能成为业务的绊脚石。企业需将网络安全与业务目标紧密结合，深入关键业务，将网络安全嵌入数字化转型流程，从事件驱动转化为内生安全，达成网络安全弹性，助力数字化转型提速增效。

二是主动防御，管理先行。由于网络安全工作看似长期“只投入、无产出”，部分企业管理懈怠、态度应付，单纯依赖事件驱动和合规要求，采取修修补补的被动策略。面对勒索软件攻击，如果仅依靠事后被动响应，往往无济于事，即使缴纳高额赎金，数据解密的可能性也微乎其微，且后患无穷。因此，应对勒索软件攻击时应主动出击，提前预防，自上而下高度重视。

三是全面防护，打牢基础。随着国家对网络安全的日益重视，行业内大部分企业经过十多年的网络安全建设，在网络、终端、应用等方面具备了基本的防护能力。虽然勒索软件攻击具有其特殊性，但仍是网络攻击的一种形式，基础安全防护方案对已知勒索软件攻击的防御相对成熟。尽管勒索软件与安全软件的对抗会持续加剧，但面对网络广谱攻击，提升勒索组织入侵企业的门槛，降低被勒索的概率，仍需持续性地夯实网络安全防护基础。

四是重要数据，及时备份。对于数字化转型中涌现的大量数据，企业需要做好数据聚集地的数据分级分类工作，这是数据安全管理中不可或缺的一部分。由于勒索软件会将联网的备份系统和数据加密，因此在对重要系统和数据进行防护的同时，应定期采用异地、网络隔离等多层次数据备份策略，并合理管理备份策略，确保数据的安全性和可恢复性。

五是应急处置，快速响应。部分企业由于所属企业众多，互联网暴露面较大，安全维护成本较高，工控类系统版本较低，不能及时安装补丁等客观因素，导致其网络更容易被勒索组织入侵。如果受制于现实条件而易遭受勒索软件攻击，应建立应急响应和恢复处置能力。事件发生后，能第一时间响应，切断传播途径，按照应急预案快速恢复业务和数据，尽可能将损失控制在最小范围。

六是拒付赎金，提升意识。在遭遇勒索软件攻击时，企业内部普通用户掌握的数据的重要性往往低于系统管理员和系统运维人员等高权限用户。普通用户大多选择放弃数据重装系统，并绝不接受勒索，而企业的高权限用户则相反，数据的高价值可能让企业受害者倾向于支付赎金以挽回数据。很多案例证实，即使支付高额的赎金，数据解密的可能性也很小，为了惩治勒索犯罪团伙，原则上不建议交付赎金。企业内个人终端应基本要求使用桌面安全软件，配套安全意识教育和钓鱼演练，以提高攻击门槛；对于高权限人员应重点关注，加强日常安全管理，定期进行安全意识和技能培训，开展各种演练活动。

（本文刊登于《中国信息安全》杂志2024年第8期）

分享网络安全知识强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图了解详情