Akamai：企业勒索软件防护的5个建议

近日，Akamai发布了新一期的《互联网现状》报告，报告显示，勒索软件威胁形势正在发生令人担忧的策略转变。与 2022 年第一季度和 2023 年第一季度相比，过去六个月中零日和单日漏洞的猖獗滥用导致受害者数量增加了 143%。多个勒索软件组的受害者在初次攻击的前三个月内遭受后续攻击的可能性几乎高出 6 倍。 对于企业来说，缩小企业网络安全环境中的差距是一场与时间的赛跑。

2023年是Akamai成立的第25周年，Akamai成立之初最大的一块业务是CDN，但在过去十年，安全方面的收入和增长速度与日俱增，据了解，Akamai 2022年全部的营收43%是来自于安全的业务。如今，Akamai将更多的投入“云”布局，通过Akamai Connected Cloud平台，把云计算、云安全和云分发完全整合在一起，这样使得客户可以把平台来作为接口同时满足企业对内容的计算、分发和保护防范方面三个核心的需求。

事实上，在过去的25年的历程，安全对于Akamai一直是特别重要的主题：2010年，Akamai推出了集成WAF和DDoS防护解决方案；2014年收购Prolexic，专注于流量清洗，保证架构安全，包括抵御历史上最大记录的1.44TDDoS攻击；随后Akamai相继收购了Guardicore，负责网络微分段的解决方案以及NeoSec，致力于API行为分析的API安全解决方案。也就是说，Akamai一直在通过不断研发、创新和收购的方式，来完善自身的安全产品线。

Akamai北亚区技术总监 刘烨

“可能不熟悉的Akamai的产品的使用者，跟我们谈到的还是一个独立的解决方案。其实解决方案只是Akamai其中的一部分。”Akamai北亚区技术总监刘烨在接受笔者的采访时强调，作为一个平台服务商和技术合作伙伴，Akamai所提供的产品和服务有五个关键基础：全球智能平台、安全解决方案、安全情报、安全服务以及支持与教育。

其中安全情报，包括勒索软件在互联网的传播趋势、行业洞察以及客户画像。这些都来自于Akamai平台上承载的大量的数据，几乎每天要处理750TB的攻击数据和日志。

“很多客户给我们的反馈是说：‘其实处理这些安全问题的时候，有一个特别被动的地方就是我们不知道攻击者的重点是什么。’这恰恰是安全情报的核心价值所在。”刘烨说。

网络勒索的开始往往始于系统存在漏洞，当点击了钓鱼软件或者陌生的链接，它会篡改你的用户名跟口令，收集个人隐私信息。然后通过横向移动，以不重要的服务器作为跳板，登陆到重要的服务器，拷贝加密数据，最后发勒索邮件。

过去一年，被勒索受害者的数量有非常显著的提高，尤其是以制造行业为主。原因主要有三个方面：首先，制造行业里面有很多的系统和服务的软件更新，需要大规模的工业设备的支持；其次，制造行业的图纸、数据和知识产权是非常机密的，所以每当发生勒索，受害者付费的概率会比较大；最后，制造行业有大量的IoT设备接入，这些IoT设备连入互联网就会在网络里面有自己的系统，甚至有自己应用的终端，但是这些终端的安全在过去并没有获得安全防护，从而增加了勒索软件的攻击面。

“我们一直认为，越大越有钱的公司，越容易被勒索。其实事实不是这样的，65%的勒索攻击都是针对5千万美元之下营收的公司。”刘烨表示，这跟公司对于安全能力的重视程度以及整个安全体系的架构相关。越大的公司对于安全的重视程度相对来讲会更高，有专职的安全人员和安全团队负责网络安全。

所以，对于企业的安全防护，刘烨总结了5个方面的建议：全面了解自身攻击面，指的是清楚了解应用系统或者说网络系统以及资产有哪些相对薄弱的地方；制定可靠的流程/行动手册，所有的攻击，不一定仅限于勒索软件，Web应用攻击或者DDoS攻击都是一样的，企业可以按照手册流程做，方便企业在紧急情况发生时可以有效应对；监控出站流量，确定是否存在威胁指标（IOC）。从日志、IP里以及不同的系统观察入侵指标；确保法律团队随时关注立法动态。当确定系统已经被攻陷，而且已经收到勒索邮件，第一件事除了要跟技术团队报备，还要及时与法务团队打招呼；最后，要开展修补、培训、防护。在培训方面，不仅是指的针对专业IT人员的培训，还要对所有员工进行培训，提高他们的安全防护意识，从多个层面防止勒索软件攻击。

值得一提的是，对于Akamai来讲，已经有完整的零信任解决方案。包括：Akamai Guardicore Segmentation（微分段），把网络分成了不同的逻辑区。当某一个没有客户敏感数据的服务器被攻陷时，比如Web服务器，企业可以保证不能通过它去访问其他重要的数据和系统。

与此同时，还包括用户远程访问Enterprise Application Access（Zero Trust远程访问）、 Secure Internet Access Enterprise（安全Web网关）、以及多因子认证（Multi Factor Authentication）和安全评估与咨询服务(Akamai Hunt)。

“通过这一系列的解决方案，Akamai希望能够帮助客户实现无论是东西向的流量，还是南北向的流量，都有方法去监控，防止勒索软件的传递。”刘烨说。

写在最后

“作为一个安全的从业者，每当看到任何一封邮件让我点链接之前，我都会提醒自己：是否要点击？是否要输入密码？”刘烨坦诚，企业不仅要逐渐增强专业安全团队的能力，而且要注重培训非IT人员的安全意识，这是一个长期的过程。