全球数据勒索攻击威胁新特点及对策建议.docx

全球数据勒索攻击威胁新特点及对策建议 本文研究了国外应对勒索攻击的最新举措，并提出了我国推进勒索攻击治理法治化、强 化关键信息基础设施网络平安保护、加强组织或国际间合作等建议。 随着全球数字化进程的不断推进，数据价值越发凸显，网络攻防双方均围绕数据展开 角力，其中，对数据强行加密的勒索手段成为最常用且有效的攻击方式。2021年，数据 勒索成为全球网络攻击的主角，给多国带来机密数据泄露、社会系统瘫痪等重大危害，严 重威胁了国家平安。在此背景下，美国首次因网络攻击宣布进入国家紧急状态，并将数据 勒索攻击（以下简称"勒索攻击"）提升至与“911”恐怖袭击同等的级别；英国、澳大 利亚、日本、加拿大等国也纷纷将勒索攻击视为当前最大的网络威胁。毫无例外，我国政 府、医疗等机构也频遭勒索攻击，成为头号重灾区。赛迪研究院网络平安研究所在分析全 球数据勒索攻击新特点的基础上，研究了国外应对勒索攻击的最新举措，并提出了我国推 进勒索攻击治理法治化、强化关键信息基础设施网络平安保护、加强组织或国际间合作等 建议。 一、全球数据勒索攻击新特点 攻击目的：由单纯经济牟利转向实施数据破坏、窃取战略机密、谋取政治诉求等多重 企图，勒索意图愈加复杂化。 一方面，具有国家背景的黑客组织以"勒索"为幌子，以掩护其进行数据破坏、情报 猎取等真实意图，秘密发动网络战。2021年，伊朗国家级黑客组织Agrius对以色列实施 勒索攻击，外表留下了索求赎金的信息，但背后早已窃取了目标系统的重要情报数据，并 通过"随机字符覆写文件"机制，对相关数据进行了永久性销毁。 另一方面，对某一领域问题持有不同政治立场的黑客组织以"发动勒索攻击"为要 挟，谋求自身政治诉求。 攻击对象：由无差异的个人设备转向政府及公共部门、大型企业等具有关犍信息基础 设施属性的定向机构，目勒索策略日趋精准化。与个人设备相比，关基机构数据资产价值 较高，遭受勒索攻击的影响范围较广、后果较重，加之其局部具有网络平安保险的保障， 在遭遇重大勒索攻击下，"关基"机构的赎金支付意愿和能力均较强，也使其日渐成为勒 索攻击的焦点。为了制定精准化勒索策略，攻击者会在事前分析评估目标机构的IT平安建 设现状、遭受勒索攻击后的损失程度和赎金支付能力等，精心选择可为其带来最大投资回 报率的目标机构。 攻击主体：由个人或单个黑客团伙攻击转向层级清楚、分工明确的黑色产业活动，勒 索行为日益专业化。一方面，为实现价值多向变现，黑客团伙除自身发动勒索攻击外，还 会借由暗网和虚拟货币技术，对外出租或售卖成熟的勒索软件产品和服务，这促使数据勒 索"产业链"逐渐形成，上中下游的勒索软件开发者、勒索执行者，以及应运而生的赎金 谈判和赎金代管者之间相互协作配合，共同瓜分勒索收益，大大降低了攻击实施的技术门 槛。另一方面，不同黑客团伙之间开始着手构建具有精准配合关系的勒索商业联盟，通过 共享受害者信息等手段，扩大勒索商业模式，并进一步增强勒索攻击能力和隐蔽性。 攻击模式：由单一加密勒索转向多重勒索获利，勒索手段趋于多样化。当受害方采取 数据备份等防范措施，拒绝支付勒索赎金后，勒索攻击手段也在持续演化。目前，已出现 数据窃取外泄、DDOS攻击威胁、供应链攻击等多重混合勒索模式，以增加赎金数目并提 高受害机构的赎金缴纳率。例如，在加密之前通过在目标环境中安装可窃取重要数据并具 有DDOS攻击能力的后门程序，以"拒绝支付赎金那么外泄数据或发动DDOS攻击"为威胁筹码，逼迫受害方支付赎金，更有甚者直接在暗网倒卖被窃数据，以获得更多潜在利 益。 外应对数据勒索攻击威胁的最新举措 加快反勒索立法，强化应对勒索攻击的法治保障。目前，各国纷纷从立法层面推进勒索攻击治理，并重点关注以下四个方面的制度建设： 一是建立强制性勒索攻击事件报告机制。为加强执法部门对勒索攻击犯罪活动运作方 式及勒索软件威胁的全面了解，帮助其制定更好的应对措施，2021年，美国推出《赎金 披露法案》、《制裁和阻止勒索软件法案》和《勒索软件和金融稳定法案》，澳大利亚提 出《2021勒索软件付款法案》，均强制要求支付勒索赎金的政府部门、企业等实体必须 主动向指定执法部门提供勒索攻击及赎金等相关信息，包括实体名称和联系方式、攻击者 身份、勒索金额、加密货币钱包类型，以及已泄露的数据字段等。其中，《赎金披露法 案》还提出，要求美国国土平安部建立专门网站，为各实体提供报告渠道。 二是规范勒索赎金支付，防止缴纳大额勒索赎金引发的重复攻击。美国2021年在 《勒索软件和金融稳定法案》中明确要求，勒索赎金超过10万美元的，金融机构需获得 财政部特别授权才可支付赎金。此外，澳大利亚也在《2022犯罪立法修正案（勒索软件 行动计划）法案》中展示出对勒索攻击采取零容忍的立场，明确提出政府不允许向勒索攻 击罪犯分子支付赎金。 三是赋予执法人员〃数据中断〃权利，以帮助勒索攻击受害者在不支付赎金的情况下 防止潜在的数据泄露风险。澳大利亚《2021年监视立法修正案（识别和破坏）法案》赋予澳大利亚网络犯罪执法人员相关权利，即通过各种方式获取可能涉及犯罪活动的相关数 据，并随后对其进行破坏的权利。借助该权利，澳执法人员可通过各种手段探寻勒索攻击 者服务器的位貉,并删除存储在这些服务器上用于"双重勒索"的数据，进而有效打击由 勒索攻击造成的数据泄露。 四是对勒索攻击者实施更严厉的惩罚，增强勒索犯罪活动威慑力。澳大利亚《2022 犯罪立法修正案（勒索软件行动计划）法案》明确提出，将对勒索攻击者最高判处10年 监禁，对其“关基"实施勒索攻击的犯罪分子最高判处25年监禁。 三、三点建议 探索反勒索立法，积极推进勒索攻击治理法治化建设。我国现行法律还没有针对勒索 攻击的专门规定，可考虑借鉴美国、澳大利亚的做法，制定出台反勒索专项法案，明确 "受害者应承当主动披露和报告勒索攻击事件及赎金信息的相关义务、禁止某些特定类别 的受害者向勒索攻击方支付赎金”等勒索攻击应对路线，规范勒索攻击信息共享和赎金支 付；赋予执法人员反勒索攻击的“数据中断"执法权，以及从勒索软件攻击者手中没收、 扣押勒索费的相关权利，强化反勒索执法权力；明确实施勒索软件行为的刑事责任，加大 勒索攻击犯罪的惩治力度。 强化关键信息基础设施网络平安保护，增强勒索攻击防护能力和抵御弹性。 一是推进标准化勒索攻击应急响应机制建设与落实。借鉴美国、英国、欧盟的相关做法，从"事前"防范、"事中"监测遏制恢复、"事后"回溯修补等层面出发，研究制定 关于勒索攻击标准化应急响应机制及流程的相关指南文件，在此基础上，推动“关基"机 构严格落实应急响应机制建设，并定期组织"关基"机构开展攻防演练，保障重要"关 基"系统在遭遇重大勒索攻击时具备良好的弹性恢复能力。 二是加强反勒索攻击技术的研发与应用。组织开展底层加密技术研究与攻关，积极探 索零信任、AI等新型技术在勒索攻击防御中的应用。在此基础上，推动"关基"机构加大 在网络平安防护技术上的投入力度，比方借鉴美国、新加坡的做法，要求"关基"机构将 零信任技术整合至重要系统的平安架构和运营，利用零信任"层层认证"的特性，确保系 统动态应对网络环境变化，及时弥补传统边界防护模式在应对勒索攻击中的先天缺乏，降 低数据被勒索的可能性；推动勒索攻击"AI化"防御体系建设，利用AI技术实现勒索特 征识别检测、勒索病毒遏制根除、勒索赎金支付追踪等自动化防御流程。 三是提供反勒索专业培训、工具等平安方案支持。借助门户网站、线下宣讲等方式， 对"关基"机构开展网络平安培训，使相关人员了解勒索攻击威胁以及应对勒索攻击的防 护常识；官方提供勒索病毒检测软件、勒索攻击防护能力评估软件等简便易用的防护工 具。 加强组织或国际间合作，联合打击勒索攻击网络犯罪行为。 一是加强执法机构与政府部门、私营企业、金融机构等主体之间的威胁情报共享，联 合开展反勒索攻击专项执法行动，并积极推进勒索攻击黑色产业链的常态化治理。比方， 与私营企业合作，开展对邮件、即时通信工具等常见的勒索病毒传播渠道的监测，及时发 现勒索攻击入侵迹象；与金融机构合作，强化金融交易检测，对勒索赎金支付流程进行更 加严密的追踪、抑制和阻断。 二是加强国际合作，与国际同行开展联合行动，共同调查并破坏勒索攻击的全球勒索 攻击犯罪网络，加强针对勒索攻击者的起诉、跨境执法数据协调和跨境抓捕等。