勒索軟件運行得非常猖獗。SonicWallGRID威脅網絡公司發現,勒索軟件攻擊從2015年的380萬次增加到2016年的6.38億次。據Radware報告,49%的企業在2016年遭到過勒索軟件攻擊。攻擊者通常提出要一些網絡貨币——一般是比特币,作為交換來提供解密密鑰。
這引發的一個問題是,如果比特币不再存在,勒索軟件攻擊是否會減少呢?安全專家的回答是“絕對不會”。他們認為網絡犯罪分子會轉向使用其他匿名支付方法來繼續敲詐。
Absolute全球安全戰略專家RichardHenderson說:“除掉比特币以阻止勒索軟件敲詐就像美國政府采用停止使用100美元鈔票的方法來試圖阻止毒販洗他們的髒錢。這不是正确的解決方法。這能讓那些從勒索軟件中掙了大錢的網絡攻擊者立刻停下來嗎?當然,但也隻是短暫的一瞬。”
他補充說:“攻擊者隻會轉向采用另外幾十種流行的虛拟貨币,或者轉向其他容易洗錢的工具,例如預付信用卡。還記的嗎,不久之前GreenDotMoneyPak是網絡犯罪分子最喜歡用的。攻擊者隻會去尋找其他獲利的方式。”
盡管支付贖金讓人灰心喪氣,而很多安全專家說,切實減少勒索軟件的唯一辦法是用戶教育。
Henderson說:“我們很難輕易地擺脫勒索軟件。隻要人們還在努力讓他們的設備打好補丁以受到保護,隻要有人打開不該打開的附件,或者點擊那些不該點擊的鍊接,攻擊者就能夠感染機器。”
他說,結束勒索軟件禍害最務實的解決方案是教給人們安全保護最基本的原則:不要訪問您懷疑可能是惡意或者冒名頂替的網站,一旦有更新就立即給您的機器打上補丁,不要打開您電子郵件中的附件。
他說:“如果您意外地收到您的兄弟或者阿姨的電子表格,那麼不要打開它。打電話給他們,問問是不是他們發給您的。旅遊公司不會出乎意料地向您發送電子郵件,告訴您有緊急路線更新。您的銀行或者PayPal不會通過電子郵件要求您‘确認您的信息’。也許最重要的是,您必須對您最關鍵的文件和數據進行冷備份。在惡意軟件成為嚴重的問題很久之前,我們就一直在這些方面提醒人們。”
雖然除掉比特币不會解決勒索軟件問題,但應該弄清楚為什麼比特币在犯罪分子中如此受歡迎。犯罪分子把比特币看成是“天降财神”。它支持匿名支付。您不能追蹤誰支付,或者支付給了誰。當然,它還是一個完全數字化的支付方式,任何人都可以得到一個帳戶——或者兩個、三個、甚至一百個,沒有人會知道。
Agari的安全研究員兼首席科學家MarkusJakobsson說,雖然除掉比特币可以減慢勒索軟件的攻擊,但他認為這種目标不太現實。“使用它的人太多了,并且以合法的方式從中獲利。比特币有自己的世界,有它的基本原理。如果它以某種方式被關閉,那很快就會出現衍生品。”
我們反而應該更深入的了解網絡犯罪分子的心理。“通過了解攻擊的本性,可以想出其他對策。最佳的解決方案是阻止比特币濫用,而不是試圖阻止比特币本身。”
如果不是比特币,那會是什麼?
Radware的安全研究員DanielSmith說,考慮到可用的替代貨币(例如,Monero、Litecoin、Ether、Dogecoin),即使除掉了比特币,還可以使用其他二十多種加密貨币。他補充說,在加密貨币之前就有勒索軟件了。早在1989年,它被稱為PCCyborg或者AIDSTrojan。那時,犯罪分子使用傳統的轉賬方法或者禮品卡。
Proofpoint網絡安全戰略高級副總裁RyanKalember說,比特币是一種分散式的加密貨币,因此,不可能除掉它。比特币之所以能夠對勒索軟件的興起做出巨大貢獻是因為比特币對消費者越來越友好,現在隻需點擊幾下就可以變成任何外币。
BluVector首席數據科學家ScottMiserendino說:“比特币是一種方便勒索軟件工作的技術。如果除掉它,會有替代它的。這些勒索方法早在比特币之前就存在了。雖然比特币促進了它們的傳播,但我不認為簡單地除掉一種付款選擇就能夠阻止這種傳播——罪犯分子非常清楚勒索機制的有效性。”
Citrix的高級技術經理FlorinLazurca說:“不幸的是,問題已經不限于比特币和勒索軟件,因為這隻是衆多半匿名支付渠道中的一種。雖然它會減小攻擊的規模,避免自動的和無意的交易,但照樣會采用任何缺少‘知道您的客戶’标準的其他付費方法。我們将不得不避免使用現金和WebMoney等其他數字貨币。”
Flashpoint首席科學家LanceJames說,雖然許多勒索軟件活動使用比特币來進行交易,但這種情況下,相關并不意味着因果關系。在之後的公共活動中,它恰好是一個流行的方法,如果您回頭看一下2013至2014年的CryptoLocker(第一次沉重打擊勒索軟件),攻擊者估計在三個月裡平均獲得了3000萬美元,使用MoneyPak卡進行的支付。
James說:“事實上,比特币實際上可以阻止勒索軟件攻擊成功,因為大部分受害者可能不了解怎樣使用比特币,也不知道怎樣把錢轉換成比特币。勒索軟件攻擊者會在其攻擊中盡可能減少沖突,讓贖金盡可能少一些,以防止用戶尋求專業援助解鎖他們的數據——這種服務的成本會比贖金高。攻擊者在大量的攻擊中都會與受害者和好。”
James提到了最近出現的“犯罪軟件即服務”——技術智商較低的一些人簡單的在網上購買KomodoSec首席執行官兼聯合創始人BoazShunami說,除掉比特币不會對勒索軟件的傳播産生任何影響。他說:“勒索軟件是暗網上的大生意。它是網絡犯罪武器庫中一個标準的戰術工具,也是最有利可圖的。您實際上可以購買勒索軟件即服務。”
Glasswall的産品副總裁SimonTaylor說:“勒索者和惡意軟件參與者都非常精明,會竭盡全力尋找其他形式的匿名化數字貨币,或者掩蓋其惡意活動的方法。總之,隻要有保持匿名和安全轉移資金的方法,勒索軟件就會繼續發展。”
從頭拿下比特币?
專家說,中本聰(Satoshi)甚至可能不是一個人,即使能夠跟蹤到他或者她,但近年來他們可能已經遠離比特币,即使找到他也不關不上潘多拉的盒子。
誰在真正傳播比特币一直是個謎。據維基百科,實際的創作者,隻知道這是一個假名——中本聰(SatoshiNakamoto)。許多調查記者試圖追蹤誰在操縱網絡貨币,但無濟于事。
Lazurca說:“從内部除掉比特币需要高度中心化并結合很強的‘挖礦’能力,從根本上破壞對系統的信任和投資。從外部除掉比特币則需要擺脫互聯網。”
中本聰自稱是一個住在日本,1975年左右出生的人。而關于中本聰的真實身份,猜測主要集中在生活在美國和歐洲的非日本血統的一些密碼學和計算機科學專家身上。據維基百科,有一個人——澳大利亞程序員CraigStevenWright聲稱是中本聰,盡管他還沒有提供證據。
WatchGuard技術公司的首席技術官CoreyNachreiner說:“最終,創始人是誰并不重要了。現在,比特币是一種‘開源’理念。它是分散的,我們都知道它是怎樣工作的,所以它的創造者真的不能控制整個系統。我們有一天可能會知道誰是創造者,但我不認為這能帶來太大的改變。加密貨币會繼續發展,我們将看到其他人還會使用公共區塊鍊作為替代貨币。”
安全官員認為,關注比特币隻是浪費精力。一個安全執行官提到關注于比特币基金會,而不是讨論修改加密貨币标準。
比特币的前提是系統不依賴于一個中央權威。因此,事實上,它是一個獨立于任何人的對等銀行系統,很難想象,找到比特币創始人或者讓他合作能夠終結比特币。
AppRiver的安全研究經理TroyGill同意,在一項宏大的計劃中尋找一個人不會帶來什麼好處。“我認為,執法機構最好能夠開發出某種形式的後門,使他們能夠輕松地将比特币錢包與實際用戶聯系起來。”
Commvault解決方案營銷總監DavidKing說:“在與勒索軟件的鬥争中,關注比特币就像唐吉歌德把風車當成敵人。我們真正面對的難題是企業不願意實施整體數據管理策略來保護、管理和備份他們的所有數據。如果我們解決了這一難題,網絡罪犯分子從勒索軟件攻擊中獲利的能力會下降,因此,他們的攻擊也會相應的減少。”
怎樣應對勒索軟件
這些安全高管針對如何減少勒索軟件成功命中的次數而提出了幾個關鍵主題:用戶教育、有備份計劃和不付款。
Miserendino說,對于信息化企業而言,勒索軟件肯定是一種無處不在的瘟疫。檢測和預防仍然是最好的藥物,但勒索軟件也應該像過去(以及現在)的黑社會/黑手黨勒索活動那樣在輿論上受到譴責。唯一被證明有效的方法是受害者不給罪犯分子付錢。
據身份竊取資源中心報道,2016年的勒索軟件攻擊事件大幅度增加。美國聯邦調查局也指出,勒索軟件受害者在2016年第一季度為找回他們的數據,贖金支付總額高達2.09億美元。
Nachreiner說:“首先也是最重要的,受到勒索軟件攻擊的公司和個人應停止支付。我知道,如果您不是受害者,這說起來容易。當受害者‘還在醫院接受重症護理’時,要做出決定是非常困難的。盡管如此,是受害者屈服于勒索,使得勒索軟件成為網絡犯罪分子最有價值的商業模式。他們之所以專注于勒索軟件,是因為這能夠讓他們成功地掙到錢。如果砍掉這種收益,他們就不會這樣做了。”
災難恢複和業務連續性計劃應支持從任何攻擊或者災難中快速恢複。
Taylor說,勒索軟件有許多方法去感染一個企業,但是繞過價值數十萬、甚至數百萬美元的安全投入最簡單的方法是去攻擊網絡防禦鍊最薄弱的環節——人類。
他說:“我們總是能看到電子郵件附件是網絡罪犯的主要攻擊媒介,97%的惡意軟件是專門針對目标端點的,這讓基于簽名的技術毫無用處。”Glasswall的研究表明,依賴于宏身份認證的企業可能會漏掉文檔中45%的其他惡意軟件,例如Excel和Word文檔,這足以使攻擊者勒索目标企業。
總是要回到用戶教育上。用戶并不像我們希望的那樣能夠很快接受。Ponemon研究所在上個月發布的一項研究中報告說,48%受害于勒索軟件的企業說他們已經付過贖金了。
FireEye的高級情報分析師JensMonrad說,很多受害者因為無法恢複被加密的數據而支付了贖金,因此,勒索軟件還在不斷發展。很多這類企業通常缺乏用于備份數據的内部程序。
SonicWall總裁兼首席執行官BillConner說:“不要低估加強‘員工防火牆’的重要性,要通過不斷培訓員工來識别和避免常見的威脅。2016年最常見的勒索軟件變體是Locky,它一般以供應商提供發票為名向毫不知情的員工發送電子郵件。如果針對這種惡意手段對員工進行過教育,他們知道不要打開這些附件,那麼,勒索軟件攻擊在過去一年就不會那麼成功。”
James說,公衆意識的提高促進了對定期備份系統的重視,并将數據遠程安全地存儲在多個地方。SonicWall的Conner說:“由于現在大家已經熟知要主動保護數據,因此最終隻有門外漢會成為受害者,可能從現在開始的一到兩年内無法恢複的情況會越來越少。
确保您用于備份數據的系統需要身份認證,或者不要總是在線。否則,如果您被勒索軟件擊中,您可能會發現自己恢複的是被加了密的備份。”
Nachreiner說,現代防禦機制能夠把大多數勒索軟件擋在企業外面。在目前的威脅環境中,基本防火牆和防病毒系統是不夠的。而現代安全控制包括了高級威脅防禦等解決方案,使用行為分析功能發現新的勒索軟件,甚至還提供威脅檢測和響應工具,當惡意軟件在您的主機上運行時,能夠識别出惡意軟件,在很多情況下能夠阻止它加密文件。
Bugcrowd的可信和安全負責人JasonHaddix說,預防和減少影響是關鍵。網絡周界和端點上強大的安全基礎設施是很好的防禦措施。網絡保險也有助于降低風險。
Kalember指出,一些勒索軟件現在嘗試首先加密備份的數據,因此對于備份基礎設施本身而言,正确的安全配置至關重要。
OneLogin首席信息安全官AlvaroHoyos也提到了要加強最終用戶的教育。“Ransomware隻是尾随在社交工程攻擊中——隻要有電子郵件它就會存在。技術保障措施可以幫助減少收件箱中出現的勒索軟件攻擊,但真正要依靠的是最終用戶,依靠他們這些攻擊才不會成功。因此,如果您的安全預算中沒有用于安全意識培訓和工具的項目,那麼您做的還不夠。”
Dome9的聯合創始人兼首席執行官ZoharAlon說,弱安全措施和用戶過錯是勒索軟件和數據劫持攻擊越來越多的關鍵所在。為了擺脫勒索軟件的威脅,企業應該從強大的多層防禦着手。例如,在雲環境中,這意味着投資基礎技術,例如用于配置和漏洞管理、網絡分段和流量可見性的工具,以及防病毒和漏洞屏蔽等技術。
Splunk安全研究主管MonzyMerza說,有效的勒索軟件防禦機制應同時包括了準備、分析和響應。其中每一方面都有人、流程和技術因素在内。對付勒索軟件并沒有什麼高招。
Merza說:“防禦勒索軟件與防禦可能影響您業務的其他威脅沒有太大的區别。标準的網絡防護環境最佳實踐在這裡都很重要,例如識别關鍵資産、制定能夠減少損失的計劃、審核用戶權限、良好的補丁管理以及維護良好的備份等,因為這适用于任何威脅活動。”
Henderson說:“硬件故障總有可能會出現,但對于大多數人來說,隻要他們養成了備份數據的良好習慣,其影響就不會太大。現在的存儲以GB為單位,幾乎是免費的,因此,沒有任何借口不插上一個小巧的大容量USB硬盤,以備份您關鍵的和不可替代的文件,然後放在您的辦公桌上。如果您有保險政策(這是您可以買到的最便宜的保險),即使您粗心的時候,也不用支付贖金。受害者将不再支付贖金了嗎?攻擊者會找到新方法來賺取現金。”
RyanFrancis是《網絡世界》主編兼CSO。可以通過聯系他。
OriginalArticleURL:
原文網址:
http://www.csoonline/article/3169681/security/would-killing-bitcoin-endransomware.html