影子大流行：勒索软件对企业的当前和未来危险

在与 COVID-19 的持续斗争中，全球政府和企业面临着另一种病毒威胁——没有人能幸免。 勒索软件攻击在过去两年中升级到国际刑警组织现在认为它们是全球流行病的地步。 在 2021 年年中发布的紧急行动呼吁中，全球安全组织秘书长尤尔根·斯托克（Jurgen Stock）表示，打击勒索软件已成为任何组织或行业无法单独完成的艰巨任务。 他说，如果没有全球响应，任何事情都无法遏制勒索软件犯罪狂潮的指数级增长。

10 月，白宫国家安全委员会召开了一次全球虚拟网络安全峰会，30 个参与国承诺组建一个类似北约的联盟，专注于网络防御。 但 Toptal 咨询的专家表示，企业领导者也必须参与打击勒索软件的斗争。

网络安全研究和反恐领域的世界领导者、西北大学罗伯塔·巴菲特全球事务研究所教授和研究员 VS Subrahmanian 说：“这必须不仅仅是一群政府和国际组织，例如国际刑警组织。” ，告诉Toptal Insights。 勒索软件预防必须“包括大公司，并且必须包括对这些事情有深入思考的人，例如独立或学术研究人员。”

勒索软件攻击已经升级到国际刑警组织现在认为它们是全球流行病的地步。

减缓勒索软件生态系统的增长并捍卫全球经济将保护现在和未来的公司。 即使是拥有黄金标准网络安全清单的公司也无法幸免于当今的勒索软件威胁。 而那些相信自己可以从攻击中获得出路的企业领导者可能会感到不安，因为只有 8% 的向黑客付款的人可以取回所有数据。

“现在，攻击者不断发展他们的策略来逃避或克服防御，因此这是一场持续不断的战斗，”与美国政府机构、财富 500 强公司合作的数据科学和社会分析公司 SentiMetrix 的联合创始人 Subrahmanian 说，和一流大学。 “攻击数量正在上升，所有企业都受到威胁。”

游戏现状

在 2020 年 COVID-19 关闭期间突然转向远程工作以及对云计算的依赖增加暴露了许多公司网络的弱点，并为恶意软件创造了更多的入口点——恶意软件程序允许黑客锁定组织的数据，将其从公司的计算机，并将其作为外部服务器的人质。

根据美国财政部金融犯罪执法网络 (FinCen) 的估计，从 2019 年到 2021 年 6 月，美国组织支付给勒索软件攻击者的总金额增加了一倍多。 根据网络安全公司 Palo Alto Networks 旗下的全球威胁研究和恶意软件分析小组 Unit 42 的数据，每位受害者的平均赎金要求也呈爆炸式增长，从 2019 年的略低于 100 万美元到 2020 年超过 500 万美元。

在最近历史上最严重的攻击之一中，黑客迫使美国东海岸大部分地区的汽油供应在 2021 年关闭了五天，直到 Colonial Pipeline Co. 支付了 440 万美元的赎金。 大约在同一时间，总部位于芝加哥的保险巨头 CNA 向勒索软件攻击者支付了 4000 万美元，为个人攻击设定了新的高水位线。

2021 年末，全球 HR 软件解决方案领导者 Ultimate Kronos Group 遭到袭击，导致主要雇主在圣诞节假期前两周争先恐后地寻找其他方式支付员工工资。 要求的赎金数额尚未公开，但考虑到 UKG 报告 2021 年的收入为 33 亿美元，这可能是巨大的。

犯罪分子利润的指数级增长正在吸引来自全球各地的更多机会主义者。 众所周知，中国是网络犯罪热点； 其他黑客活跃的国家包括巴西、波兰、伊朗、印度、美国、俄罗斯和乌克兰。

今天的勒索软件攻击越来越无情

勒索软件攻击过去遵循一个非常简单的程序：“你会受到攻击。 您的某些文件将被加密。 你必须用比特币支付赎金才能取回这些文件，”Subrahmanian 说。 这些类型的攻击始于 1980 年代后期，当时计算机病毒通过软盘分发给毫无戒心的受害者，这些受害者必须向匿名邮政信箱发送现金以解锁他们的计算机。 随着全球业务在线上转移，这些计划也随之而来。

多年来，组织意识到经常将文件备份到外部硬盘驱动器或云服务器可以消除数据锁定的威胁。 “所以勒索软件威胁参与者所做的就是改变他们的作案手法，”Subrahmanian 说。 “当他们进行攻击时，他们不只是加密你的数据。 他们还偷了一些。”

利用被盗数据，黑客现在经常在攻击期间使用多达四种类型的勒索。 首先是加密受害者的数据并将其泄露（删除）到由网络犯罪分子控制的服务器。 二是威胁公开发布该组织的专有机密或可能损害公司声誉的信息。 第三种勒索涉及威胁拒绝服务 (DOS) 攻击，该攻击会关闭组织面向公众的网站。

这些是真正具有侵略性的网络攻击，实施这些攻击的人比民族国家拥有更多的权力。 ——Austin Dimmer，DevSecOps 专家

一种新的第四类勒索软件勒索——所谓的“外部勒索”——于 2020 年首次出现，针对一家在芬兰经营 25 家心理健康诊所的私营公司进行的此类攻击。 攻击者不仅要钱，这样公司才能重新获得对其系统的访问权限并避免发布其内部数据，而且犯罪分子还勒索数以万计的个体患者，威胁要公开他们的机密治疗师笔记和治疗记录，如果他们不这样做平均每人支付200欧元。

“这些都是非常具有侵略性的网络攻击，而那些一直在进行这些攻击的人，他们现在比民族国家拥有更多的权力，”奥斯汀·迪默告诉 Toptal Insights。 作为 DevSecOps（开发、安全和运营）方面的专家，他为欧盟委员会、乐高和阳狮全球构建和管理安全网络，Dimmer 参与了网络犯罪分子的工作。 “他们只是冷酷无情，毫不留情。”

复杂的网络使攻击者难以捕捉

勒索软件市场的分散性和复杂性使得逮捕攻击者变得异常困难。 实施单一攻击的人的网络远远超出了创建恶意软件的恶意软件开发人员。 开发人员很少自己进行攻击。 相反，他们将商品倾倒在暗网上进行购买或出租。 此时，分销商与开发人员签订合同，以获得部署软件和进行攻击的权利。

然后，一旦支付了赎金，加密货币洗钱者网络就会站出来，清理资金并将利润分配给开发商、分销商和其他参与者。

即使发现并逮捕了勒索软件攻击者，对受害者的金钱赔偿通常也很少。 例如，在 Colonial Pipeline 案中，FBI 只能追踪加密货币交易，以收回已支付的 440 万美元赎金的大约一半。

预测和预防未来的攻击

由于在勒索软件攻击完成后追踪犯罪分子和勒索资金的希望渺茫，Subrahmanian 专注于预测和预防。 他和他在西北大学的团队目前正在开发一种预测系统，该系统可以在数据受损之前预测未来勒索软件攻击的类型和时间。

他的软件使用人工智能来跟踪暗网和社交媒体上的通信和趋势，以识别正在开发的新恶意软件，并记录何时将其推广给潜在的分销商。

Subrahmanian 的目标不仅是确定黑客何时以及如何尝试渗透系统。 他的初步调查结果表明，在安全检查表和顾问确定的数千个可能的漏洞中，黑客只针对 9.3% 的弱点。 这意味着组织可能将 90% 的 IT 安全工作浪费在错误的保护上。

尽管几乎不可能预测分布在全球的匿名黑客组织和个人的行动，但监控标记为与网络犯罪有联系的聚合通信可能表明威胁领域不断扩大。 就像观察金融市场的流动来预测趋势一样，Subrahmanian 希望观察广泛的勒索软件活动市场将有助于研究人员识别新兴恶意软件及其潜在目标，以便组织能够采取积极措施。

私营部门可以帮助打击网络犯罪的创新方式

如果没有 Subrahmanian 的团队试图创建的那种可靠的预测，前线仍然是组织运营的痛苦场所。 但是，这四种策略可能会帮助公司领导者立即进行反击：

降低勒索软件攻击者的利润

如果勒索软件攻击继续为网络犯罪分子带来巨额收益，Dimmer 认为大多数政府和执法部门的努力都注定要失败。 他解释说，获利的机会太多了，特别是考虑到在一些黑客所在的国家可能不存在其他此类经济机会。

Toptal 的首席技术官 Subrahmanian 和 Ismael Peinado 表示，为了削弱这种经济驱动力，公司应考虑采用禁止支付赎金的内部规则，并支持将支付赎金定为非法的立法。 “想想我们为什么会遭受这些攻击。 因为攻击者得到了钱。 为什么情况会变得更糟？ 因为他们一直在赚钱，”Peinado 说。 “为什么我们不向进入银行劫持人质的人支付赎金？ 出于同样的原因。”

将勒索软件受害者的行为定为犯罪可能听起来有争议，但 Subrahmanian 指出，如果攻击者来自对他们实施国际制裁的国家或与支持恐怖主义的组织有关联，那么支付网络犯罪分子以拯救其数据的公司可能已经违反了国际法。 一份关于向黑客支付加密货币的报告，该报告追踪了勒索软件的加密货币支付目的地国家，显示至少 15% 的支付最终落入被禁实体手中，这违反了国际法。

更重要的是，付费并不能保证黑客会坚持到底。 根据网络安全公司 Sophos 最近对全球 5,000 多名 IT 领导者的一项调查，支付费用的组织平均只能获得 65% 的数据。 只有 8% 的受害者能够恢复他们的所有文件。

关注 SecOps 而不是清单和外部审计

试图保护其公司的技术领导者经常使用安全最佳实践检查表，投资最新的安全软件，并聘请昂贵的安全审计员来测试网络漏洞。 不幸的是，拥有 20 年与政府组织、初创公司和大型高增长公司合作经验的全球网络安全领导者 Peinado 认为这是错误的方法。

追逐检查清单和认证并专注于简单的法规遵从性可能会吞噬机构的 IT 资源，同时在公司领导层中造成错误的安全感。 他说，随着系统进入点的增加和对云计算的依赖，访问网络不再像以前那样困难。 然而，安全公司仍然花费无数时间检查网络中可能永远不会成为黑客目标的漏洞。 “归根结底，他们失去了对真正黑客所做的事情的关注，也就是说，如果你用一种方式进入你的房子，他们就会找到另一种方式闯入，”他说。

相反，Peinado 建议技术领导者将安全性直接集成到工程操作中，并取消不断的测试和修补循环。 他说，这些类型的安全操作，称为 DevSecOps 或 SecOps，将安全性直接集成到公司的软件开发操作中，并营造对新威胁做出灵活响应的环境。

例如，当公司网站的新功能或特性被构建并公开发布时，就会出现一组新的黑客漏洞。 在传统的工作周期中，开发人员会在孤岛中创建新网站的功能，然后将它们提交给内部（有时是外部）安全专家进行测试。 然后将修补安全性并覆盖事后发现的漏洞。

在 SecOps 环境中，构建站点或功能的工程师和开发人员与安全工程师并肩工作，以确保在开发产品时集成适当的安全级别。 Peinado 说，这种集成方法使 SecOps 开发人员更加了解和负责，这在更传统的程序中是不可能的。

利用临时网络安全人才

作为 Toptal 开发人员人才网络的一部分与客户合作的 Dimmer 说，当他试图将 SecOps 的观点引入客户的流程时，他收到了不同的反应，这通常是因为内部 IT 团队的技能差距——系统变得更难作为你让他们更安全。 他说，成功不仅意味着拥有正确的系统，还意味着拥有训练有素的人员来使用它们。

为安全工程师等高价值技术职位配备人员仍然是公司的痛点。 根据 TechBeacon 的安全运营状况报告调查，近十分之一的组织表示，缺乏熟练人才是 2021 年的第一大网络安全挑战——近 30% 的组织表示这是他们面临的三大障碍之一。

可以通过 Toptal 等临时网络聘用一流的技术人才，以帮助填补这些空白。 几十年来，像 Dimmer 这样的底层开发人员和技术领导者的需求量一直很大，但由于网络安全人员的大量短缺，现在的需求量更大。 信息系统安全协会估计，2019 年该行业的专业人才缺口为 400 万，而其在 2021 年对 IT 领导者的调查发现，这一差距已经扩大。

一些企业领导者可能不愿将外部人才用于最敏感的安全项目，例如在 SecOps 的战壕中包括自由职业者。 但事实上，将部分安全运营外包给外部人才已经成为常态：在接受 TechBeacon 调查的组织中，超过一半的组织报告称，他们结合使用内部和外部资源来处理其网络安全职能。

打击网络犯罪的未来

他说，到目前为止，Subrahmanian 的预警 AI 软件已被证明在预测实验模型中的勒索软件攻击方面有 70% 的有效性。 如果测试继续顺利，他希望从 2022 年年中开始发布对现实世界攻击的预测。

他的研究还侧重于识别软件漏洞与软件补丁和安全更新向公众广泛提供之间的差距。 这项研究的初步结果表明，近一半的恶意软件攻击发生在此期间，平均持续约 132 天。 这种长时间的脆弱性使他对有效预测模型的追求对于在新威胁开始时阻止黑客变得更加重要。

与此同时，大型科技公司正在加紧步伐。 谷歌承诺在未来五年内投入 100 亿美元来帮助保护软件供应链，并扩大零信任系统的使用，这些安全框架要求所有内部和外部用户都需要不断地进行身份验证。 微软提供 1.5 亿美元的技术服务，帮助美国地方政府升级防御。 亚马逊已承诺开始向公众提供与其员工相同的安全意识培训，并为所有亚马逊网络服务 (AWS) 客户免费提供两步身份验证。

Subrahmanian 表示，将勒索软件视为一种不断演变的威胁，将需要一个地球村，而无论大小公司，都必须参与其中。

相关：浏览 Toptal 的开发人员技能目录以获取 SecOps 人才