影子大流行：勒索軟件對企業的當前和未來危險

在與 COVID-19 的持續鬥爭中，全球政府和企業面臨著另一種病毒威脅——沒有人能倖免。 勒索軟件攻擊在過去兩年中升級到國際刑警組織現在認為它們是全球流行病的地步。 在 2021 年年中發布的緊急行動呼籲中，全球安全組織秘書長尤爾根·斯托克（Jurgen Stock）表示，打擊勒索軟件已成為任何組織或行業無法單​​獨完成的艱鉅任務。 他說，如果沒有全球響應，任何事情都無法遏制勒索軟件犯罪狂潮的指數級增長。

10 月，白宮國家安全委員會召開了一次全球虛擬網絡安全峰會，30 個參與國承諾組建一個類似北約的聯盟，專注於網絡防禦。 但 Toptal 諮詢的專家表示，企業領導者也必須參與打擊勒索軟件的鬥爭。

“這不僅僅是一群政府和國際組織，如國際刑警組織，”VS Subrahmanian，網絡安全研究和反恐領域的世界領導者，西北大學羅伯塔巴菲特全球事務研究所教授和研究員，告訴Toptal Insights。 勒索軟件預防必須“包括大公司，並且必須包括對這些事情有深入思考的人，例如獨立或學術研究人員。”

勒索軟件攻擊已經升級到國際刑警組織現在認為它們是全球流行病的地步。

減緩勒索軟件生態系統的增長並捍衛全球經濟將保護現在和未來的公司。 即使是擁有黃金標準網絡安全清單的公司也無法倖免於當今的勒索軟件威脅。 而那些相信自己可以從攻擊中獲得出路的企業領導者可能會感到不安，因為只有 8% 的向黑客付款的人可以取回所有數據。

“現在，攻擊者不斷發展他們的策略來逃避或克服防禦，所以這是一場持續不斷的戰鬥，”與美國政府機構、財富 500 強公司合作的數據科學和社會分析公司 SentiMetrix 的聯合創始人 Subrahmanian 說。和一流大學。 “攻擊數量正在上升，所有企業都受到威脅。”

遊戲現狀

在 2020 年 COVID-19 關閉期間突然轉向遠程工作以及對雲計算的依賴增加暴露了許多公司網絡的弱點，並為惡意軟件創造了更多入口點——惡意軟件程序允許黑客鎖定組織的數據，將其從公司的計算機，並將其作為外部服務器的人質。

根據美國財政部金融犯罪執法網絡 (FinCen) 的估計，從 2019 年到 2021 年 6 月，美國組織支付給勒索軟件攻擊者的總金額增加了一倍多。 根據網絡安全公司 Palo Alto Networks 旗下的全球威脅研究和惡意軟件分析小組 Unit 42 的數據，每位受害者的平均贖金要求也呈爆炸式增長，從 2019 年的略低於 100 萬美元到 2020 年超過 500 萬美元。

在最近歷史上最嚴重的攻擊之一中，黑客迫使美國東海岸大部分地區在 2021 年關閉汽油供應五天，直到 Colonial Pipeline Co. 支付了 440 萬美元的贖金。 大約在同一時間，總部位於芝加哥的保險巨頭 CNA 向勒索軟件攻擊者支付了 4000 萬美元，為個人攻擊設定了新的高水位線。

2021 年末，全球人力資源軟件解決方案領導者 Ultimate Kronos Group 遭到襲擊，導致主要雇主在聖誕節假期前兩週爭先恐後地尋找其他方式支付員工工資。 要求的贖金數額尚未公開，但考慮到 UKG 報告 2021 年的收入為 33 億美元，這可能是巨大的。

犯罪分子利潤的指數級增長正在吸引來自全球各地的更多機會主義者。 眾所周知，中國是網絡犯罪熱點； 其他黑客活躍的國家包括巴西、波蘭、伊朗、印度、美國、俄羅斯和烏克蘭。

今天的勒索軟件攻擊越來越無情

勒索軟件攻擊過去遵循一個非常簡單的程序：“你會受到攻擊。 您的某些文件將被加密。 你必須用比特幣支付贖金才能取回這些文件，”Subrahmanian 說。 這些類型的攻擊始於 1980 年代後期，當時計算機病毒通過軟盤分發給毫無戒心的受害者，這些受害者必須向匿名郵政信箱發送現金以解鎖他們的計算機。 隨著全球業務在線上轉移，這些計劃也隨之而來。

多年來，組織意識到經常將文件備份到外部硬盤驅動器或云服務器可以消除數據鎖定的威脅。 “所以勒索軟件威脅參與者所做的就是改變他們的作案手法，”Subrahmanian 說。 “當他們進行攻擊時，他們不只是加密你的數據。 他們還偷了一些。”

利用被盜數據，黑客現在經常在攻擊期間使用多達四種類型的勒索。 首先是加密受害者的數據並將其洩露（刪除）到由網絡犯罪分子控制的服務器。 二是威脅公開發布該組織的專有機密或可能損害公司聲譽的信息。 第三種勒索涉及威脅拒絕服務 (DOS) 攻擊，該攻擊會關閉組織面向公眾的網站。

這些是真正具有侵略性的網絡攻擊，實施這些攻擊的人比民族國家擁有更多的權力。 ——Austin Dimmer，DevSecOps 專家

一種新的第四類勒索軟件勒索——所謂的“外部勒索”——於 2020 年首次出現，針對一家在芬蘭經營 25 家心理健康診所的私營公司進行的此類攻擊。 攻擊者不僅要錢，這樣公司才能重新獲得對其係統的訪問權限並避免其內部數據被公開，犯罪分子還勒索數以萬計的個體患者，威脅要公開他們的保密治療師筆記和治療記錄，如果他們不這樣做平均每人支付200歐元。

“這些都是非常具有侵略性的網絡攻擊，而那些一直在進行這些攻擊的人，他們現在比民族國家擁有更多的權力，”奧斯汀·迪默告訴 Toptal Insights。 作為 DevSecOps（開發、安全和運營）方面的專家，他為歐盟委員會、樂高和陽獅全球構建和管理安全網絡，Dimmer 參與了網絡犯罪分子的工作。 “他們只是冷酷無情，毫不留情。”

複雜的網絡使攻擊者難以捕捉

勒索軟件市場的分散性和復雜性使得逮捕攻擊者變得異常困難。 實施單一攻擊的人的網絡遠遠超出了創建惡意軟件的惡意軟件開發人員。 開發人員很少自己進行攻擊。 相反，他們將商品傾倒在暗網上進行購買或出租。 此時，分銷商與開發人員簽訂合同，以獲得部署軟件和進行攻擊的權利。

然後，一旦支付了贖金，加密貨幣洗錢者網絡就會站出來，清理資金並將利潤分配給開發商、分銷商和其他參與者。

即使發現並逮捕了勒索軟件攻擊者，對受害者的金錢賠償通常也很少。 例如，在 Colonial Pipeline 案中，FBI 只能追踪加密貨幣交易，以收回已支付的 440 萬美元贖金的大約一半。

預測和預防未來的攻擊

由於在勒索軟件攻擊完成後追踪犯罪分子和勒索資金的希望渺茫，Subrahmanian 專注於預測和預防。 他和他在西北大學的團隊目前正在開發一種預測系統，該系統可以在數據受損之前預測未來勒索軟件攻擊的類型和時間。

他的軟件使用人工智能來跟踪暗網和社交媒體上的通信和趨勢，以識別正在開發的新惡意軟件，並記錄何時將其推廣給潛在的分銷商。

Subrahmanian 的目標不僅是確定黑客何時以及如何嘗試滲透系統。 他的初步調查結果表明，在安全檢查表和顧問確定的數千個可能的漏洞中，黑客只針對 9.3% 的弱點。 這意味著組織可能將 90% 的 IT 安全工作浪費在錯誤的保護上。

儘管幾乎不可能預測分佈在全球的匿名黑客組織和個人的行動，但監控標記為與網絡犯罪有聯繫的聚合通信可能表明威脅領域不斷擴大。 就像觀察金融市場的流動來預測趨勢一樣，Subrahmanian 希望觀察廣泛的勒索軟件活動市場將有助於研究人員識別新興惡意軟件及其潛在目標，以便組織能夠採取積極措施。

私營部門可以幫助打擊網絡犯罪的創新方式

如果沒有 Subrahmanian 的團隊試圖創建的那種可靠的預測，前線仍然是組織運營的痛苦場所。 但是，這四種策略可能會幫助公司領導者立即進行反擊：

降低勒索軟件攻擊者的利潤

如果勒索軟件攻擊繼續為網絡犯罪分子帶來巨額收益，Dimmer 認為大多數政府和執法部門的努力都注定要失敗。 他解釋說，獲利的機會太多了，特別是考慮到在一些黑客所在的國家可能不存在其他此類經濟機會。

Toptal 的首席技術官 Subrahmanian 和 Ismael Peinado 表示，為了削弱這種經濟驅動力，公司應考慮採用反對支付贖金的內部規則，並支持將支付贖金定為非法的立法。 “想想我們為什麼會遭受這些攻擊。 因為攻擊者得到了錢。 為什麼情況會變得更糟？ 因為他們一直在賺錢，”Peinado 說。 “為什麼我們不向進入銀行劫持人質的人支付贖金？ 出於同樣的原因。”

將勒索軟件受害者所採取的行為定為犯罪可能聽起來有爭議，但 Subrahmanian 指出，如果攻擊者來自對他們實施國際制裁的國家或與支持恐怖主義的組織有關聯，那麼支付網絡犯罪分子以拯救其數據的公司可能已經違反了國際法。 一份關於向黑客支付加密貨幣的報告，該報告追踪了勒索軟件的加密貨幣支付目的地國家，顯示至少 15% 的支付最終落入被禁實體手中，這違反了國際法。

更重要的是，付費並不能保證黑客會堅持到底。 根據網絡安全公司 Sophos 最近對全球 5,000 多名 IT 領導者的一項調查，支付費用的組織平均只能獲得 65% 的數據。 只有 8% 的受害者能夠恢復他們的所有文件。

關注 SecOps 而不是清單和外部審計

試圖保護其公司的技術領導者經常使用安全最佳實踐檢查表，投資最新的安全軟件，並聘請昂貴的安全審計員來測試網絡漏洞。 不幸的是，擁有 20 年與政府組織、初創公司和大型高增長公司合作經驗的全球網絡安全領導者 Peinado 認為這是錯誤的方法。

追逐檢查清單和認證並專注於簡單的法規遵從性可能會吞噬機構的 IT 資源，同時在公司領導層中造成錯誤的安全感。 他說，隨著系統進入點的增加和對雲計算的依賴，訪問網絡不再像以前那樣困難。 然而，安全公司仍然花費無數時間檢查網絡中可能永遠不會成為黑客目標的漏洞。 “歸根結底，他們失去了對真正黑客所做的事情的關注，也就是說，如果你用一種方式進入你的房子，他們就會找到另一種方式闖入，”他說。

相反，Peinado 建議技術領導者將安全性直接集成到工程操作中，並取消不斷的測試和修補循環。 他說，這些類型的安全操作，稱為 DevSecOps 或 SecOps，將安全性直接集成到公司的軟件開發操作中，並營造對新威脅做出靈活響應的環境。

例如，當公司網站的新功能或特性被構建並公開發佈時，就會出現一組新的黑客漏洞。 在傳統的工作週期中，開發人員會在孤島中創建新網站的功能，然後將它們提交給內部（有時是外部）安全專家進行測試。 然後將修補安全性並覆蓋事後發現的漏洞。

在 SecOps 環境中，構建站點或功能的工程師和開發人員與安全工程師並肩工作，以確保在開發產品時集成適當的安全級別。 Peinado 說，這種集成方法使 SecOps 開發人員更加了解和負責，這在更傳統的程序中是不可能的。

利用臨時網絡安全人才

作為 Toptal 開發人員人才網絡的一部分與客戶合作的 Dimmer 說，當他試圖將 SecOps 的觀點引入客戶的流程時，他收到了不同的反應，這通常是因為內部 IT 團隊的技能差距——系統變得更難作為你讓他們更安全。 他說，成功不僅意味著擁有正確的系統，還意味著擁有訓練有素的人員來使用它們。

為安全工程師等高價值技術職位配備人員仍然是公司的痛點。 在接受 TechBeacon 的安全運營狀況報告調查的組織中，近十分之一的組織表示，缺乏熟練人才是 2021 年的第一大網絡安全挑戰，近 30% 的組織表示這是他們面臨的三大障礙之一。

可以通過 Toptal 等臨時網絡聘用一流的技術人才，以幫助填補這些空白。 幾十年來，像 Dimmer 這樣的底層開發人員和技術領導者的需求量一直很大，但由於網絡安全人員的大量短缺，現在的需求量更大。 信息系統安全協會估計，2019 年該行業的專業人才缺口為 400 萬，而其在 2021 年對 IT 領導者的調查發現，這一差距已經擴大。

一些企業領導者可能不願將外部人才用於最敏感的安全項目，例如在 SecOps 的戰壕中包括自由職業者。 但事實上，將部分安全運營外包給外部人才已經成為常態：在接受 TechBeacon 調查的組織中，超過一半的組織報告稱，他們結合使用內部和外部資源來處理其網絡安全職能。

打擊網絡犯罪的未來

他說，到目前為止，Subrahmanian 的預警 AI 軟件已被證明在預測實驗模型中的勒索軟件攻擊方面有 70% 的有效性。 如果測試繼續順利，他希望從 2022 年年中開始發布對現實世界攻擊的預測。

他的研究還側重於識別軟件漏洞與軟件補丁和安全更新向公眾廣泛提供之間的差距。 這項研究的初步結果表明，近一半的惡意軟件攻擊發生在此期間，平均持續約 132 天。 這種長時間的脆弱性使他對有效預測模型的追求對於在新威脅開始時阻止黑客變得更加重要。

與此同時，大型科技公司正在加緊步伐。 谷歌承諾在未來五年內投入 100 億美元來幫助保護軟件供應鏈，並擴大零信任系統的使用，這些安全框架要求所有內部和外部用戶都需要不斷地進行身份驗證。 微軟提供 1.5 億美元的技術服務，幫助美國地方政府升級防禦。 亞馬遜已承諾開始向公眾提供與其員工相同的安全意識培訓，並為所有亞馬遜網絡服務 (AWS) 客戶免費提供兩步身份驗證。

Subrahmanian 表示，將勒索軟件視為一種不斷演變的威脅，將需要一個地球村，而無論大小公司，都必須參與其中。

相關：瀏覽 Toptal 的開發人員技能目錄以獲取 SecOps 人才