勒索软件运行得非常猖獗。SonicWallGRID威胁网络公司发现,勒索软件攻击从2015年的380万次增加到2016年的6.38亿次。据Radware报告,49%的企业在2016年遭到过勒索软件攻击。攻击者通常提出要一些网络货币——一般是比特币,作为交换来提供解密密钥。
这引发的一个问题是,如果比特币不再存在,勒索软件攻击是否会减少呢?安全专家的回答是“绝对不会”。他们认为网络犯罪分子会转向使用其他匿名支付方法来继续敲诈。
Absolute全球安全战略专家RichardHenderson说:“除掉比特币以阻止勒索软件敲诈就像美国政府采用停止使用100美元钞票的方法来试图阻止毒贩洗他们的脏钱。这不是正确的解决方法。这能让那些从勒索软件中挣了大钱的网络攻击者立刻停下来吗?当然,但也只是短暂的一瞬。”
他补充说:“攻击者只会转向采用另外几十种流行的虚拟货币,或者转向其他容易洗钱的工具,例如预付信用卡。还记的吗,不久之前GreenDotMoneyPak是网络犯罪分子最喜欢用的。攻击者只会去寻找其他获利的方式。”
尽管支付赎金让人灰心丧气,而很多安全专家说,切实减少勒索软件的唯一办法是用户教育。
Henderson说:“我们很难轻易地摆脱勒索软件。只要人们还在努力让他们的设备打好补丁以受到保护,只要有人打开不该打开的附件,或者点击那些不该点击的链接,攻击者就能够感染机器。”
他说,结束勒索软件祸害最务实的解决方案是教给人们安全保护最基本的原则:不要访问您怀疑可能是恶意或者冒名顶替的网站,一旦有更新就立即给您的机器打上补丁,不要打开您电子邮件中的附件。
他说:“如果您意外地收到您的兄弟或者阿姨的电子表格,那么不要打开它。打电话给他们,问问是不是他们发给您的。旅游公司不会出乎意料地向您发送电子邮件,告诉您有紧急路线更新。您的银行或者PayPal不会通过电子邮件要求您‘确认您的信息’。也许最重要的是,您必须对您最关键的文件和数据进行冷备份。在恶意软件成为严重的问题很久之前,我们就一直在这些方面提醒人们。”
虽然除掉比特币不会解决勒索软件问题,但应该弄清楚为什么比特币在犯罪分子中如此受欢迎。犯罪分子把比特币看成是“天降财神”。它支持匿名支付。您不能追踪谁支付,或者支付给了谁。当然,它还是一个完全数字化的支付方式,任何人都可以得到一个帐户——或者两个、三个、甚至一百个,没有人会知道。
Agari的安全研究员兼首席科学家MarkusJakobsson说,虽然除掉比特币可以减慢勒索软件的攻击,但他认为这种目标不太现实。“使用它的人太多了,并且以合法的方式从中获利。比特币有自己的世界,有它的基本原理。如果它以某种方式被关闭,那很快就会出现衍生品。”
我们反而应该更深入的了解网络犯罪分子的心理。“通过了解攻击的本性,可以想出其他对策。最佳的解决方案是阻止比特币滥用,而不是试图阻止比特币本身。”
如果不是比特币,那会是什么?
Radware的安全研究员DanielSmith说,考虑到可用的替代货币(例如,Monero、Litecoin、Ether、Dogecoin),即使除掉了比特币,还可以使用其他二十多种加密货币。他补充说,在加密货币之前就有勒索软件了。早在1989年,它被称为PCCyborg或者AIDSTrojan。那时,犯罪分子使用传统的转账方法或者礼品卡。
Proofpoint网络安全战略高级副总裁RyanKalember说,比特币是一种分散式的加密货币,因此,不可能除掉它。比特币之所以能够对勒索软件的兴起做出巨大贡献是因为比特币对消费者越来越友好,现在只需点击几下就可以变成任何外币。
BluVector首席数据科学家ScottMiserendino说:“比特币是一种方便勒索软件工作的技术。如果除掉它,会有替代它的。这些勒索方法早在比特币之前就存在了。虽然比特币促进了它们的传播,但我不认为简单地除掉一种付款选择就能够阻止这种传播——罪犯分子非常清楚勒索机制的有效性。”
Citrix的高级技术经理FlorinLazurca说:“不幸的是,问题已经不限于比特币和勒索软件,因为这只是众多半匿名支付渠道中的一种。虽然它会减小攻击的规模,避免自动的和无意的交易,但照样会采用任何缺少‘知道您的客户’标准的其他付费方法。我们将不得不避免使用现金和WebMoney等其他数字货币。”
Flashpoint首席科学家LanceJames说,虽然许多勒索软件活动使用比特币来进行交易,但这种情况下,相关并不意味着因果关系。在之后的公共活动中,它恰好是一个流行的方法,如果您回头看一下2013至2014年的CryptoLocker(第一次沉重打击勒索软件),攻击者估计在三个月里平均获得了3000万美元,使用MoneyPak卡进行的支付。
James说:“事实上,比特币实际上可以阻止勒索软件攻击成功,因为大部分受害者可能不了解怎样使用比特币,也不知道怎样把钱转换成比特币。勒索软件攻击者会在其攻击中尽可能减少冲突,让赎金尽可能少一些,以防止用户寻求专业援助解锁他们的数据——这种服务的成本会比赎金高。攻击者在大量的攻击中都会与受害者和好。”
James提到了最近出现的“犯罪软件即服务”——技术智商较低的一些人简单的在网上购买KomodoSec首席执行官兼联合创始人BoazShunami说,除掉比特币不会对勒索软件的传播产生任何影响。他说:“勒索软件是暗网上的大生意。它是网络犯罪武器库中一个标准的战术工具,也是最有利可图的。您实际上可以购买勒索软件即服务。”
Glasswall的产品副总裁SimonTaylor说:“勒索者和恶意软件参与者都非常精明,会竭尽全力寻找其他形式的匿名化数字货币,或者掩盖其恶意活动的方法。总之,只要有保持匿名和安全转移资金的方法,勒索软件就会继续发展。”
从头拿下比特币?
专家说,中本聪(Satoshi)甚至可能不是一个人,即使能够跟踪到他或者她,但近年来他们可能已经远离比特币,即使找到他也不关不上潘多拉的盒子。
谁在真正传播比特币一直是个谜。据维基百科,实际的创作者,只知道这是一个假名——中本聪(SatoshiNakamoto)。许多调查记者试图追踪谁在操纵网络货币,但无济于事。
Lazurca说:“从内部除掉比特币需要高度中心化并结合很强的‘挖矿’能力,从根本上破坏对系统的信任和投资。从外部除掉比特币则需要摆脱互联网。”
中本聪自称是一个住在日本,1975年左右出生的人。而关于中本聪的真实身份,猜测主要集中在生活在美国和欧洲的非日本血统的一些密码学和计算机科学专家身上。据维基百科,有一个人——澳大利亚程序员CraigStevenWright声称是中本聪,尽管他还没有提供证据。
WatchGuard技术公司的首席技术官CoreyNachreiner说:“最终,创始人是谁并不重要了。现在,比特币是一种‘开源’理念。它是分散的,我们都知道它是怎样工作的,所以它的创造者真的不能控制整个系统。我们有一天可能会知道谁是创造者,但我不认为这能带来太大的改变。加密货币会继续发展,我们将看到其他人还会使用公共区块链作为替代货币。”
安全官员认为,关注比特币只是浪费精力。一个安全执行官提到关注于比特币基金会,而不是讨论修改加密货币标准。
比特币的前提是系统不依赖于一个中央权威。因此,事实上,它是一个独立于任何人的对等银行系统,很难想象,找到比特币创始人或者让他合作能够终结比特币。
AppRiver的安全研究经理TroyGill同意,在一项宏大的计划中寻找一个人不会带来什么好处。“我认为,执法机构最好能够开发出某种形式的后门,使他们能够轻松地将比特币钱包与实际用户联系起来。”
Commvault解决方案营销总监DavidKing说:“在与勒索软件的斗争中,关注比特币就像唐吉歌德把风车当成敌人。我们真正面对的难题是企业不愿意实施整体数据管理策略来保护、管理和备份他们的所有数据。如果我们解决了这一难题,网络罪犯分子从勒索软件攻击中获利的能力会下降,因此,他们的攻击也会相应的减少。”
怎样应对勒索软件
这些安全高管针对如何减少勒索软件成功命中的次数而提出了几个关键主题:用户教育、有备份计划和不付款。
Miserendino说,对于信息化企业而言,勒索软件肯定是一种无处不在的瘟疫。检测和预防仍然是最好的药物,但勒索软件也应该像过去(以及现在)的黑社会/黑手党勒索活动那样在舆论上受到谴责。唯一被证明有效的方法是受害者不给罪犯分子付钱。
据身份窃取资源中心报道,2016年的勒索软件攻击事件大幅度增加。美国联邦调查局也指出,勒索软件受害者在2016年第一季度为找回他们的数据,赎金支付总额高达2.09亿美元。
Nachreiner说:“首先也是最重要的,受到勒索软件攻击的公司和个人应停止支付。我知道,如果您不是受害者,这说起来容易。当受害者‘还在医院接受重症护理’时,要做出决定是非常困难的。尽管如此,是受害者屈服于勒索,使得勒索软件成为网络犯罪分子最有价值的商业模式。他们之所以专注于勒索软件,是因为这能够让他们成功地挣到钱。如果砍掉这种收益,他们就不会这样做了。”
灾难恢复和业务连续性计划应支持从任何攻击或者灾难中快速恢复。
Taylor说,勒索软件有许多方法去感染一个企业,但是绕过价值数十万、甚至数百万美元的安全投入最简单的方法是去攻击网络防御链最薄弱的环节——人类。
他说:“我们总是能看到电子邮件附件是网络罪犯的主要攻击媒介,97%的恶意软件是专门针对目标端点的,这让基于签名的技术毫无用处。”Glasswall的研究表明,依赖于宏身份认证的企业可能会漏掉文档中45%的其他恶意软件,例如Excel和Word文档,这足以使攻击者勒索目标企业。
总是要回到用户教育上。用户并不像我们希望的那样能够很快接受。Ponemon研究所在上个月发布的一项研究中报告说,48%受害于勒索软件的企业说他们已经付过赎金了。
FireEye的高级情报分析师JensMonrad说,很多受害者因为无法恢复被加密的数据而支付了赎金,因此,勒索软件还在不断发展。很多这类企业通常缺乏用于备份数据的内部程序。
SonicWall总裁兼首席执行官BillConner说:“不要低估加强‘员工防火墙’的重要性,要通过不断培训员工来识别和避免常见的威胁。2016年最常见的勒索软件变体是Locky,它一般以供应商提供发票为名向毫不知情的员工发送电子邮件。如果针对这种恶意手段对员工进行过教育,他们知道不要打开这些附件,那么,勒索软件攻击在过去一年就不会那么成功。”
James说,公众意识的提高促进了对定期备份系统的重视,并将数据远程安全地存储在多个地方。SonicWall的Conner说:“由于现在大家已经熟知要主动保护数据,因此最终只有门外汉会成为受害者,可能从现在开始的一到两年内无法恢复的情况会越来越少。
确保您用于备份数据的系统需要身份认证,或者不要总是在线。否则,如果您被勒索软件击中,您可能会发现自己恢复的是被加了密的备份。”
Nachreiner说,现代防御机制能够把大多数勒索软件挡在企业外面。在目前的威胁环境中,基本防火墙和防病毒系统是不够的。而现代安全控制包括了高级威胁防御等解决方案,使用行为分析功能发现新的勒索软件,甚至还提供威胁检测和响应工具,当恶意软件在您的主机上运行时,能够识别出恶意软件,在很多情况下能够阻止它加密文件。
Bugcrowd的可信和安全负责人JasonHaddix说,预防和减少影响是关键。网络周界和端点上强大的安全基础设施是很好的防御措施。网络保险也有助于降低风险。
Kalember指出,一些勒索软件现在尝试首先加密备份的数据,因此对于备份基础设施本身而言,正确的安全配置至关重要。
OneLogin首席信息安全官AlvaroHoyos也提到了要加强最终用户的教育。“Ransomware只是尾随在社交工程攻击中——只要有电子邮件它就会存在。技术保障措施可以帮助减少收件箱中出现的勒索软件攻击,但真正要依靠的是最终用户,依靠他们这些攻击才不会成功。因此,如果您的安全预算中没有用于安全意识培训和工具的项目,那么您做的还不够。”
Dome9的联合创始人兼首席执行官ZoharAlon说,弱安全措施和用户过错是勒索软件和数据劫持攻击越来越多的关键所在。为了摆脱勒索软件的威胁,企业应该从强大的多层防御着手。例如,在云环境中,这意味着投资基础技术,例如用于配置和漏洞管理、网络分段和流量可见性的工具,以及防病毒和漏洞屏蔽等技术。
Splunk安全研究主管MonzyMerza说,有效的勒索软件防御机制应同时包括了准备、分析和响应。其中每一方面都有人、流程和技术因素在内。对付勒索软件并没有什么高招。
Merza说:“防御勒索软件与防御可能影响您业务的其他威胁没有太大的区别。标准的网络防护环境最佳实践在这里都很重要,例如识别关键资产、制定能够减少损失的计划、审核用户权限、良好的补丁管理以及维护良好的备份等,因为这适用于任何威胁活动。”
Henderson说:“硬件故障总有可能会出现,但对于大多数人来说,只要他们养成了备份数据的良好习惯,其影响就不会太大。现在的存储以GB为单位,几乎是免费的,因此,没有任何借口不插上一个小巧的大容量USB硬盘,以备份您关键的和不可替代的文件,然后放在您的办公桌上。如果您有保险政策(这是您可以买到的最便宜的保险),即使您粗心的时候,也不用支付赎金。受害者将不再支付赎金了吗?攻击者会找到新方法来赚取现金。”
RyanFrancis是《网络世界》主编兼CSO。可以通过联系他。
OriginalArticleURL:
原文网址:
http://www.csoonline/article/3169681/security/would-killing-bitcoin-endransomware.html