Ryan+Francis

比特幣和勒索軟件好像聯(lián)手了，但專家解釋說，消滅網(wǎng)絡(luò)貨幣只會(huì)促使網(wǎng)絡(luò)犯罪分子找到其他匿名的方式去敲詐錢。

勒索軟件運(yùn)行得非常猖獗。SonicWall GRID威脅網(wǎng)絡(luò)公司發(fā)現(xiàn)，勒索軟件攻擊從2015年的380萬次增加到2016年的6.38億次。據(jù)Radware報(bào)告，49%的企業(yè)在2016年遭到過勒索軟件攻擊。攻擊者通常提出要一些網(wǎng)絡(luò)貨幣——一般是比特幣，作為交換來提供解密密鑰。

這引發(fā)的一個(gè)問題是，如果比特幣不再存在，勒索軟件攻擊是否會(huì)減少呢？安全專家的回答是“絕對不會(huì)”。他們認(rèn)為網(wǎng)絡(luò)犯罪分子會(huì)轉(zhuǎn)向使用其他匿名支付方法來繼續(xù)敲詐。

Absolute全球安全戰(zhàn)略專家Richard Henderson說：“除掉比特幣以阻止勒索軟件敲詐就像美國政府采用停止使用100美元鈔票的方法來試圖阻止毒販洗他們的臟錢。這不是正確的解決方法。這能讓那些從勒索軟件中掙了大錢的網(wǎng)絡(luò)攻擊者立刻停下來嗎？當(dāng)然，但也只是短暫的一瞬。”

他補(bǔ)充說：“攻擊者只會(huì)轉(zhuǎn)向采用另外幾十種流行的虛擬貨幣，或者轉(zhuǎn)向其他容易洗錢的工具，例如預(yù)付信用卡。還記的嗎，不久之前GreenDot MoneyPak是網(wǎng)絡(luò)犯罪分子最喜歡用的。攻擊者只會(huì)去尋找其他獲利的方式?！?/p>

盡管支付贖金讓人灰心喪氣，而很多安全專家說，切實(shí)減少勒索軟件的唯一辦法是用戶教育。

Henderson說：“我們很難輕易地?cái)[脫勒索軟件。只要人們還在努力讓他們的設(shè)備打好補(bǔ)丁以受到保護(hù)，只要有人打開不該打開的附件，或者點(diǎn)擊那些不該點(diǎn)擊的鏈接，攻擊者就能夠感染機(jī)器?！?/p>

他說，結(jié)束勒索軟件禍害最務(wù)實(shí)的解決方案是教給人們安全保護(hù)最基本的原則：不要訪問您懷疑可能是惡意或者冒名頂替的網(wǎng)站，一旦有更新就立即給您的機(jī)器打上補(bǔ)丁，不要打開您電子郵件中的附件。

他說：“如果您意外地收到您的兄弟或者阿姨的電子表格，那么不要打開它。打電話給他們，問問是不是他們發(fā)給您的。旅游公司不會(huì)出乎意料地向您發(fā)送電子郵件，告訴您有緊急路線更新。您的銀行或者PayPal不會(huì)通過電子郵件要求您‘確認(rèn)您的信息。也許最重要的是，您必須對您最關(guān)鍵的文件和數(shù)據(jù)進(jìn)行冷備份。在惡意軟件成為嚴(yán)重的問題很久之前，我們就一直在這些方面提醒人們?！?/p>

雖然除掉比特幣不會(huì)解決勒索軟件問題，但應(yīng)該弄清楚為什么比特幣在犯罪分子中如此受歡迎。犯罪分子把比特幣看成是“天降財(cái)神”。它支持匿名支付。您不能追蹤誰支付，或者支付給了誰。當(dāng)然，它還是一個(gè)完全數(shù)字化的支付方式，任何人都可以得到一個(gè)帳戶——或者兩個(gè)、三個(gè)、甚至一百個(gè)，沒有人會(huì)知道。

Agari的安全研究員兼首席科學(xué)家Markus Jakobsson說，雖然除掉比特幣可以減慢勒索軟件的攻擊，但他認(rèn)為這種目標(biāo)不太現(xiàn)實(shí)?！笆褂盟娜颂嗔?，并且以合法的方式從中獲利。比特幣有自己的世界，有它的基本原理。如果它以某種方式被關(guān)閉，那很快就會(huì)出現(xiàn)衍生品?！?/p>

我們反而應(yīng)該更深入的了解網(wǎng)絡(luò)犯罪分子的心理?！巴ㄟ^了解攻擊的本性，可以想出其他對策。最佳的解決方案是阻止比特幣濫用，而不是試圖阻止比特幣本身?！?/p>

如果不是比特幣，那會(huì)是什么？

Radware的安全研究員Daniel Smith說，考慮到可用的替代貨幣（例如，Monero、Litecoin、Ether、Dogecoin），即使除掉了比特幣，還可以使用其他二十多種加密貨幣。他補(bǔ)充說，在加密貨幣之前就有勒索軟件了。早在1989年，它被稱為PC Cyborg或者AIDS Trojan。那時(shí)，犯罪分子使用傳統(tǒng)的轉(zhuǎn)賬方法或者禮品卡。

Proofpoint網(wǎng)絡(luò)安全戰(zhàn)略高級副總裁Ryan Kalember說，比特幣是一種分散式的加密貨幣，因此，不可能除掉它。比特幣之所以能夠?qū)账鬈浖呐d起做出巨大貢獻(xiàn)是因?yàn)楸忍貛艑οM(fèi)者越來越友好，現(xiàn)在只需點(diǎn)擊幾下就可以變成任何外幣。

BluVector首席數(shù)據(jù)科學(xué)家Scott Miserendino說：“比特幣是一種方便勒索軟件工作的技術(shù)。如果除掉它，會(huì)有替代它的。這些勒索方法早在比特幣之前就存在了。雖然比特幣促進(jìn)了它們的傳播，但我不認(rèn)為簡單地除掉一種付款選擇就能夠阻止這種傳播——罪犯分子非常清楚勒索機(jī)制的有效性?！?/p>

Citrix的高級技術(shù)經(jīng)理Florin Lazurca說：“不幸的是，問題已經(jīng)不限于比特幣和勒索軟件，因?yàn)檫@只是眾多半匿名支付渠道中的一種。雖然它會(huì)減小攻擊的規(guī)模，避免自動(dòng)的和無意的交易，但照樣會(huì)采用任何缺少‘知道您的客戶標(biāo)準(zhǔn)的其他付費(fèi)方法。我們將不得不避免使用現(xiàn)金和WebMoney等其他數(shù)字貨幣?！?/p>

Flashpoint首席科學(xué)家Lance James說，雖然許多勒索軟件活動(dòng)使用比特幣來進(jìn)行交易，但這種情況下，相關(guān)并不意味著因果關(guān)系。在之后的公共活動(dòng)中，它恰好是一個(gè)流行的方法，如果您回頭看一下2013至2014年的CryptoLocker（第一次沉重打擊勒索軟件），攻擊者估計(jì)在三個(gè)月里平均獲得了3000萬美元，使用MoneyPak卡進(jìn)行的支付。

James說：“事實(shí)上，比特幣實(shí)際上可以阻止勒索軟件攻擊成功，因?yàn)榇蟛糠质芎φ呖赡懿涣私庠鯓邮褂帽忍貛?，也不知道怎樣把錢轉(zhuǎn)換成比特幣。勒索軟件攻擊者會(huì)在其攻擊中盡可能減少?zèng)_突，讓贖金盡可能少一些，以防止用戶尋求專業(yè)援助解鎖他們的數(shù)據(jù)——這種服務(wù)的成本會(huì)比贖金高。攻擊者在大量的攻擊中都會(huì)與受害者和好?！?/p>

James提到了最近出現(xiàn)的“犯罪軟件即服務(wù)”——技術(shù)智商較低的一些人簡單的在網(wǎng)上購買

KomodoSec首席執(zhí)行官兼聯(lián)合創(chuàng)始人Boaz Shunami說，除掉比特幣不會(huì)對勒索軟件的傳播產(chǎn)生任何影響。他說：“勒索軟件是暗網(wǎng)上的大生意。它是網(wǎng)絡(luò)犯罪武器庫中一個(gè)標(biāo)準(zhǔn)的戰(zhàn)術(shù)工具，也是最有利可圖的。您實(shí)際上可以購買勒索軟件即服務(wù)?！?

Glasswall的產(chǎn)品副總裁Simon Taylor說：“勒索者和惡意軟件參與者都非常精明，會(huì)竭盡全力尋找其他形式的匿名化數(shù)字貨幣，或者掩蓋其惡意活動(dòng)的方法?？傊?，只要有保持匿名和安全轉(zhuǎn)移資金的方法，勒索軟件就會(huì)繼續(xù)發(fā)展。”

從頭拿下比特幣？

專家說，中本聰（Satoshi）甚至可能不是一個(gè)人，即使能夠跟蹤到他或者她，但近年來他們可能已經(jīng)遠(yuǎn)離比特幣，即使找到他也不關(guān)不上潘多拉的盒子。

誰在真正傳播比特幣一直是個(gè)謎。據(jù)維基百科，實(shí)際的創(chuàng)作者，只知道這是一個(gè)假名——中本聰（Satoshi Nakamoto）。許多調(diào)查記者試圖追蹤誰在操縱網(wǎng)絡(luò)貨幣，但無濟(jì)于事。

Lazurca說：“從內(nèi)部除掉比特幣需要高度中心化并結(jié)合很強(qiáng)的‘挖礦能力，從根本上破壞對系統(tǒng)的信任和投資。從外部除掉比特幣則需要擺脫互聯(lián)網(wǎng)?！?/p>

中本聰自稱是一個(gè)住在日本，1975年左右出生的人。而關(guān)于中本聰?shù)恼鎸?shí)身份，猜測主要集中在生活在美國和歐洲的非日本血統(tǒng)的一些密碼學(xué)和計(jì)算機(jī)科學(xué)專家身上。據(jù)維基百科，有一個(gè)人——澳大利亞程序員Craig Steven Wright聲稱是中本聰，盡管他還沒有提供證據(jù)。

WatchGuard技術(shù)公司的首席技術(shù)官Corey Nachreiner說：“最終，創(chuàng)始人是誰并不重要了?，F(xiàn)在，比特幣是一種‘開源理念。它是分散的，我們都知道它是怎樣工作的，所以它的創(chuàng)造者真的不能控制整個(gè)系統(tǒng)。我們有一天可能會(huì)知道誰是創(chuàng)造者，但我不認(rèn)為這能帶來太大的改變。加密貨幣會(huì)繼續(xù)發(fā)展，我們將看到其他人還會(huì)使用公共區(qū)塊鏈作為替代貨幣。”

安全官員認(rèn)為，關(guān)注比特幣只是浪費(fèi)精力。一個(gè)安全執(zhí)行官提到關(guān)注于比特幣基金會(huì)，而不是討論修改加密貨幣標(biāo)準(zhǔn)。

比特幣的前提是系統(tǒng)不依賴于一個(gè)中央權(quán)威。因此，事實(shí)上，它是一個(gè)獨(dú)立于任何人的對等銀行系統(tǒng)，很難想象，找到比特幣創(chuàng)始人或者讓他合作能夠終結(jié)比特幣。

AppRiver的安全研究經(jīng)理Troy Gill同意，在一項(xiàng)宏大的計(jì)劃中尋找一個(gè)人不會(huì)帶來什么好處?！拔艺J(rèn)為，執(zhí)法機(jī)構(gòu)最好能夠開發(fā)出某種形式的后門，使他們能夠輕松地將比特幣錢包與實(shí)際用戶聯(lián)系起來?！?/p>

Commvault解決方案營銷總監(jiān)David King說：“在與勒索軟件的斗爭中，關(guān)注比特幣就像唐吉歌德把風(fēng)車當(dāng)成敵人。我們真正面對的難題是企業(yè)不愿意實(shí)施整體數(shù)據(jù)管理策略來保護(hù)、管理和備份他們的所有數(shù)據(jù)。如果我們解決了這一難題，網(wǎng)絡(luò)罪犯分子從勒索軟件攻擊中獲利的能力會(huì)下降，因此，他們的攻擊也會(huì)相應(yīng)的減少。”

怎樣應(yīng)對勒索軟件

這些安全高管針對如何減少勒索軟件成功命中的次數(shù)而提出了幾個(gè)關(guān)鍵主題：用戶教育、有備份計(jì)劃和不付款。

Miserendino說，對于信息化企業(yè)而言，勒索軟件肯定是一種無處不在的瘟疫。檢測和預(yù)防仍然是最好的藥物，但勒索軟件也應(yīng)該像過去（以及現(xiàn)在）的黑社會(huì)/黑手黨勒索活動(dòng)那樣在輿論上受到譴責(zé)。唯一被證明有效的方法是受害者不給罪犯分子付錢。

據(jù)身份竊取資源中心報(bào)道，2016年的勒索軟件攻擊事件大幅度增加。美國聯(lián)邦調(diào)查局也指出，勒索軟件受害者在2016年第一季度為找回他們的數(shù)據(jù)，贖金支付總額高達(dá)2.09億美元。

Nachreiner說：“首先也是最重要的，受到勒索軟件攻擊的公司和個(gè)人應(yīng)停止支付。我知道，如果您不是受害者，這說起來容易。當(dāng)受害者‘還在醫(yī)院接受重癥護(hù)理時(shí)，要做出決定是非常困難的。盡管如此，是受害者屈服于勒索，使得勒索軟件成為網(wǎng)絡(luò)犯罪分子最有價(jià)值的商業(yè)模式。他們之所以專注于勒索軟件，是因?yàn)檫@能夠讓他們成功地掙到錢。如果砍掉這種收益，他們就不會(huì)這樣做了?！?/p>

災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)支持從任何攻擊或者災(zāi)難中快速恢復(fù)。

Taylor說，勒索軟件有許多方法去感染一個(gè)企業(yè)，但是繞過價(jià)值數(shù)十萬、甚至數(shù)百萬美元的安全投入最簡單的方法是去攻擊網(wǎng)絡(luò)防御鏈最薄弱的環(huán)節(jié)——人類。

他說：“我們總是能看到電子郵件附件是網(wǎng)絡(luò)罪犯的主要攻擊媒介，97%的惡意軟件是專門針對目標(biāo)端點(diǎn)的，這讓基于簽名的技術(shù)毫無用處?！盙lasswall的研究表明，依賴于宏身份認(rèn)證的企業(yè)可能會(huì)漏掉文檔中45%的其他惡意軟件，例如Excel和Word文檔，這足以使攻擊者勒索目標(biāo)企業(yè)。

總是要回到用戶教育上。用戶并不像我們希望的那樣能夠很快接受。Ponemon研究所在上個(gè)月發(fā)布的一項(xiàng)研究中報(bào)告說，48%受害于勒索軟件的企業(yè)說他們已經(jīng)付過贖金了。

FireEye的高級情報(bào)分析師Jens Monrad說，很多受害者因?yàn)闊o法恢復(fù)被加密的數(shù)據(jù)而支付了贖金，因此，勒索軟件還在不斷發(fā)展。很多這類企業(yè)通常缺乏用于備份數(shù)據(jù)的內(nèi)部程序。

SonicWall總裁兼首席執(zhí)行官Bill Conner說：“不要低估加強(qiáng)‘員工防火墻的重要性，要通過不斷培訓(xùn)員工來識別和避免常見的威脅。2016年最常見的勒索軟件變體是Locky，它一般以供應(yīng)商提供發(fā)票為名向毫不知情的員工發(fā)送電子郵件。如果針對這種惡意手段對員工進(jìn)行過教育，他們知道不要打開這些附件，那么，勒索軟件攻擊在過去一年就不會(huì)那么成功?！?/p>

James說，公眾意識的提高促進(jìn)了對定期備份系統(tǒng)的重視，并將數(shù)據(jù)遠(yuǎn)程安全地存儲(chǔ)在多個(gè)地方。SonicWall的Conner說：“由于現(xiàn)在大家已經(jīng)熟知要主動(dòng)保護(hù)數(shù)據(jù)，因此最終只有門外漢會(huì)成為受害者，可能從現(xiàn)在開始的一到兩年內(nèi)無法恢復(fù)的情況會(huì)越來越少。

確保您用于備份數(shù)據(jù)的系統(tǒng)需要身份認(rèn)證，或者不要總是在線。否則，如果您被勒索軟件擊中，您可能會(huì)發(fā)現(xiàn)自己恢復(fù)的是被加了密的備份。”

Nachreiner說，現(xiàn)代防御機(jī)制能夠把大多數(shù)勒索軟件擋在企業(yè)外面。在目前的威脅環(huán)境中，基本防火墻和防病毒系統(tǒng)是不夠的。而現(xiàn)代安全控制包括了高級威脅防御等解決方案，使用行為分析功能發(fā)現(xiàn)新的勒索軟件，甚至還提供威脅檢測和響應(yīng)工具，當(dāng)惡意軟件在您的主機(jī)上運(yùn)行時(shí)，能夠識別出惡意軟件，在很多情況下能夠阻止它加密文件。

Bugcrowd的可信和安全負(fù)責(zé)人Jason Haddix說，預(yù)防和減少影響是關(guān)鍵。網(wǎng)絡(luò)周界和端點(diǎn)上強(qiáng)大的安全基礎(chǔ)設(shè)施是很好的防御措施。網(wǎng)絡(luò)保險(xiǎn)也有助于降低風(fēng)險(xiǎn)。

Kalember指出，一些勒索軟件現(xiàn)在嘗試首先加密備份的數(shù)據(jù)，因此對于備份基礎(chǔ)設(shè)施本身而言，正確的安全配置至關(guān)重要。

OneLogin首席信息安全官Alvaro Hoyos也提到了要加強(qiáng)最終用戶的教育?！癛ansomware只是尾隨在社交工程攻擊中——只要有電子郵件它就會(huì)存在。技術(shù)保障措施可以幫助減少收件箱中出現(xiàn)的勒索軟件攻擊，但真正要依靠的是最終用戶，依靠他們這些攻擊才不會(huì)成功。因此，如果您的安全預(yù)算中沒有用于安全意識培訓(xùn)和工具的項(xiàng)目，那么您做的還不夠?！?/p>

Dome9的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Zohar Alon說，弱安全措施和用戶過錯(cuò)是勒索軟件和數(shù)據(jù)劫持攻擊越來越多的關(guān)鍵所在。為了擺脫勒索軟件的威脅，企業(yè)應(yīng)該從強(qiáng)大的多層防御著手。例如，在云環(huán)境中，這意味著投資基礎(chǔ)技術(shù)，例如用于配置和漏洞管理、網(wǎng)絡(luò)分段和流量可見性的工具，以及防病毒和漏洞屏蔽等技術(shù)。

Splunk安全研究主管Monzy Merza說，有效的勒索軟件防御機(jī)制應(yīng)同時(shí)包括了準(zhǔn)備、分析和響應(yīng)。其中每一方面都有人、流程和技術(shù)因素在內(nèi)。對付勒索軟件并沒有什么高招。

Merza說：“防御勒索軟件與防御可能影響您業(yè)務(wù)的其他威脅沒有太大的區(qū)別。標(biāo)準(zhǔn)的網(wǎng)絡(luò)防護(hù)環(huán)境最佳實(shí)踐在這里都很重要，例如識別關(guān)鍵資產(chǎn)、制定能夠減少損失的計(jì)劃、審核用戶權(quán)限、良好的補(bǔ)丁管理以及維護(hù)良好的備份等，因?yàn)檫@適用于任何威脅活動(dòng)?！?/p>

Henderson說：“硬件故障總有可能會(huì)出現(xiàn)，但對于大多數(shù)人來說，只要他們養(yǎng)成了備份數(shù)據(jù)的良好習(xí)慣，其影響就不會(huì)太大。現(xiàn)在的存儲(chǔ)以GB為單位，幾乎是免費(fèi)的，因此，沒有任何借口不插上一個(gè)小巧的大容量USB硬盤，以備份您關(guān)鍵的和不可替代的文件，然后放在您的辦公桌上。如果您有保險(xiǎn)政策（這是您可以買到的最便宜的保險(xiǎn)），即使您粗心的時(shí)候，也不用支付贖金。受害者將不再支付贖金了嗎？攻擊者會(huì)找到新方法來賺取現(xiàn)金?！?