近年來,各類網(wǎng)絡安全事件頻出,其中,勒索軟件快速發(fā)展為網(wǎng)絡安全威脅最嚴重的惡意軟件,成為網(wǎng)絡犯罪的主要形式之一。從政府網(wǎng)絡到關鍵信息基礎設施,從個人到企業(yè),從電腦設備到移動設備和服務器,勒索軟件攻擊無差別地影響著全球各個行業(yè)和領域、各類網(wǎng)絡用戶以及各種設備類型,給社會帶來嚴重的不利影響。本文主要探討分析了當前勒索軟件的威脅形勢、泛濫原因和攻擊特點,并提出一些應對勒索攻擊的防范策略。
一、勒索軟件威脅形勢日趨嚴重
勒索軟件是惡意軟件的一種類型,能夠通過鎖定設備或加密文件來阻止受害者對系統(tǒng)或數(shù)據(jù)的正常訪問,并以此向用戶勒索錢財,主要通過釣魚郵件、網(wǎng)頁掛馬、服務器入侵、系統(tǒng)漏洞、網(wǎng)絡共享文件和移動存儲介質(zhì)等方式進行傳播。勒索軟件并非新生事物,從第一個已知的勒索軟件出現(xiàn)至今,已有近30年的歷史,但近幾年勒索軟件發(fā)展迅猛,破壞性和影響力前所未有,引起全世界的廣泛關注。
(一)數(shù)量和攻擊頻次呈爆發(fā)式增長
勒索軟件出現(xiàn)以后一直在不斷變化演進過程中,數(shù)量和質(zhì)量都在逐漸上升。2016年,勒索軟件在全球范圍內(nèi)呈爆發(fā)式增長。趨勢科技的安全報告顯示,2016年勒索軟件家族的數(shù)量從2015年的29個增長至247個,上漲幅度752%。美國聯(lián)邦調(diào)查局2017年1月調(diào)查數(shù)據(jù)顯示,勒索軟件的贖金總額由2015年的2400萬美元躍升至2016年的10億美元。隨后的2017年堪稱勒索軟件史上最臭名昭著的一年,據(jù)權(quán)威機構(gòu)和知名安全企業(yè)稱,每天發(fā)生的勒索攻擊事件多達4000起,全年攻擊事件數(shù)量較上一年翻了一倍,新型勒索軟件變種增長46%。賽門鐵克2017年度在全球范圍內(nèi)攔截的WannaCry勒索攻擊多達54億次。2018 年,勒索軟件依舊肆虐,盡管整體數(shù)量增長有所放緩,但包括WannaCry、GandCrab、GlobeImposter、Satan、Crysis等在內(nèi)的勒索軟件變種層出不窮。其中,GandCrab自2018年1月被首次發(fā)現(xiàn)后,半年時間就連續(xù)出現(xiàn)了V1.0、V2.0、V2.1、V3.0、V4.0、V5.0.3等多個變種。在勒索軟件的迅猛攻勢下,中國也淪為重災區(qū),成為亞太地區(qū)受影響最嚴重的國家之一。其中,國家互聯(lián)網(wǎng)應急中心2017年捕獲新增勒索軟件近4萬個。360互聯(lián)網(wǎng)安全中心發(fā)現(xiàn)2017年5月至2018年 4月全國約有463.5萬臺電腦遭到勒索攻擊,且勒索軟件的質(zhì)量和數(shù)量還將不斷攀升。瑞星“云安全”系統(tǒng)2018年上半年共截獲勒索軟件樣本31.44萬個,感染共計456萬次。
(二)危害程度日益嚴重
勒索軟件不僅數(shù)量增幅快,而且危害日益嚴重,特別是針對關鍵基礎設施和重要信息系統(tǒng)的勒索攻擊,影響更為廣泛。值得一提的是,勒索攻擊的危害遠不止贖金造成的經(jīng)濟損失,更嚴重的是會給企業(yè)和組織機構(gòu)帶來額外的復雜性,造成數(shù)據(jù)損毀或遺失、生產(chǎn)力破壞、正常業(yè)務中斷、企業(yè)聲譽損害等多方面的損失。以WannaCry和NotPetya勒索軟件為例,2017年5月12日,黑客利用網(wǎng)上泄露的美國國家安全局武器庫中的“永恒之藍”攻擊工具,改造成為WannaCry系列勒索軟件,通過微軟系統(tǒng)漏洞瘋狂復制、大肆傳播,對受害主機文件實施加密勒索,其擴散速度之快、影響范圍之廣、危害程度之大史無前例。全球超過150個國家,金融、能源、醫(yī)療、教育等多個行業(yè)受到影響,英國國家醫(yī)療體系轄下五分之一的醫(yī)療機構(gòu)被迫取消所有急診接診和手術(shù)安排,受到影響的病人數(shù)以千計。德國、法國、俄羅斯等國機場、地鐵調(diào)度系統(tǒng)不同程度受到影響。我國教育、公安系統(tǒng)網(wǎng)絡成為重災區(qū),全國多地加油站無法進行網(wǎng)絡支付。6月27日,依舊利用“永恒之藍”漏洞傳播的NotPetya勒索軟件再度在歐洲大規(guī)模爆發(fā),致使烏克蘭等多國的機場、銀行和大型企業(yè)網(wǎng)絡遭到破壞,甚至陷入癱瘓。據(jù)歐洲刑警組織2018年版的“互聯(lián)網(wǎng)有組織犯罪威脅評估(IOCTA)”顯示,在大多數(shù)歐盟成員國中,勒索軟件仍位列惡意軟件威脅之首,而加密挾持也變得日益普遍。2018年3月,美國亞特蘭大市政系統(tǒng)的服務器成為勒索軟件攻擊的目標,攻擊事件影響了多個部門,并導致處理付款和傳遞法院信息的政府網(wǎng)站癱瘓。亞特蘭大市政府雖并未支付黑客索取的5.1萬美元贖金,但此次攻擊給該市帶來了至少270萬美元的直接經(jīng)濟損失,主要是作為應急成本,修復攻擊事件帶來的不利影響。6月,亞特蘭大市又追加950萬美元預算用以恢復受沖擊的關鍵系統(tǒng)和服務。8月,全球最大的半導體代工制造商臺積電生產(chǎn)工廠和營運總部電腦遭勒索病毒入侵,導致竹科、中科、南科等幾大廠區(qū)生產(chǎn)線停擺,造成臺積電1.7億美元(約合人民幣11.5億元)左右的經(jīng)濟損失。9月,英國布里斯托爾機場航班信息顯示系統(tǒng)遭遇勒索軟件攻擊,導致機場的航班顯示屏兩天無法正常顯示信息。
二、勒索軟件全球泛濫事出有因
勒索軟件伴隨著網(wǎng)絡犯罪技術(shù)的發(fā)展而發(fā)展,它快速迭代并迅速傳播,目前網(wǎng)絡勒索已成為對攻擊者而言“錢景可觀”的優(yōu)選獲利途徑,它在全球呈現(xiàn)高發(fā)態(tài)勢和大規(guī)模泛濫絕非偶然。
(一)攻擊低成本高回報助長勒索軟件盛行
勒索軟件的制作成本較低,多數(shù)情況下不需要增加投入就可進行持續(xù)攻擊,而被加密的往往是對企業(yè)機構(gòu)、政府部門和個人具有重要作用的系統(tǒng)和數(shù)據(jù),有些關鍵敏感數(shù)據(jù)甚至是企業(yè)的經(jīng)濟命脈,一旦泄露或損毀,將造成無法挽回的損失,支付贖金往往成為一種無奈的選擇。幾十美元甚至幾美元的制作成本有時可獲得數(shù)萬美元乃至更多的贖金。低犯罪成本和高回報率讓錢財勒索這一網(wǎng)絡犯罪行為在大數(shù)據(jù)時代具有極大的誘惑力,吸引越來越多的攻擊者參與其中。
(二)安全防護不足為勒索攻擊打開方便之門
勒索軟件雖然來勢迅猛,但并非不可防范,真正讓其屢屢得手的主因是用戶網(wǎng)絡安全意識普遍比較淡薄,缺乏必要防護策略,如重要文件的備份、病毒查殺、補丁更新、老舊設備淘汰換新等。360安全中心2017年接到的2000多位勒索軟件受害者求助中,絕大多數(shù)受害者都沒有正常使用安全軟件進行防護,甚至有不少受害者電腦沒有安裝任何安全軟件,導致勒索軟件能夠輕易入侵感染。一些政企機構(gòu)員工的安全意識也明顯不強,內(nèi)部安全管理存在紕漏,安全措施缺位,導致整體安全防御能力薄弱。另外,安全監(jiān)控軟件的病毒檢測能力也存在問題,對付大量新型勒索軟件略顯乏力。在NotPetya來襲時,研究人員測試的60款安全軟件中,只有2款軟件在第一時間檢測到了這種勒索病毒,這種情況間接給不法分子的攻擊行動提供了可乘之機。
(三)網(wǎng)絡技術(shù)快速進步促使勒索能力不斷升級
勒索軟件技術(shù)的發(fā)展使其在加密方式、傳播手段、躲避檢測等方面不斷更新。當前最流行的加密勒索軟件早已拋棄可被破解的對稱加密算法,普遍采用非對稱的強加密算法,除了付費獲得密鑰,別無其他解密方法。勒索軟件新變種層出不窮,每個變種都添加一些新技術(shù),擁有加強的新功能,越來越多利用組合模式的傳播手段和多種高級技術(shù)躲避查殺,致使破解難度越來越大,而且破解速度遠遠跟不上新病毒或變種的推出速度。新技術(shù)的更迭讓勒索軟件“如虎添翼”,得以跨越安全防線,達到感染用戶的目的。
(四)比特幣和匿名網(wǎng)絡間接充當非法活動“保護傘”
勒索攻擊活動之所以如此猖獗,一部分原因是以比特幣為代表的匿名支付手段和匿名通信網(wǎng)絡被攻擊者惡意利用。比特幣是一種去中心化的虛擬數(shù)字貨幣,不受央行和任何金融機構(gòu)的控制,可有效隱藏攻擊者的身份,可以說,比特幣的出現(xiàn)為網(wǎng)絡勒索提供了低風險、易操作、便捷性強的贖金交易和變現(xiàn)方式,成為網(wǎng)絡犯罪活動的主要支付形式。攻擊者對比特幣的青睞促使比特幣價格暴漲,引發(fā)了更多利用勒索軟件向用戶勒索比特幣的攻擊事件。除支付手段外,允許匿名通信的洋蔥網(wǎng)絡也協(xié)助掩蓋了攻擊的來源。病毒制作者常將勒索服務器搭建在暗網(wǎng),通過洋蔥網(wǎng)絡與受害者進行通信。這些手段先進實用,又唾手可得,將網(wǎng)絡勒索的非法活動保護在“匿名”的羽翼之下,讓追蹤溯源變得異常困難。
(五)勒索服務市場繁榮為黑客斂財提供了便利
勒索軟件的利益誘惑讓無數(shù)網(wǎng)絡罪犯看到了迅速斂財?shù)臋C會,也催生了勒索服務市場商業(yè)模式的興起,出現(xiàn)大量以售賣勒索軟件為主要營生的勒索軟件即服務(RaaS)暗網(wǎng)平臺,并逐漸形成完整成熟的產(chǎn)業(yè)鏈。這些平臺為缺乏技能、資源和時間的黑客提供很多現(xiàn)成的解決方案和勒索服務,從勒索軟件的開發(fā)、技術(shù)支持、分銷、質(zhì)保到售后,甚至包括專門的勒索咨詢服務和惡意產(chǎn)品定制服務。不具備任何專業(yè)技術(shù)知識的攻擊者也可以毫不費力地發(fā)起網(wǎng)絡敲詐活動,從勒索產(chǎn)業(yè)中分一杯羹。
三、勒索軟件攻擊特點顯著
勒索軟件給網(wǎng)絡安全帶來的威脅清晰可見,但它并未隨著防御手段的升級和完善而偃旗息鼓,相反,病毒在與安全防御技術(shù)的對抗過程中不斷優(yōu)化自身,復雜性和多樣性持續(xù)增長,更新迭代速度明顯加快,試圖以更隱蔽的形式發(fā)動更猛烈的攻勢,來獲取更大的利益。勒索軟件在發(fā)展演變過程中呈現(xiàn)出以下特點。
(一)攻擊目標多樣化
一是從電腦端到移動端。勒索軟件大多以電腦設備為攻擊目標,其中Windows操作系統(tǒng)是重災區(qū)。數(shù)據(jù)表明,當前電腦端的勒索軟件數(shù)量仍在上升,盡管增速有所放緩。但隨著移動互聯(lián)網(wǎng)的普及,勒索軟件的戰(zhàn)場開始從電腦端蔓延至移動端,并且有愈演愈烈的趨勢。俄羅斯卡巴斯基實驗室檢測發(fā)現(xiàn),2017年有161個國家的11萬多個用戶遭到移動勒索軟件的攻擊,移動勒索軟件安全包多達54.4萬個,是2016年的2倍,比2015年則增長了17倍。而我國移動平臺的感染情況更為嚴峻,360烽火實驗室2017年前9個月捕獲的惡意勒索軟件就達到50余萬個,平均每月5.5萬個。目前,移動端勒索軟件已形成超千萬的產(chǎn)業(yè)規(guī)模,威脅程度不容小覷。
二是從個人用戶到企業(yè)設備。個人設備在勒索軟件攻擊目標中一直占據(jù)較高比例。但隨著傳統(tǒng)勒索軟件盈利能力的持續(xù)下降,對更高利潤索取的期待驅(qū)使黑客將攻擊重點進一步聚焦在企業(yè)的關鍵業(yè)務系統(tǒng)和服務器上。比如勒索軟件Rrebus就通過加密153臺Linux 服務器,輕松從韓國Web托管公司Nayana收取了高達100萬美元的贖金。在被針對的企業(yè)目標中,中小企業(yè)因安全架構(gòu)單一,更容易被攻破。震驚全球的WannaCry攻擊事件中,中小企業(yè)就是主要受害者。據(jù)不完全統(tǒng)計,2017年約15%的勒索軟件攻擊是針對中小企業(yè)服務器發(fā)起的定向攻擊。
(二)攻擊目的復雜化
一是以勒索軟件為掩護,實施網(wǎng)絡破壞或間諜行動。從傳統(tǒng)角度來看,勒索攻擊不外乎是要達到向受害者索要金錢的經(jīng)濟目的。但實際案例顯示,日益猖獗的勒索軟件正在成為其他網(wǎng)絡攻擊者的利用手段,一些勒索軟件徒有“勒索”之名,本質(zhì)上只是充當了網(wǎng)絡破壞行動或間諜行動的掩護,以掩蓋攻擊者的真實目的。最典型的案例莫過于NotPetya事件,該軟件作者精心設計制作了傳播、破壞的功能模塊,通過竊取憑證讓病毒大肆傳播,而勒索贖金模塊卻制作粗糙、漏洞百出,受害者甚至根本無法成功支付贖金。另外,攻擊者還通過改寫硬盤的主引導記錄,導致對用戶數(shù)據(jù)的編碼不可逆。這款惡意軟件的代碼和其他證據(jù)表明,NotPetya很可能是一次精心策劃的以勒索軟件攻擊作為偽裝的故意破壞性攻擊事件。除破壞目的,攻擊者也可能借勒索之名實施網(wǎng)絡間諜活動,使事件響應人員將工作重點放在文件解密上,而非集中精力調(diào)查真實的被攻擊緣由。
二是以勒索軟件為手段,實現(xiàn)多重牟利目的。盡管目前大多數(shù)勒索軟件只是對文件進行加密,發(fā)送加密密鑰從而進行解密,并從受害者那兒獲得贖金。但隨著勒索軟件攻擊手段的花樣翻新,勒索軟件樣本也可能會在加密數(shù)據(jù)前采取較多惡意行動,如進行滲透操作,竊取企業(yè)服務器中的關鍵敏感數(shù)據(jù)。一方面對受害企業(yè)施加壓力,迫使其支付贖金恢復數(shù)據(jù)所有權(quán);另一方面還可以在地下暗網(wǎng)上出售這些敏感數(shù)據(jù),從而獲得更多潛在利益。這種邊勒索、邊竊取、邊倒賣敏感資料的攻擊行為越來越受到黑客青睞。
(三)攻擊范圍擴大化
一是從地理區(qū)域看,攻擊范圍擴展至全球。WannaCry勒索軟件攻擊潮爆發(fā)之前,攻擊者普遍傾向于攻擊信息化程度較高、網(wǎng)絡設施發(fā)達的國家和地區(qū),因為這些國家和地區(qū)對網(wǎng)絡的依賴程度基本決定了攻擊者更容易獲取到錢財利益。而攻擊也多是小范圍內(nèi)發(fā)生的事件,影響程度有限。但WannaCry打破了攻擊行為的針對性和本地化特征,是歷史上第一次全球范圍爆發(fā)的大規(guī)模惡意程序攻擊。隨后的NotPetya、“壞兔子”等其他勒索軟件繼續(xù)延續(xù)了WannaCry的全球影響威力。種種攻擊事件表明,“不甘寂寞”的勒索軟件已從小規(guī)模感染轉(zhuǎn)變?yōu)榇蠓秶鷤鞑,甚至擴展到了許多信息化水平不高的國家和地區(qū),這些地區(qū)的用戶在應對勒索軟件方面經(jīng)驗不足,且勒索軟件攻擊者在這些地區(qū)的競爭不激烈,牟利反而容易得多。
二是從行業(yè)領域看,攻擊范圍拓展至全領域。在勒索軟件的迅猛攻勢下,金融、醫(yī)療、交通、能源、通信、制造、教育等諸多關鍵基礎設施和重要行業(yè)領域無一幸免。全球多家金融機構(gòu)、波音飛機制造公司、美國科羅拉多交通部、亞特蘭大市政府網(wǎng)絡、北卡羅來納州政府服務器、印第安納州漢考克地區(qū)醫(yī)院系統(tǒng)、烏克蘭能源和煤炭工業(yè)部等均成為勒索軟件的受害者。更令人擔憂的是,醫(yī)院遭到惡意軟件勒索的概率正在上升,而醫(yī)院受到攻擊造成的影響會遠比大多數(shù)其他機構(gòu)更為可怕,甚至危及病人的生命安全。伴隨著物聯(lián)網(wǎng)、云計算等新技術(shù)熱度的持續(xù)升高,勒索軟件還將逐步向大數(shù)據(jù)、云服務、物聯(lián)網(wǎng)等新興領域擴散,其中包括智能家居、智能汽車等多個方面,都會成為勒索活動的新戰(zhàn)場。以智能家居為例,在物聯(lián)網(wǎng)上建立起來的智能家居網(wǎng)絡將是物聯(lián)網(wǎng)領域最具潛力的市場載體,面臨勒索軟件的攻擊危險更大。2016年召開的全球頂級安全會議Def Con上,兩名白帽黑客就曾演示了勒索軟件如何成功入侵智能恒溫器。
(四)攻擊方式專業(yè)化
一是傳播加密手段更加多元。為感染更多設備,并在內(nèi)部日益激烈的競爭中脫穎而出,許多勒索軟件開始創(chuàng)新傳播手段。首先,借助更多的漏洞、更隱蔽的方式進行初始傳播,并越來越多地利用社交媒體作為傳播方式,如通過在臉書、推特、微博等網(wǎng)站上分享的惡意內(nèi)容誘惑受害者點擊惡意鏈接。其次,部分勒索軟件吸收了蠕蟲病毒的特點,自我復制能力越來越強,比如WannaCry、NotPetya等就以感染的設備為跳板,然后利用漏洞或“管理員共享”功能在網(wǎng)絡中自動滲透,攻擊局域網(wǎng)內(nèi)的其他電腦,形成“一臺中招,一片遭殃”的情況。再次,針對各企業(yè)對于軟件供應鏈的管理弱點,通過行業(yè)供應鏈攻擊傳播勒索軟件的案例也時有發(fā)生;臃碌氖侄我炎層脩舴啦粍俜,同時加密能力也在升級,比如2018年10月被發(fā)現(xiàn)擴散到國內(nèi)的Satan勒索軟件最新變種V4.2就升級了加密算法,促使殺毒軟件原有的解密方案隨病毒升級而失效。該病毒利用服務器組件的漏洞進行攻擊傳播,會對硬盤中的重要數(shù)據(jù)文件進行全部加密。Satan依靠差異化攻擊手段,不僅使企業(yè)用戶損失慘重,而且個人用戶亦被波及。
二是偽裝躲避技能更加高超。與其他惡意軟件相比,勒索軟件的偽裝躲避技能毫不遜色,網(wǎng)絡犯罪分子越來越傾向于以不留痕跡的方式利用勒索軟件,讓防御人員措手不及。一方面是勒索軟件的靜默期會不斷延長。截至2018年3月,360烽火實驗室捕獲的超20萬個代刷軟件中,有超半數(shù)是經(jīng)過了偽裝的惡意勒索軟件。這類軟件在首次啟動后會自動進入“隱藏模式”,使得用戶日常無法感知和卸載,以此達到長期潛伏、持續(xù)作惡的目的。另一方面是采用更高級的免殺技術(shù)。例如,2017年12月研究人員剛提出Process Doppelg?nging新型代碼注入技術(shù),這種技術(shù)可繞過Windows系統(tǒng)上所有反病毒安全機制,2018年5月,研究人員就發(fā)現(xiàn)該技術(shù)被SynAck勒索軟件新變種所利用。
(五)勒索服務產(chǎn)業(yè)化
勒索軟件不斷擴大的市場機遇催生了新的盈利模式——勒索軟件即服務(RaaS)。在這種模式下,勒索軟件正式進入到類似于商業(yè)軟件的產(chǎn)業(yè)化發(fā)展階段,在暗網(wǎng)市場中進行著勒索軟件整套體系服務的交易,任何想非法獲利的人士都可能利用RaaS平臺提供的現(xiàn)成解決方案。根據(jù)反病毒服務提供商Carbon Black 2017年10月發(fā)布的調(diào)查報告,全球有超過6300個暗網(wǎng)平臺提供勒索軟件交易,勒索軟件的銷售總額從2016年的25萬美元達到2017年的620萬美元,增長了約25倍(21個全球頂級暗網(wǎng)平臺監(jiān)測結(jié)果推算得出)。勒索軟件的開發(fā)人員也獲得了不少收益,一些開發(fā)者年收入能超過10萬美元,而在合法商業(yè)軟件領域,程序員的收入大約為7萬美元。團體運作模式大大提升了專業(yè)化程度,助長了易用、定制工具的出現(xiàn),開發(fā)人員不需要獨立研發(fā)整套工具包,只專注其中某一環(huán)節(jié)和某一項技術(shù),即可執(zhí)行有針對性的攻擊和勒索,且成功概率更大,影響更嚴重。黑產(chǎn)市場的繁榮進一步助推勒索軟件以更猛的勢頭向更廣的范圍持續(xù)蔓延。
四、應對勒索軟件攻擊刻不容緩
網(wǎng)絡世界的攻防一直是惡意攻擊者與防御者之間此消彼長的博弈過程。目前,勒索軟件的危害還在持續(xù)擴大,如果不能強化應對措施,在巨額利潤的驅(qū)使下,勒索軟件將有可能進一步爆發(fā),造成更大的危害。當然,防范勒索軟件攻擊是個系統(tǒng)化工程,需要綜合施策、系統(tǒng)治理、多方聯(lián)合,形成預防與打擊勒索軟件的包圍圈,清除生存土壤,讓勒索軟件無處藏身。
(一)宣傳教育,提高安全意識
多數(shù)情況下,勒索攻擊屢試不爽的原因不是病毒本身有多強大,而是抓住了用戶安全意識淡薄的軟肋,得以趁虛而入。因此,提高安全防范意識,不給勒索軟件提供可乘之機,才是應對勒索攻擊的首要抓手。針對普通用戶,可借助媒體、網(wǎng)站平臺等手段加強有關勒索軟件危害的知識傳播和安全防范宣傳教育,增強用戶的安全意識。針對企事業(yè)單位,可通過勒索軟件案例對員工進行培訓,提供最佳實踐,教育員工如何識別網(wǎng)絡釣魚,開展模擬演練,增強員工安全防范意識,始終保持高度警惕,降低人為引入網(wǎng)絡威脅的概率。
(二)立法先行,完善法律保障
要解決勒索軟件肆虐橫行的問題,法律法規(guī)的重要性不言而喻。實踐中,盡管許多網(wǎng)絡安全公司監(jiān)測到了大量的勒索軟件攻擊行為,但進入執(zhí)法環(huán)節(jié)的極為罕見。這其中既涵蓋了受害者法律意識的不足,也包括了法律本身的缺位。立法打擊勒索軟件是正確的一步。美國加利福尼亞州2016年9月就推出了關于反勒索軟件的法律,對檢察機關起訴和定罪勒索罪犯做出了清晰規(guī)定,以打擊使用惡意軟件對重要數(shù)據(jù)進行加密并要求支付贖金的網(wǎng)絡攻擊者。我國現(xiàn)行法律沒有針對勒索軟件的專門性規(guī)定,但在《中華人民共和國網(wǎng)絡安全法》等多項法律文件中定義了一般性的網(wǎng)絡犯罪活動。為了更有效地打擊勒索軟件,包括其產(chǎn)生源頭的暗網(wǎng)交易市場,需要建立更為完善有針對性的法律法規(guī),重拳治理網(wǎng)絡勒索犯罪活動。
(三)系統(tǒng)治理,構(gòu)建多層防御
很多勒索軟件結(jié)合了復雜的高級網(wǎng)絡攻擊,單一防護手段和防護力量無法抵御,需要充分發(fā)揮政府、企業(yè)、用戶多主體作用,構(gòu)建網(wǎng)絡安全綜合治理體系,搭建多層防御系統(tǒng),編織出一張嚴密的勒索攻擊防御之網(wǎng)。一是政府應制定勒索攻擊恢復指南并建立專門的應急響應小組,可以在勒索攻擊發(fā)生時協(xié)助企業(yè)應對并恢復網(wǎng)絡、數(shù)據(jù),同時將病毒樣本、處理方法及防范措施整理歸檔,便于日后不斷完善監(jiān)控、檢測方案。如美國國家標準技術(shù)研究院(NIST)2017年9月發(fā)布了幫助遭受勒索軟件攻擊的企業(yè)制定數(shù)據(jù)恢復計劃的專門指南,提供了包括高級架構(gòu)、實現(xiàn)案例、安全特性分析等正確處理勒索軟件攻擊的方法建議。二是企業(yè)應建立事前預防、事中監(jiān)控、事后響應三位一體的綜合性防護策略。這不僅應包括定期修補漏洞、備份數(shù)據(jù),還應包括高級威脅防護、網(wǎng)關防病毒、入侵防御等多個重疊和相互支持的防御系統(tǒng),以防止任何特定技術(shù)或保護措施中的單點失效,同時組建專業(yè)的事件響應團隊。三是建立起行業(yè)部門間有效的勒索軟件威脅信息共享機制,提升彼此的網(wǎng)絡風險防控能力。
(四)注重技術(shù),加大研發(fā)力度
針對勒索軟件攻擊技術(shù)創(chuàng)新快、應對難度大等問題,應加大反勒索軟件的技術(shù)研發(fā)力度,充分利用各類新技術(shù),包括人工智能技術(shù)、區(qū)塊鏈技術(shù)、智能誘捕技術(shù)、SONAR行為檢測技術(shù)、智能文件格式分析技術(shù)、文檔自動備份隔離保護技術(shù)、智能威脅云、密碼保護技術(shù)。特別是人工智能機器學習技術(shù)會在勒索軟件識別檢測方面發(fā)揮重要作用,先進的機器學習技術(shù)可以找出勒索軟件中可能出現(xiàn)的因素,并隨時根據(jù)新勒索軟件特征進行調(diào)整,以尋找多個惡意行為的組合方式正確辨識出勒索軟件與合法軟件,提升應對能力。
(五)聯(lián)合打擊,各國共同行動
勒索軟件是廣泛存在的網(wǎng)絡安全問題,在網(wǎng)絡高度互聯(lián)互通的時代無差別地影響著世界各個國家。打擊這種網(wǎng)絡犯罪也并非一己之力可為,需要全球聯(lián)合行動。2016年7月,卡巴斯基實驗室、荷蘭國家警察、歐洲刑警組織和英特爾安全公司率先聯(lián)合啟動了“拒絕勒索軟件”項目,為執(zhí)法機關和私營企業(yè)聯(lián)合對抗勒索軟件開啟了新的合作模式。目前,該項目的合作伙伴數(shù)量已達120多家,提供50多款免費解密工具,為35000多名用戶免費找回了丟失的文件,免交了約1000萬歐元的勒索費用。該項目的成功說明面對勒索軟件這一全球性問題,需要各國主動聯(lián)合行動,同時也需要探索和建立更多有效的國際合作模式,共同應對網(wǎng)絡威脅。
(原載于《保密科學技術(shù)》雜志2018年12月刊)