的 Shadow Pandemic: Ransomware’s Present and Future Dangers for Corporations

在抗击COVID-19的持续斗争中, global governments and businesses face yet another viral threat—one from 哪一个 no one is immune. 勒索软件攻击在过去两年中不断升级，国际刑警组织现在认为这是一种全球性的流行病. 在一个 紧急行动呼吁 2021年年中发行, 尤尔根•股票, 全球安全组织的秘书长, 他说，打击勒索软件已经成为一项太大的任务，任何组织或行业都无法单独完成. 没有全球反应, 他说, nothing can curb the exponential growth of the ransomware crime spree.

In October, the White House’s National Security Council convened a global virtual 网络安全峰会, 30个参与国承诺组建一个类似北约的联盟，专注于网络防御. 但Toptal咨询的专家表示，企业领导人也必须参与到与勒索软件的斗争中来.

“这不仅仅是一群政府和国际刑警组织这样的国际组织,” V.S. Subrahmanian, 在网络安全研究和反恐方面处于世界领先地位, 他还是哈佛大学的教授和教员 罗伯塔·巴菲特全球事务研究所 他告诉total Insights. 勒索软件的防范必须“包括大公司”, and it has to 包括 the people thinking about these things very deeply, 比如独立的或学术的研究者.”

勒索软件攻击已经升级到国际刑警组织现在认为它们是一种全球流行病的程度.

减缓勒索软件生态系统的增长，捍卫全球经济，将在现在和未来保护企业. 即使是拥有黄金标准网络安全检查清单的公司，也无法免受当今勒索软件的威胁. 而那些相信自己可以通过花钱摆脱攻击的企业领导人，可能只会在得知这一点时感到不安 8%的人付钱给黑客 把他们所有的数据都拿回来.

“Right now attackers are constantly evolving their strategies to evade or overcome defenses, 所以这是一场持久战,Subrahmanian说, 谁是SentiMetrix的联合创始人, a data science and social analytics company that partners with US government agencies, 财富500强企业, 一流的大学. “的 number of attacks is going up and all enterprises are under threat.”

当前的游戏状态

在2020年COVID-19关闭期间，突然转向远程工作和对云计算的依赖程度增加，暴露了许多公司网络的弱点，并为恶意软件程序创造了更多的入口点，使黑客能够锁定组织的数据, 把它从公司的电脑上删除, 然后把它放在外部服务器上.

美国组织的总金额 支付给勒索软件攻击者 从2019年到2021年6月增加了一倍多, 根据美国财政部金融犯罪执法网络(FinCen)的估计，. 的 平均赎金金额 对每个受害者的要求也激增, from just shy of $1 million dollars in 2019 to more than $5 million in 2020, 根据第42单元, 该公司是网络安全公司帕洛阿尔托网络旗下的全球威胁研究和恶意软件分析小组.

In one of the most crippling attacks in recent history, hackers forced the shutdown of 汽油的供应 to much of the Eastern Seaboard of the US for five days in 2021, until Colonial Pipeline Co. 支付4美元.400万赎金. 大约在同一时间，总部位于芝加哥的保险巨头CNA 向勒索软件攻击者支付4000万美元创下了个人攻击的新高.

In late 2021, global HR software solutions leader Ultimate Kronos Group was 被攻击击中 这使得主要雇主在圣诞节假期前两周争先恐后地寻找其他方式来支付工人的工资. 赎金要求的金额尚未公布, 但它可能是巨大的, 考虑到UKG报告的收益为 $3.30亿年 in 2021.

犯罪分子利润的指数级增长吸引了来自世界各地的更多机会主义者. 众所周知，中国是一个 网络犯罪热点; other active countries for hackers 包括 巴西，波兰，伊朗，印度，美国， 俄罗斯和乌克兰.

今天的勒索软件攻击越来越残忍

Ransomware attacks used to follow a very simple procedure: “You would be attacked. 你的一些文件会被加密. You’d have to pay a ransom in Bitcoin in order to get those files back,Subrahmanian说. 这类攻击始于20世纪80年代末, 当计算机病毒通过软盘传播给毫无戒心的受害者时，他们不得不向匿名的P.O. 盒子来解锁电脑. 随着全球商业转移到网上，这些计划也随之转移.

多年来, 组织意识到，经常将文件备份到外部硬盘驱动器或云服务器可以消除数据锁定的威胁. “So what the ransomware threat actors did was to change their modus operandi,” Subrahmanian says. “When they carry out an attack, they don’t just encrypt your data. 他们也偷了一些.”

黑客利用窃取的数据，在攻击期间经常使用多达四种勒索手段. 第一种方法是对受害者的数据进行加密，并将其转移到网络罪犯控制的服务器上. 第二种威胁是公开发布公司的专有机密或可能损害公司声誉的信息. A third type of extortion involves threatening a Denial of Service (DOS) attack, 它会关闭一个组织面向公众的网站.

这些都是非常具有侵略性的网络攻击，实施这些攻击的人比民族国家拥有更多的权力. DevSecOps专家奥斯汀调光器

A new, fourth type of ransomware extortion—so-called “external extortion”—emerged in 2020 in 第一次针对…的攻击 这是一家在芬兰经营25家心理健康诊所的私营公司. 攻击者不仅要求支付赎金，这样该公司才能重新获得对其系统的访问权限，并避免其内部数据被公布, the criminals also extorted tens of thousands of individual patients, 他们威胁说，如果他们不支付平均每人200欧元的费用，就公开他们的秘密治疗师笔记和治疗记录.

“的se are really aggressive cyberattacks and the guys that have been carrying out these attacks, 他们现在比民族国家更有权力,” 奥斯汀调光器 告诉total Insights. …专家 DevSecOps (开发, 安全, and operations) who has built and managed secure networks for the European Commission, 乐高, 和阳狮国际, 迪默见识过网络罪犯的工作. “他们冷酷无情，毫不留情.”

复杂的网络使得攻击者难以被抓住

勒索软件市场的分散性和复杂性使得逮捕攻击者变得异常困难. 实施单一攻击的人的网络远远超出了创建恶意软件的恶意软件开发人员. 开发人员很少自己实施攻击. Rather, they dump their wares onto the dark web for purchase or rent. 在这一点上, 分销商与开发商签订合同，以获得部署软件和实施攻击的权利.

然后, 一旦支付了赎金, 一个加密货币洗钱网络正在兴起, scrubbing the funds and distributing the profits back to the developer(s), 经销商(s), 还有其他演员.

即使勒索软件攻击者被发现并逮捕, 对受害者的金钱赔偿通常很少. 在殖民管道案中, 例如, the FBI was only able to trace cryptocurrency transactions to recoup about half of the $4.支付了400万赎金.

预测和预防未来的攻击

在勒索软件攻击完成后，追踪罪犯和赎金资金的希望渺茫, Subrahmanian专注于预测和预防. 他和他在西北大学的团队目前正在开发一种预测系统，可以在数据泄露之前预测未来勒索软件攻击的类型和时间.

他的软件使用人工智能来跟踪暗网和社交媒体上的通信和趋势，以识别正在开发的新恶意软件，并注意到它何时被推广给潜在的分销商.

Subrahmanian aims to pinpoint not just when but also how hackers will try to infiltrate systems. 他的初步调查结果显示，在安全检查清单和顾问确定的数千个可能的漏洞中, 黑客只攻击9个目标.3%的弱点. 这意味着组织可能在错误的保护上浪费了90%的IT安全工作.

尽管几乎不可能预测分布在全球的匿名黑客组织和个人的行动, 监控被标记为与网络犯罪有关的通信总量，可以表明威胁领域的增长. 比如通过观察金融市场的流动来预测趋势, Subrahmanian希望观察勒索软件活动的广泛市场将帮助研究人员识别新兴的恶意软件及其潜在目标，以便组织能够采取积极措施.

私营部门帮助打击网络犯罪的创新方法

Without the kind of reliable forecasting that Subrahmanian’s team is trying to create, the front lines are still a harrowing place for organizations to operate. But these four strategies may help company leaders fight back right now:

降低勒索软件攻击者的利润

If ransomware attacks continue to deliver huge paydays to cybercriminals, 调光器 believes that most government and law enforcement efforts are doomed to fail. 获利的机会实在太多了, 他的原因, 特别是考虑到黑客所在的一些国家可能不存在其他这样的经济机会.

削弱这一经济驱动力, 企业应考虑制定内部规定，禁止支付赎金，并支持立法，将支付赎金定为非法行为, Subrahmanian和Ismael Peinado说, Toptal的首席技术官. “想想我们为什么会遭受这些袭击. 因为攻击者得到了钱. 为什么情况越来越糟? 因为他们不断得到钱，”佩纳多说. “为什么 don’t we pay ransom to people who go into banks and take hostages? 出于同样的原因.”

It may sound controversial to criminalize actions taken by ransomware victims, but Subrahmanian notes that companies that pay cybercriminals to rescue their data may already 违反国际法 如果袭击者来自受到国际制裁的国家，或者与支持恐怖主义的组织有关联. 一份关于加密货币支付的报告 对追踪勒索软件加密货币支付目的地国家的黑客来说，至少15%的支付最终落入了被禁止的实体手中, 这违反了国际法.

What’s more, paying doesn’t guarantee that hackers will hold up their end of the bargain. 根据最近的一项调查，超过5,网络安全公司Sophos在全球范围内提供了1万名IT领导者, 支付了费用的组织平均得到了 65%的数据回来了. 只有8%的受害者能够恢复他们所有的文件.

关注SecOps而不是检查清单和外部审计

试图保护自己公司的技术领导者经常使用安全最佳实践清单, 购买最新的安全软件, and hire expensive 安全 auditors to test network vulnerabilities. 不幸的是, 佩纳多是全球网络安全领导者，拥有20年与政府机构合作的经验, 创业公司, 和大, 高增长公司——他说这是错误的做法.

追逐检查清单和认证并专注于简单的法规遵从性可能会消耗机构的IT资源，同时在企业领导层中制造一种虚假的安全感. With the additional points of entry to systems and the reliance on cloud computing, gaining access to networks is no longer as difficult as it once was, 他说. 然而，安全公司仍然花费无数时间检查网络中的漏洞，这些漏洞可能永远不会成为黑客的目标. “一天结束的时候, 他们忽略了真正的黑客是做什么的, 也就是说，如果你确保有一条路进入你的房子, 他们会找别的方法闯进来,他说.

而不是, Peinado建议技术领导者将安全性直接集成到工程操作中，并消除持续的测试和修补周期. 这些类型的安全操作, 称为DevSecOps或SecOps, 将安全性直接集成到公司的软件开发操作中，并培养对新威胁作出灵活反应的环境, 他说.

例如, when a new function or feature of a company’s website is built and launched publicly, 一组新的黑客漏洞出现了. 在传统的工作循环中, 开发人员将在孤岛中创建新网站的功能，然后提交给内部(有时是外部)安全专家进行测试. Security would then be patched and laid over vulnerabilities found after the fact.

在SecOps环境中, 构建站点或功能的工程师和开发人员与安全工程师坐在一起，以确保在开发产品时集成了适当级别的安全. 这种集成的方法使SecOps开发人员更加了解和负责，这在更传统的过程中是不可能的, 说Peinado.

利用后备网络安全人才

调光器, who works with clients as part of Toptal’s developer talent network, 他说，当他试图将SecOps的观点引入客户流程时，收到的反应不一, 通常是因为内部IT团队的技能差距，当您使系统更加安全时，系统会变得更加难以使用. 成功不仅仅意味着拥有正确的系统, 还需要训练有素的人员来使用它们, 他说.

为安全工程师等高价值技术职位招聘人员仍然是企业的痛点. 在接受调查的10个组织中，有近1个组织选择了 安全运作状况 科技灯塔的一份报告称，缺乏熟练人才是最大的问题. 1 cyber安全 challenge in 2021—and nearly 30% said it was among their top three obstacles.

Premier tech talent can be hired through contingent networks, such as Toptal, to 帮助填补这些空白. 几十年来，像迪默这样的一线开发人员和技术领导者一直很受欢迎，但由于网络安全工作者的严重短缺，现在的需求更大. 的 资讯系统保安协会 estimated a gap of 4 million professionals in the industry in 2019, and its survey of IT leaders in 2021 found that the gap has since widened.

一些企业领导人可能会犹豫是否要在最敏感的安全项目中使用外部人才, 比如在SecOps的战壕中加入自由职业者. But outsourcing some portion of 安全 operations to external talent is, 事实上, 已经成为常态:在TechBeacon调查的组织中，超过一半的组织报告说，他们使用内部和外部资源的组合来解决他们的网络安全功能.

打击网络犯罪的未来

到目前为止, 在实验模型中，Subrahmanian的早期预警人工智能软件在预测勒索软件攻击方面的效率已被证明达到70%, 他说. 如果测试继续顺利进行, he hopes to publish forecasts for real-world attacks beginning in mid-2022.

他的研究还集中在软件漏洞被发现和软件补丁和安全更新被广泛提供给公众之间的差距. 这项研究的初步结果显示，近一半的恶意软件攻击发生在这段时间, 哪一个, 平均, 持续约132天. 这种长期的漏洞使得他对有效预测模型的追求对于在新威胁开始时阻止黑客更加重要.

与此同时，大型科技公司正在加紧步伐. 谷歌 已承诺 在未来五年内花费100亿美元帮助确保软件供应链的安全，并扩大零信任系统的使用, 要求所有内部和外部用户连续进行身份验证的安全框架. 微软将提供1.5亿美元的技术服务，帮助美国地方政府升级其防御系统. 亚马逊还承诺，将开始向公众提供与员工相同的安全意识培训，并对所有亚马逊网络服务(AWS)客户免费提供两步认证.

Fighting ransomware as an ever-evolving threat will take a global village, Subrahmanian说, 公司——无论大小——都必须参与其中.

相关: 浏览Toptal的SecOps人才开发人员技能目录