[[430265]]

遭遇勒索軟件的威脅并不是什么新鮮事，但它仍然成為頭條新聞。例如外匯服務(wù)商Travelex公司、食品供應(yīng)商JBS Foods公司、美國Colonial管道公司和愛爾蘭衛(wèi)生服務(wù)公司這些最近遭受勒索軟件攻擊的受害者，是否都已經(jīng)知道其中的危險，并采取了相應(yīng)的措施來保護(hù)自己?當(dāng)然，這些統(tǒng)計數(shù)據(jù)并不意味著所有的企業(yè)對勒索軟件缺乏防范意識;46%的首席信息官最近表示，勒索軟件是他們最擔(dān)憂的網(wǎng)絡(luò)攻擊。然而，它仍然造成了很多企業(yè)在財務(wù)和運(yùn)營方面的損失。

部分問題在于近年來勒索軟件的發(fā)展和多樣化——網(wǎng)絡(luò)攻擊者已經(jīng)從簡單的、全自動的直接預(yù)防策略，轉(zhuǎn)向使用更有針對性的、復(fù)雜的策略。與此同時，大多數(shù)安全團(tuán)隊(duì)使用原有的策略來阻止勒索軟件，而這種方法現(xiàn)在已經(jīng)失效。

現(xiàn)在是金融機(jī)構(gòu)安全意識進(jìn)一步發(fā)展的時候了——這意味著要超越試圖阻止勒索軟件突破防火墻的預(yù)防性方法，專注于用能夠檢測和阻止攻擊的工具武裝自己。有一件事是肯定的，在當(dāng)今廣闊的IT領(lǐng)域，人工智能將在這場打擊勒索軟件的戰(zhàn)爭中發(fā)揮決定性作用。Vectra公司最近發(fā)布的一份調(diào)查報告表明，大多數(shù)金融服務(wù)機(jī)構(gòu)需要利用人工智能支持的網(wǎng)絡(luò)安全分析工具區(qū)分可疑和惡意行為。

多樣化的威脅

早期形式的勒索軟件是自動操作的，并遵循一個簡單的商業(yè)模式：感染盡可能多的電腦，因?yàn)橹辽儆幸徊糠质芎φ呖隙〞顿M(fèi)恢復(fù)他們的文件。這種所謂的“商品勒索軟件”很快演化為搜索和加密整個網(wǎng)絡(luò)驅(qū)動器——其基本原理是有可能鎖定受害者無法放棄的東西。這種演變還表明，網(wǎng)絡(luò)攻擊者開始針對金融機(jī)構(gòu)而不是個人進(jìn)行攻擊，這是因?yàn)槠髽I(yè)更有可能支付更高的贖金來恢復(fù)關(guān)鍵文件。

從這里開始，商業(yè)勒索軟件與蠕蟲病毒結(jié)合在一起——所以現(xiàn)在通過入侵一個系統(tǒng)，在并網(wǎng)之后很快會感染鄰近的系統(tǒng)。對網(wǎng)絡(luò)攻擊者來說，這是向前邁出的重要一步，因?yàn)橹灰幸粋€受害者打開釣魚郵件，網(wǎng)絡(luò)攻擊者就可以將病毒迅速傳播到潛在的數(shù)千臺電腦。盡管已經(jīng)存在多年，這種勒索軟件仍然是一個真正的威脅。每個人都記得幾年前WannaCry造成的破壞，當(dāng)時鎖定了數(shù)十萬臺電腦，而去年2月，勒索軟件讓美國一家天然氣設(shè)施關(guān)閉了兩天。

網(wǎng)絡(luò)攻擊者繼續(xù)加強(qiáng)他們的攻擊，并實(shí)現(xiàn)多樣化，采用更加復(fù)雜和有針對性的方法取代自動戰(zhàn)術(shù)。這些網(wǎng)絡(luò)攻擊通常需要數(shù)周的規(guī)劃，在獲得最初的立足點(diǎn)后，網(wǎng)絡(luò)攻擊者就會人工調(diào)整自己的行動，以適應(yīng)他們所進(jìn)入的環(huán)境的具體情況。美國聯(lián)邦調(diào)查局(FBI)表示，針對食品供應(yīng)商JBS Foods公司的勒索軟件攻擊成功采用了這種戰(zhàn)術(shù)，該攻擊是由世界上最專業(yè)、最復(fù)雜的網(wǎng)絡(luò)犯罪團(tuán)伙之一發(fā)起的。

除了網(wǎng)絡(luò)攻擊本身的多樣化，勒索軟件的商業(yè)模式也已擴(kuò)展為特許經(jīng)營模式。特許經(jīng)銷商提供工具、腳本和其他必要的攻擊基礎(chǔ)設(shè)施，特許經(jīng)銷商則利用這些服務(wù)實(shí)施攻擊，并將一定比例的贖金返還給特許經(jīng)銷商。無論出于何種目的，勒索軟件已經(jīng)成為一個成熟的產(chǎn)業(yè)。因此，微軟公司將復(fù)雜的人工操作變種認(rèn)定為當(dāng)今網(wǎng)絡(luò)攻擊中最具影響力的趨勢之一也就不足為奇了。

人工智能為安全團(tuán)隊(duì)提供幫助

眾所周知的勒索軟件變種通?？梢栽谌肭謺r被阻止，如果金融機(jī)構(gòu)安全團(tuán)隊(duì)能夠通過威脅情報傳遞及時獲取數(shù)據(jù)泄露的指標(biāo)。即使是成功繞過預(yù)防措施的較新的勒索軟件，其攻擊范圍通常也非常有限，企業(yè)可以通過良好的備份和恢復(fù)過程應(yīng)對。盡管識別更多快速演變的勒索軟件變種可能更困難，在這些情況下，微分段、零信任、最低特權(quán)和其他政策驅(qū)動的控制是遏制病毒爆發(fā)的良好措施和手段。

當(dāng)涉及到最具針對性的、人為操作的勒索軟件攻擊時，成功防范不再依賴于規(guī)定的政策，或側(cè)重于預(yù)防的強(qiáng)化安全配置。雖然這有一定的用處，但具有強(qiáng)烈動機(jī)的網(wǎng)絡(luò)攻擊者最終會克服這些障礙。在這種情況下，其防范重點(diǎn)必須從試圖阻止不可避免的網(wǎng)絡(luò)攻擊，轉(zhuǎn)變?yōu)楸M早發(fā)現(xiàn)和阻止成功的網(wǎng)絡(luò)攻擊——這就是人工智能發(fā)揮重要作用的地方。

據(jù)估計，勒索軟件攻擊的平均停留時間為43天，因此人工智能應(yīng)該為安全團(tuán)隊(duì)采取措施發(fā)揮決定性作用，幫助清除威脅。雖然分析團(tuán)隊(duì)可能需要幾天甚至幾周的時間進(jìn)行處理，但是通過人工智能系統(tǒng)可以迅速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊者采用勒索軟件進(jìn)行的攻擊，這是因?yàn)槿斯ぶ悄芟到y(tǒng)能夠?qū)⒕W(wǎng)絡(luò)攻擊者在系統(tǒng)中移動以達(dá)到預(yù)期目標(biāo)時留下的各種信號和標(biāo)記進(jìn)行場景化和整合。人工智能可以將所有這些不同的信息整合成一個清晰的畫面，這意味著安全團(tuán)隊(duì)可以有效地應(yīng)對最關(guān)鍵的威脅。

金融服務(wù)如何應(yīng)對勒索軟件

勒索軟件仍然是金融機(jī)構(gòu)面臨的一個嚴(yán)重威脅，它不會很快消失。安全團(tuán)隊(duì)?wèi)?yīng)該注意到最近發(fā)生的備受矚目的勒索軟件攻擊事件，并將其視為一個警醒案例，并且研究如果沒有準(zhǔn)備好應(yīng)對各種威脅會發(fā)生什么。

金融公司如今成為了勒索軟件攻擊的主要目標(biāo)，期望安全分析師從各個角度進(jìn)行分析是不現(xiàn)實(shí)的。隨著勒索軟件的多元化，金融機(jī)構(gòu)應(yīng)考慮采用由人工智能驅(qū)動的檢測勒索軟件的措施，這樣他們就可以大幅減少識別威脅所需的時間。