[[430265]]

遭遇勒索軟件的威脅并不是什么新鮮事，但它仍然成為頭條新聞。例如外匯服務(wù)商Travelex公司、食品供應(yīng)商JBS Foods公司、美國(guó)Colonial管道公司和愛(ài)爾蘭衛(wèi)生服務(wù)公司這些最近遭受勒索軟件攻擊的受害者，是否都已經(jīng)知道其中的危險(xiǎn)，并采取了相應(yīng)的措施來(lái)保護(hù)自己?當(dāng)然，這些統(tǒng)計(jì)數(shù)據(jù)并不意味著所有的企業(yè)對(duì)勒索軟件缺乏防范意識(shí);46%的首席信息官最近表示，勒索軟件是他們最擔(dān)憂的網(wǎng)絡(luò)攻擊。然而，它仍然造成了很多企業(yè)在財(cái)務(wù)和運(yùn)營(yíng)方面的損失。

部分問(wèn)題在于近年來(lái)勒索軟件的發(fā)展和多樣化——網(wǎng)絡(luò)攻擊者已經(jīng)從簡(jiǎn)單的、全自動(dòng)的直接預(yù)防策略，轉(zhuǎn)向使用更有針對(duì)性的、復(fù)雜的策略。與此同時(shí)，大多數(shù)安全團(tuán)隊(duì)使用原有的策略來(lái)阻止勒索軟件，而這種方法現(xiàn)在已經(jīng)失效。

現(xiàn)在是金融機(jī)構(gòu)安全意識(shí)進(jìn)一步發(fā)展的時(shí)候了——這意味著要超越試圖阻止勒索軟件突破防火墻的預(yù)防性方法，專(zhuān)注于用能夠檢測(cè)和阻止攻擊的工具武裝自己。有一件事是肯定的，在當(dāng)今廣闊的IT領(lǐng)域，人工智能將在這場(chǎng)打擊勒索軟件的戰(zhàn)爭(zhēng)中發(fā)揮決定性作用。Vectra公司最近發(fā)布的一份調(diào)查報(bào)告表明，大多數(shù)金融服務(wù)機(jī)構(gòu)需要利用人工智能支持的網(wǎng)絡(luò)安全分析工具區(qū)分可疑和惡意行為。

多樣化的威脅

早期形式的勒索軟件是自動(dòng)操作的，并遵循一個(gè)簡(jiǎn)單的商業(yè)模式：感染盡可能多的電腦，因?yàn)橹辽儆幸徊糠质芎φ呖隙〞?huì)付費(fèi)恢復(fù)他們的文件。這種所謂的“商品勒索軟件”很快演化為搜索和加密整個(gè)網(wǎng)絡(luò)驅(qū)動(dòng)器——其基本原理是有可能鎖定受害者無(wú)法放棄的東西。這種演變還表明，網(wǎng)絡(luò)攻擊者開(kāi)始針對(duì)金融機(jī)構(gòu)而不是個(gè)人進(jìn)行攻擊，這是因?yàn)槠髽I(yè)更有可能支付更高的贖金來(lái)恢復(fù)關(guān)鍵文件。

從這里開(kāi)始，商業(yè)勒索軟件與蠕蟲(chóng)病毒結(jié)合在一起——所以現(xiàn)在通過(guò)入侵一個(gè)系統(tǒng)，在并網(wǎng)之后很快會(huì)感染鄰近的系統(tǒng)。對(duì)網(wǎng)絡(luò)攻擊者來(lái)說(shuō)，這是向前邁出的重要一步，因?yàn)橹灰幸粋€(gè)受害者打開(kāi)釣魚(yú)郵件，網(wǎng)絡(luò)攻擊者就可以將病毒迅速傳播到潛在的數(shù)千臺(tái)電腦。盡管已經(jīng)存在多年，這種勒索軟件仍然是一個(gè)真正的威脅。每個(gè)人都記得幾年前WannaCry造成的破壞，當(dāng)時(shí)鎖定了數(shù)十萬(wàn)臺(tái)電腦，而去年2月，勒索軟件讓美國(guó)一家天然氣設(shè)施關(guān)閉了兩天。

網(wǎng)絡(luò)攻擊者繼續(xù)加強(qiáng)他們的攻擊，并實(shí)現(xiàn)多樣化，采用更加復(fù)雜和有針對(duì)性的方法取代自動(dòng)戰(zhàn)術(shù)。這些網(wǎng)絡(luò)攻擊通常需要數(shù)周的規(guī)劃，在獲得最初的立足點(diǎn)后，網(wǎng)絡(luò)攻擊者就會(huì)人工調(diào)整自己的行動(dòng)，以適應(yīng)他們所進(jìn)入的環(huán)境的具體情況。美國(guó)聯(lián)邦調(diào)查局(FBI)表示，針對(duì)食品供應(yīng)商JBS Foods公司的勒索軟件攻擊成功采用了這種戰(zhàn)術(shù)，該攻擊是由世界上最專(zhuān)業(yè)、最復(fù)雜的網(wǎng)絡(luò)犯罪團(tuán)伙之一發(fā)起的。

除了網(wǎng)絡(luò)攻擊本身的多樣化，勒索軟件的商業(yè)模式也已擴(kuò)展為特許經(jīng)營(yíng)模式。特許經(jīng)銷(xiāo)商提供工具、腳本和其他必要的攻擊基礎(chǔ)設(shè)施，特許經(jīng)銷(xiāo)商則利用這些服務(wù)實(shí)施攻擊，并將一定比例的贖金返還給特許經(jīng)銷(xiāo)商。無(wú)論出于何種目的，勒索軟件已經(jīng)成為一個(gè)成熟的產(chǎn)業(yè)。因此，微軟公司將復(fù)雜的人工操作變種認(rèn)定為當(dāng)今網(wǎng)絡(luò)攻擊中最具影響力的趨勢(shì)之一也就不足為奇了。

人工智能為安全團(tuán)隊(duì)提供幫助

眾所周知的勒索軟件變種通?？梢栽谌肭謺r(shí)被阻止，如果金融機(jī)構(gòu)安全團(tuán)隊(duì)能夠通過(guò)威脅情報(bào)傳遞及時(shí)獲取數(shù)據(jù)泄露的指標(biāo)。即使是成功繞過(guò)預(yù)防措施的較新的勒索軟件，其攻擊范圍通常也非常有限，企業(yè)可以通過(guò)良好的備份和恢復(fù)過(guò)程應(yīng)對(duì)。盡管識(shí)別更多快速演變的勒索軟件變種可能更困難，在這些情況下，微分段、零信任、最低特權(quán)和其他政策驅(qū)動(dòng)的控制是遏制病毒爆發(fā)的良好措施和手段。

當(dāng)涉及到最具針對(duì)性的、人為操作的勒索軟件攻擊時(shí)，成功防范不再依賴(lài)于規(guī)定的政策，或側(cè)重于預(yù)防的強(qiáng)化安全配置。雖然這有一定的用處，但具有強(qiáng)烈動(dòng)機(jī)的網(wǎng)絡(luò)攻擊者最終會(huì)克服這些障礙。在這種情況下，其防范重點(diǎn)必須從試圖阻止不可避免的網(wǎng)絡(luò)攻擊，轉(zhuǎn)變?yōu)楸M早發(fā)現(xiàn)和阻止成功的網(wǎng)絡(luò)攻擊——這就是人工智能發(fā)揮重要作用的地方。

據(jù)估計(jì)，勒索軟件攻擊的平均停留時(shí)間為43天，因此人工智能應(yīng)該為安全團(tuán)隊(duì)采取措施發(fā)揮決定性作用，幫助清除威脅。雖然分析團(tuán)隊(duì)可能需要幾天甚至幾周的時(shí)間進(jìn)行處理，但是通過(guò)人工智能系統(tǒng)可以迅速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊者采用勒索軟件進(jìn)行的攻擊，這是因?yàn)槿斯ぶ悄芟到y(tǒng)能夠?qū)⒕W(wǎng)絡(luò)攻擊者在系統(tǒng)中移動(dòng)以達(dá)到預(yù)期目標(biāo)時(shí)留下的各種信號(hào)和標(biāo)記進(jìn)行場(chǎng)景化和整合。人工智能可以將所有這些不同的信息整合成一個(gè)清晰的畫(huà)面，這意味著安全團(tuán)隊(duì)可以有效地應(yīng)對(duì)最關(guān)鍵的威脅。

金融服務(wù)如何應(yīng)對(duì)勒索軟件

勒索軟件仍然是金融機(jī)構(gòu)面臨的一個(gè)嚴(yán)重威脅，它不會(huì)很快消失。安全團(tuán)隊(duì)?wèi)?yīng)該注意到最近發(fā)生的備受矚目的勒索軟件攻擊事件，并將其視為一個(gè)警醒案例，并且研究如果沒(méi)有準(zhǔn)備好應(yīng)對(duì)各種威脅會(huì)發(fā)生什么。

金融公司如今成為了勒索軟件攻擊的主要目標(biāo)，期望安全分析師從各個(gè)角度進(jìn)行分析是不現(xiàn)實(shí)的。隨著勒索軟件的多元化，金融機(jī)構(gòu)應(yīng)考慮采用由人工智能驅(qū)動(dòng)的檢測(cè)勒索軟件的措施，這樣他們就可以大幅減少識(shí)別威脅所需的時(shí)間。