遭遇勒索软件的威胁并不是什么新鲜事,但它仍然成为头条新闻。例如外汇服务商Travelex公司、食品供应商JBS Foods公司、美国Colonial管道公司和爱尔兰卫生服务公司这些最近遭受勒索软件攻击的受害者,是否都已经知道其中的危险,并采取了相应的措施来保护自己?当然,这些统计数据并不意味着所有的企业对勒索软件缺乏防范意识;46%的首席信息官最近表示,勒索软件是他们最担忧的网络攻击。然而,它仍然造成了很多企业在财务和运营方面的损失。
部分问题在于近年来勒索软件的发展和多样化——网络攻击者已经从简单的、全自动的直接预防策略,转向使用更有针对性的、复杂的策略。与此同时,大多数安全团队使用原有的策略来阻止勒索软件,而这种方法现在已经失效。
现在是金融机构安全意识进一步发展的时候了——这意味着要超越试图阻止勒索软件突破防火墙的预防性方法,专注于用能够检测和阻止攻击的工具武装自己。有一件事是肯定的,在当今广阔的IT领域,人工智能将在这场打击勒索软件的战争中发挥决定性作用。Vectra公司最近发布的一份调查报告表明,大多数金融服务机构需要利用人工智能支持的网络安全分析工具区分可疑和恶意行为。
多样化的威胁
早期形式的勒索软件是自动操作的,并遵循一个简单的商业模式:感染尽可能多的电脑,因为至少有一部分受害者肯定会付费恢复他们的文件。这种所谓的“商品勒索软件”很快演化为搜索和加密整个网络驱动器——其基本原理是有可能锁定受害者无法放弃的东西。这种演变还表明,网络攻击者开始针对金融机构而不是个人进行攻击,这是因为企业更有可能支付更高的赎金来恢复关键文件。
从这里开始,商业勒索软件与蠕虫病毒结合在一起——所以现在通过入侵一个系统,在并网之后很快会感染邻近的系统。对网络攻击者来说,这是向前迈出的重要一步,因为只要有一个受害者打开钓鱼邮件,网络攻击者就可以将病毒迅速传播到潜在的数千台电脑。尽管已经存在多年,这种勒索软件仍然是一个真正的威胁。每个人都记得几年前WannaCry造成的破坏,当时锁定了数十万台电脑,而去年2月,勒索软件让美国一家天然气设施关闭了两天。
网络攻击者继续加强他们的攻击,并实现多样化,采用更加复杂和有针对性的方法取代自动战术。这些网络攻击通常需要数周的规划,在获得最初的立足点后,网络攻击者就会人工调整自己的行动,以适应他们所进入的环境的具体情况。美国联邦调查局(FBI)表示,针对食品供应商JBS Foods公司的勒索软件攻击成功采用了这种战术,该攻击是由世界上最专业、最复杂的网络犯罪团伙之一发起的。
除了网络攻击本身的多样化,勒索软件的商业模式也已扩展为特许经营模式。特许经销商提供工具、脚本和其他必要的攻击基础设施,特许经销商则利用这些服务实施攻击,并将一定比例的赎金返还给特许经销商。无论出于何种目的,勒索软件已经成为一个成熟的产业。因此,微软公司将复杂的人工操作变种认定为当今网络攻击中最具影响力的趋势之一也就不足为奇了。
人工智能为安全团队提供帮助
众所周知的勒索软件变种通常可以在入侵时被阻止,如果金融机构安全团队能够通过威胁情报传递及时获取数据泄露的指标。即使是成功绕过预防措施的较新的勒索软件,其攻击范围通常也非常有限,企业可以通过良好的备份和恢复过程应对。尽管识别更多快速演变的勒索软件变种可能更困难,在这些情况下,微分段、零信任、最低特权和其他政策驱动的控制是遏制病毒爆发的良好措施和手段。
当涉及到最具针对性的、人为操作的勒索软件攻击时,成功防范不再依赖于规定的政策,或侧重于预防的强化安全配置。虽然这有一定的用处,但具有强烈动机的网络攻击者最终会克服这些障碍。在这种情况下,其防范重点必须从试图阻止不可避免的网络攻击,转变为尽早发现和阻止成功的网络攻击——这就是人工智能发挥重要作用的地方。
据估计,勒索软件攻击的平均停留时间为43天,因此人工智能应该为安全团队采取措施发挥决定性作用,帮助清除威胁。虽然分析团队可能需要几天甚至几周的时间进行处理,但是通过人工智能系统可以迅速发现网络攻击者采用勒索软件进行的攻击,这是因为人工智能系统能够将网络攻击者在系统中移动以达到预期目标时留下的各种信号和标记进行场景化和整合。人工智能可以将所有这些不同的信息整合成一个清晰的画面,这意味着安全团队可以有效地应对最关键的威胁。
金融服务如何应对勒索软件
勒索软件仍然是金融机构面临的一个严重威胁,它不会很快消失。安全团队应该注意到最近发生的备受瞩目的勒索软件攻击事件,并将其视为一个警醒案例,并且研究如果没有准备好应对各种威胁会发生什么。
金融公司如今成为了勒索软件攻击的主要目标,期望安全分析师从各个角度进行分析是不现实的。随着勒索软件的多元化,金融机构应考虑采用由人工智能驱动的检测勒索软件的措施,这样他们就可以大幅减少识别威胁所需的时间。