丁香五月激情综合国产,国产亚洲精品美女久久久m,国产亚洲av在线,国产成人综合野草

因此，信息技術(shù)防護(hù)系統(tǒng)的任務(wù)就是監(jiān)管數(shù)據(jù)傳輸，因?yàn)榉腔顒?dòng)數(shù)據(jù)充其量只能是一種風(fēng)險(xiǎn)或潛在威脅。數(shù)據(jù)傳輸過(guò)程中的監(jiān)管難題，就是必需知道它在做什么。

理想情況下，企業(yè)希望了解內(nèi)網(wǎng)傳輸數(shù)據(jù)的整個(gè)歷程，針對(duì)性地制定使用規(guī)則。這是潛在技術(shù)挑戰(zhàn)性頗高的一種解決方案，同時(shí)也是需要大量存儲(chǔ)數(shù)據(jù)的不夠靈活方法。

此外，此類防護(hù)系統(tǒng)也會(huì)給疫情當(dāng)中的居家辦公人員帶來(lái)嚴(yán)重隱患，因?yàn)檫@意味著每臺(tái)設(shè)備都需要通過(guò)不安全的公共網(wǎng)絡(luò)進(jìn)行身份驗(yàn)證，才能訪問(wèn)公司網(wǎng)絡(luò)。目前大多數(shù)企業(yè)用于此用途的虛擬專用網(wǎng)絡(luò)（VPN）采用了提高靈活適用性的設(shè)計(jì)方案，除了那些被列入黑名單的地址外，會(huì)對(duì)所有互聯(lián)網(wǎng)協(xié)議地址開(kāi)放。

這在給予員工自由度的同時(shí)，也蘊(yùn)含了潛在攻擊者染指數(shù)據(jù)的風(fēng)險(xiǎn)。數(shù)據(jù)可能被盜，可能無(wú)法讀取甚至被銷毀。這就意味著每一家企業(yè)都必須在幾個(gè)安全問(wèn)題上做出決斷，如數(shù)據(jù)價(jià)值、數(shù)據(jù)傳輸跟蹤能力，以及員工自由度和數(shù)據(jù)風(fēng)險(xiǎn)之間可以取得的平衡等。

企業(yè)數(shù)據(jù)面臨著形形色色的網(wǎng)絡(luò)威脅，從主要竊取帳戶、密碼和財(cái)務(wù)信息的數(shù)據(jù)泄露到各式各樣的網(wǎng)絡(luò)攻擊不勝枚舉，比如試圖運(yùn)用垃圾數(shù)據(jù)流，使網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)（多為托管網(wǎng)站的網(wǎng)頁(yè)服務(wù)器）陷入超負(fù)荷癱瘓，目標(biāo)用戶一段時(shí)間內(nèi)無(wú)法訪問(wèn)對(duì)象網(wǎng)站的DDoS攻擊等。

媒體報(bào)道最多的攻擊類型當(dāng)屬勒索病毒了。它在大多數(shù)網(wǎng)絡(luò)犯罪技術(shù)的基礎(chǔ)上加以改進(jìn)，已成為利用現(xiàn)代技術(shù)成果攫取金錢的最有效途徑。投放勒索病毒前，攻擊者必需首先設(shè)法獲得企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)，然后再加密企業(yè)數(shù)據(jù)，并脅迫用戶繳納贖金，否則用戶便無(wú)法訪問(wèn)被加密的數(shù)據(jù)或設(shè)備。

盡管這并非是最新的威脅形式 – 早在二十世紀(jì)九十年代，就曾發(fā)生過(guò)多起憤憤不平的員工故意加密數(shù)據(jù)，并向雇主索要贖金以獲取數(shù)據(jù)訪問(wèn)權(quán)的案例 - 但此類活動(dòng)的劇增，卻是與加密貨幣和互聯(lián)網(wǎng)的流行分不開(kāi)的。二十世紀(jì)，贖金還必須以現(xiàn)金或銀行轉(zhuǎn)賬的形式收取，使敲詐者很容易被捕。如今這種風(fēng)險(xiǎn)已不復(fù)存在。

隨著攻擊規(guī)模的不斷擴(kuò)大，企業(yè)被迫將針對(duì)勒索病毒攻擊的應(yīng)對(duì)方案納入營(yíng)運(yùn)規(guī)劃，從而面臨是否繳納贖金的法律問(wèn)題。

更大的麻煩是，即使企業(yè)繳納了贖金，往往也無(wú)法重獲全部數(shù)據(jù)的訪問(wèn)權(quán)。

另一項(xiàng)顧慮是，繳納贖金不僅是向犯罪份子低頭、使其從犯罪行為中安然獲利，同時(shí)還存在企業(yè)聲譽(yù)方面的問(wèn)題：首先是企業(yè)網(wǎng)絡(luò)安全性不佳，其次難免會(huì)使客戶產(chǎn)生企業(yè)數(shù)據(jù)未來(lái)可能被盜的擔(dān)憂。

最后還有繳納贖金合法性方面的顧慮，因?yàn)榇祟惥W(wǎng)絡(luò)犯罪份子往往是被制裁國(guó)專業(yè)團(tuán)隊(duì)，或從被制裁國(guó)境內(nèi)實(shí)施攻擊，與之發(fā)生金錢往來(lái)屬于違法行為。

2021年11月，這一問(wèn)題受到了美國(guó)財(cái)政部海外資產(chǎn)監(jiān)管辦公室（OFAC）的強(qiáng)烈重視。監(jiān)管辦更新了制裁名單，其中給列了參與勒索病毒犯罪活動(dòng)的相關(guān)個(gè)人所使用的加密貨幣錢包。更新后的黑名單又一次納入了名為Chatex的加密貨幣交易所；該交易所疑似為黑客提供金融交易便利。

監(jiān)管環(huán)境也發(fā)生了變化。美國(guó)金融業(yè)監(jiān)管機(jī)構(gòu) - 美國(guó)聯(lián)邦存款保險(xiǎn)公司于2021年11月18日宣布，自2022年4月1日起，金融機(jī)構(gòu)必須在 36 小時(shí)內(nèi)上報(bào)計(jì)算機(jī)安全事件。這一新規(guī)很可能會(huì)被其他行業(yè)相繼效仿，從而意味著企業(yè)隱匿網(wǎng)絡(luò)安全事件將變得更加困難。

參議員Elizabeth Warren和Deborah Ross提出的《勒索病毒披露法》草案，可能會(huì)讓企業(yè)繳納贖金變得更加困難。一旦該法獲得通過(guò)，受勒索病毒攻擊的企業(yè)就必需向國(guó)土安全部上報(bào)贖金支付信息，以便國(guó)土安全部向美國(guó)政府匯報(bào)有關(guān)網(wǎng)絡(luò)犯罪活動(dòng)的關(guān)鍵信息。該法的出臺(tái)還可能降低企業(yè)及其保險(xiǎn)公司的贖金繳納意愿，因?yàn)樗麄冎涝谂陡犊钚畔⒑髮⒚媾R政府審查，涵蓋付款方式、支付金額和支付對(duì)象等多項(xiàng)要素。澳大利亞等國(guó)也正在提出同類立法草案。 

因此，或許企業(yè)制定應(yīng)對(duì)措施的第一步最佳策略就是，尋求勒索病毒保險(xiǎn)政策方面的法律建議。

勒索病毒是一門大生意

雖然尚不存在勒索病毒逐年犯罪收益的確切數(shù)字，但執(zhí)法部門逮捕團(tuán)伙成員和追繳被盜贓款的一類報(bào)道，一定程度上揭示了犯罪規(guī)模。被警方查扣的贓款包括數(shù)百萬(wàn)美元現(xiàn)金和一些價(jià)值不菲的資產(chǎn)，另有不少用于犯罪活動(dòng)的加密貨幣賬戶已被凍結(jié)。

為了深入洞察問(wèn)題的嚴(yán)重性，以2022年1月14日的一起熱點(diǎn)事件為例，當(dāng)天俄羅斯聯(lián)邦安全局（FSB）的特工逮捕了惡名遠(yuǎn)揚(yáng)的勒索病毒犯罪團(tuán)伙之一 - Sodinokibi（又名REvil）的14名成員，罰沒(méi)了價(jià)值660萬(wàn)美元的資產(chǎn)、20輛豪華汽車，以及一攬子用于從事附屬犯罪活動(dòng)的加密貨幣錢包。

在俄安全局突襲之前，俄執(zhí)法機(jī)構(gòu)已逮捕了該團(tuán)伙的7名附屬嫌犯，甚至從另一名在逃嫌犯處追回了610萬(wàn)美元。

與計(jì)算機(jī)犯罪活動(dòng)所慣用的商業(yè)模式如出一轍，Sodinokibi 團(tuán)伙經(jīng)營(yíng)著一個(gè)龐大的勒索病毒營(yíng)銷網(wǎng)絡(luò)，從世界各地附屬嫌犯所獲得的贖金收入中抽取30%至40%的提成。

美國(guó)司法部稱，2021年11月Sodinokibi借助勒索病毒營(yíng)銷網(wǎng)絡(luò)獲得贓款愈2億美元，加密計(jì)算機(jī)數(shù)量高達(dá)175,000臺(tái)。

勒索病毒對(duì)全球商業(yè)活動(dòng)及其數(shù)據(jù)的影響非常嚴(yán)重。這一趨勢(shì)已被媒體頭條反復(fù)報(bào)道，最引人注目的是 2021 年美國(guó)大型油企Colonial Pipeline的數(shù)據(jù)加密案。該案因人們恐慌性購(gòu)買燃油和高達(dá)440萬(wàn)美元的贖金要求，一度導(dǎo)致美國(guó)國(guó)內(nèi)汽油短缺。

2019年歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)ENISA稱，勒索病毒贖金繳納總額為100億歐元。2021年上半年，據(jù)美國(guó)金融犯罪執(zhí)法網(wǎng)絡(luò)估算，與勒索病毒有關(guān)的比特幣支付金額已達(dá)到52億美元。從以上數(shù)據(jù)不難判斷問(wèn)題的嚴(yán)重程度。

這些數(shù)字還掩蓋了另一個(gè)經(jīng)常被忽視的要素。那就是勒索病毒之所以大獲成功，是因?yàn)閿?shù)據(jù)對(duì)現(xiàn)代企業(yè)的運(yùn)營(yíng)至關(guān)重要。失去數(shù)據(jù)訪問(wèn)權(quán)，便意味著失去業(yè)務(wù)。

勒索病毒帶來(lái)關(guān)鍵數(shù)據(jù)方面的心理壓力

勒索病毒會(huì)造成巨大的心理壓力，因?yàn)槠髽I(yè)意識(shí)到潛在聲譽(yù)受損、業(yè)務(wù)中斷、將面臨法律和經(jīng)濟(jì)處罰，加上失去核心數(shù)據(jù)控制權(quán)后的忐忑不安。正是由于關(guān)鍵數(shù)據(jù)無(wú)法取代的重要性，才使得勒索病毒攻擊案件愈演愈烈，網(wǎng)絡(luò)犯罪份子專門利用企業(yè)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的深度依賴性實(shí)施敲詐并屢屢得手。

2019年11月，勒索病毒團(tuán)伙Maze首創(chuàng)了一種先竊密后加密的做法（先從受害企業(yè)的系統(tǒng)中竊取寶貴或敏感數(shù)據(jù)后，再進(jìn)行加密）。除要求受害企業(yè)繳納贖金外，該團(tuán)伙還會(huì)隨后勒索一筆附加費(fèi)，否則便威脅將數(shù)據(jù)公之于眾或出售給其他買主 – 從而構(gòu)成雙重敲詐。

為了加大受害企業(yè)的壓力，一些勒索病毒團(tuán)伙還會(huì)在受害企業(yè)未繳納贖金的情況下，采取進(jìn)一步措施，直接聯(lián)系其業(yè)務(wù)伙伴或客戶。他們會(huì)暗示已通過(guò)網(wǎng)絡(luò)攻擊獲取敏感數(shù)據(jù)，建議業(yè)務(wù)伙伴或客戶共同向受害企業(yè)施加壓力以支付贖金，甚至?xí)苯右髽I(yè)務(wù)伙伴或客戶付款。

這一犯罪趨勢(shì)的另一個(gè)有趣之處就是，犯罪份子對(duì)互聯(lián)網(wǎng)時(shí)代的信息價(jià)值和用途有了敏銳的認(rèn)識(shí)。

最近出現(xiàn)的一個(gè)無(wú)恥轉(zhuǎn)折點(diǎn)就是，他們?cè)诠_(kāi)宣揚(yáng)勒索病毒攻擊活動(dòng)的同時(shí)，已開(kāi)始提供內(nèi)幕信息來(lái)做空上市公司的股票。勒索病毒團(tuán)伙DarkSide于2021年4月在暗網(wǎng)上發(fā)布通告稱，能夠提供從納斯達(dá)克和其他證券交易所上市公司竊取的內(nèi)幕信息。該團(tuán)伙打的如意算盤(pán)是，借助負(fù)面宣傳、股價(jià)下跌和出售內(nèi)幕信息等手段，給一些公司平添支付贖金的壓力。

美國(guó)通信業(yè)巨頭威瑞森電信于2017 年收購(gòu)雅虎之后，犯罪團(tuán)伙便開(kāi)始聚焦市場(chǎng)壓力手段的運(yùn)用。兩次泄露數(shù)據(jù)的消息傳出后，威瑞森電信將收購(gòu)雅虎的原始報(bào)盤(pán)價(jià)調(diào)低了3.5億美元，這一點(diǎn)引起了網(wǎng)絡(luò)犯罪團(tuán)伙的關(guān)注。美國(guó)聯(lián)邦調(diào)查局在2021年11月發(fā)布的一份私營(yíng)企業(yè)預(yù)警公告中強(qiáng)調(diào)，如今勒索病毒攻擊者已將攻擊活動(dòng)與企業(yè)最新并購(gòu)議案串聯(lián)起來(lái)，以期最大限度地提高勒索金額。

這些團(tuán)伙敏銳地意識(shí)到企業(yè)無(wú)法訪問(wèn)數(shù)據(jù)的價(jià)值所在，其作案手法通常是通過(guò)一系列其他手段來(lái)不斷加大壓力。此外，一旦受害企業(yè)拒絕付款，勒索病毒團(tuán)伙通常會(huì)威脅反復(fù)多次追加攻擊。攻擊范圍從針對(duì)受害企業(yè)官網(wǎng)的DDoS攻擊，到利用高管設(shè)備上發(fā)現(xiàn)的數(shù)據(jù)，對(duì)公司高管進(jìn)行人身威脅不等。

有時(shí)，犯罪份子會(huì)利用打印機(jī)轟炸等突襲策略來(lái)炫耀其網(wǎng)絡(luò)技術(shù)水平，向多臺(tái)連網(wǎng)打印機(jī)下達(dá)贖金勒索頁(yè)面的打印指令 – 從而對(duì)企業(yè)管理層的當(dāng)前事件內(nèi)外部溝通管控能力帶來(lái)威脅。一些團(tuán)伙還會(huì)利用企業(yè)數(shù)據(jù)庫(kù)中的聯(lián)系方式致電企業(yè)高管，以進(jìn)一步強(qiáng)化四面楚歌的感覺(jué)。

2020年的一次攻擊中，勒索病毒團(tuán)伙Ragnar Locker甚至運(yùn)用一名被盜號(hào)美國(guó)人臉書(shū)賬戶里的資金，利用Facebook Ads發(fā)起了詆毀金巴利酒的宣傳攻勢(shì)，試圖脅迫酒企支付服務(wù)器解密贖金。幸運(yùn)的是Facebook檢測(cè)到廣告異常后，迅速將廣告開(kāi)支上限設(shè)定為35美元，使這一鬧劇以失敗告終。

勒索病毒攻擊和其他數(shù)據(jù)威脅的預(yù)兆

利用勒索病毒攻擊企業(yè)前，通常要經(jīng)歷兩個(gè)階段的預(yù)備過(guò)程：從最初的網(wǎng)絡(luò)滲透入手，然后是偵察階段，并可能伴隨著數(shù)據(jù)竊密。

通常，勒索病毒攻擊者需要依賴精通網(wǎng)絡(luò)入侵技術(shù)的中間人，來(lái)獲取企業(yè)網(wǎng)絡(luò)的初始訪問(wèn)權(quán)。為了獲得網(wǎng)絡(luò)訪問(wèn)權(quán)，攻擊者首先會(huì)對(duì)企業(yè)網(wǎng)絡(luò)做一番窺探，以查找不安全的系統(tǒng)配置，尤其是使用遠(yuǎn)程桌面協(xié)議（以下簡(jiǎn)稱“RDP”）的遠(yuǎn)程訪問(wèn)工具（通過(guò)網(wǎng)絡(luò)訪問(wèn)遠(yuǎn)程設(shè)備的工具）中存在的不當(dāng)配置，或?qū)ふ铱杉右岳玫穆┒窜浖?。其他攻擊途徑包括定向網(wǎng)絡(luò)釣魚(yú)（假冒大概率會(huì)得到用戶回復(fù)的知名企業(yè)郵箱，向個(gè)人發(fā)送電子郵件）或大量群發(fā)釣魚(yú)郵件。這兩類電子郵件都含有惡意附件或鏈接，旨在誘使粗心的收件人不經(jīng)意間泄露帳號(hào)密碼或下載和安裝惡意軟件。

初期負(fù)責(zé)網(wǎng)絡(luò)入侵的技術(shù)中間人，往往是在暗網(wǎng)上雇用的。對(duì)他們來(lái)說(shuō)，新冠肺炎疫情猶如天賜良機(jī)，因?yàn)樘噢k公室職員不得不居家工作，大量依賴遠(yuǎn)程訪問(wèn)工具，使RDP成為居家工作的一項(xiàng)基本要求。該協(xié)議不但支持雙向操作，還允許技術(shù)人員遠(yuǎn)程管理員工的設(shè)備。

不幸的是，RDP可能蘊(yùn)含重大隱患，將設(shè)備大規(guī)模地暴露在互聯(lián)網(wǎng)上，是必需經(jīng)過(guò)深思熟慮后才可以做出的決定。

盡管通過(guò)互聯(lián)網(wǎng)來(lái)訪問(wèn)啟用RDP的設(shè)備，相比利用其他渠道（如電子郵件）投放勒索病毒的步驟更為繁瑣，但RDP確實(shí)為攻擊者提供了顯著的優(yōu)勢(shì)，如濫用合法訪問(wèn)權(quán)限、逃避防毒軟件檢測(cè)，以及企業(yè)內(nèi)部多個(gè)系統(tǒng)或全網(wǎng)滲透能力；特別是在攻擊者成功將自身權(quán)限提升為“管理員”或成功入侵管理員設(shè)備的情況下，這些優(yōu)勢(shì)尤為突出。與惡意軟件不同的是，由于RDP是一項(xiàng)合法服務(wù)，因此利用RDP實(shí)施的攻擊往往可以繞過(guò)許多防毒軟件的檢測(cè)。這一領(lǐng)域，無(wú)論是文獻(xiàn)資料還是人們的防毒意識(shí)都相對(duì)匱乏。

全面撒網(wǎng)、尋找漏洞

負(fù)責(zé)網(wǎng)絡(luò)入侵的技術(shù)中間人，對(duì)企業(yè)網(wǎng)絡(luò)漏洞的追求是永無(wú)止境的。一旦某種途徑不奏效，便會(huì)轉(zhuǎn)向另一種途徑，利用正規(guī)系統(tǒng)軟件中未修補(bǔ)的漏洞來(lái)獲得初始訪問(wèn)權(quán)限。一旦入侵成功，便會(huì)以此為基礎(chǔ)取得其他連網(wǎng)系統(tǒng)的訪問(wèn)權(quán)。整個(gè)過(guò)程與動(dòng)物世界中捕食者捕食獵物極其相似 – 不斷尋找弱點(diǎn)，并利用弱點(diǎn)窮追不舍以實(shí)現(xiàn)目標(biāo)。往往只有事發(fā)后方才知道，不法份子早已窺探過(guò)潛在對(duì)象的狩獵價(jià)值。

尋找受害者的過(guò)程中所運(yùn)用的另一種攻擊方法，就是利用“零日漏洞”。安全漏洞的本質(zhì)是軟件代碼編寫(xiě)有誤，網(wǎng)絡(luò)犯罪份子可利用它來(lái)實(shí)施攻擊。當(dāng)漏洞尚未發(fā)布修復(fù)補(bǔ)丁時(shí)，就會(huì)出現(xiàn)所謂的零日漏洞。補(bǔ)丁面向社會(huì)公眾發(fā)布之前，都會(huì)存在“零日漏洞”。發(fā)掘零日漏洞的代價(jià)高昂，往往涉及資金充足、技術(shù)先進(jìn)的始作俑者，如高級(jí)持續(xù)性威脅（以下簡(jiǎn)稱“APT”）團(tuán)伙以及有政府背景的網(wǎng)絡(luò)團(tuán)隊(duì)等。

2021年3月份，當(dāng)微軟匆忙發(fā)布緊急更新，以修補(bǔ)連續(xù)出現(xiàn)的四個(gè)零日漏洞（后來(lái)被命名為ProxyLogon）時(shí)，Microsoft Exchange的某些版本遭遇了一連串攻擊。這是一款企業(yè)級(jí)郵件服務(wù)器軟件，通過(guò)Outlook投遞電子郵件。

十幾個(gè)APT團(tuán)伙競(jìng)相對(duì)全球各地的Exchange服務(wù)器發(fā)起攻擊，無(wú)論從速度還是規(guī)模上看，都是令人震驚的。未及時(shí)安裝補(bǔ)丁或缺乏充分防護(hù)機(jī)制的企業(yè)難免會(huì)遭遇不良境遇，被不法份子訪問(wèn)其Exchange服務(wù)器，試圖竊取電子郵件、下載數(shù)據(jù)，并使用隱匿惡意軟件感染設(shè)備，以獲得企業(yè)網(wǎng)絡(luò)的長(zhǎng)期訪問(wèn)權(quán)。

與勒索病毒結(jié)合使用時(shí)，漏洞的自動(dòng)利用便會(huì)具有很強(qiáng)的破壞性。WannaCry勒索病毒就是一個(gè)很好的例子，2017 年英國(guó)國(guó)家衛(wèi)生署曾淪為其受害者之一。該病毒利用了微軟公司的服務(wù)器信息塊（SMB）協(xié)議（用于大型企業(yè)網(wǎng)絡(luò)中的文件和打印機(jī)共享）中存在的一個(gè)高危漏洞。盡管早在2017年5月12日即WannaCry爆發(fā)前的兩個(gè)月，安全補(bǔ)丁就已經(jīng)發(fā)布，但攻擊者仍然鎖定并加密了超過(guò)二十萬(wàn)臺(tái)未打補(bǔ)丁的設(shè)備。

顯然勒索病毒團(tuán)伙已事先做好了功課，對(duì)細(xì)節(jié)的重視程度也不言而喻，因?yàn)樗麄兦宄刂溃行┕緭碛袛?shù)據(jù)備份，不會(huì)向他們付款。因此，常用于文件共享和數(shù)據(jù)備份的網(wǎng)絡(luò)存儲(chǔ)設(shè)備（NAS）也極有可能淪為攻擊目標(biāo)。這一點(diǎn)已在2021年的一起案例中得到了印證：NAS 設(shè)備制造商 QNAP 警告客戶，一種名為eCh0raix的勒索病毒正在攻擊NAS設(shè)備，使用弱密碼的設(shè)備被惡意加密的概率最大。

2022年1月，DeadBolt團(tuán)伙針對(duì)QNAP NAS連網(wǎng)設(shè)備發(fā)起了勒索病毒攻擊。攻擊者聲稱正在利用一個(gè)零日漏洞，并準(zhǔn)備以185萬(wàn)美元的價(jià)格，向QNAP披露該漏洞。

如有此類設(shè)備連接互聯(lián)網(wǎng)且易受攻擊，建議最好立即斷開(kāi)連接。鑒于NAS設(shè)備通常用于存儲(chǔ)數(shù)據(jù)備份，以便企業(yè)遭遇勒索病毒攻擊后還原數(shù)據(jù)，針對(duì)網(wǎng)絡(luò)存儲(chǔ)設(shè)備的一類攻擊行為破壞性極強(qiáng)。

如前所述，許多犯罪分子仍然利用電郵附件來(lái)傳播勒索病毒的惡意安裝代碼，通過(guò)此類附件投遞下載器，再在收件人的設(shè)備上安裝惡意程序，或在企業(yè)連網(wǎng)設(shè)備上建立立足點(diǎn)。

電子郵件是僵尸網(wǎng)絡(luò)（如Trickbot、Qbot和Dridex）這一互聯(lián)網(wǎng)禍端的主要傳播途徑之一。僵尸網(wǎng)絡(luò)由一系列軟件程序構(gòu)成，將大量染毒計(jì)算機(jī)通過(guò)互聯(lián)網(wǎng)串聯(lián)起來(lái)，組成通常能夠?qū)崿F(xiàn)自動(dòng)化協(xié)同攻擊的“肉雞網(wǎng)絡(luò)”，是網(wǎng)絡(luò)犯罪的一種核心形式。僵尸網(wǎng)絡(luò)可以按照用量（最短只需15分鐘）對(duì)外出租，通過(guò)自動(dòng)發(fā)送海量信息征詢請(qǐng)求，使網(wǎng)站和在線計(jì)算機(jī)系統(tǒng)超負(fù)荷崩潰。僵尸網(wǎng)絡(luò)為垃圾郵件群發(fā)、前面提到的DDoS攻擊以及勒索病毒的傳播，提供了不可或缺的投放機(jī)制。

犯罪份子掃描互聯(lián)網(wǎng)，尋找易受攻擊的計(jì)算機(jī)，同時(shí)散布垃圾郵件，誘使警惕性不高的人群上當(dāng)。一旦有人安裝它所投放的惡意程序，受害者設(shè)備上的各類數(shù)據(jù)就會(huì)被秘密采集，發(fā)送給攻擊者指定的服務(wù)器。然后設(shè)備便會(huì)被攻擊者所控制，并與其他染毒設(shè)備串聯(lián)后，形成一個(gè)龐大的僵尸網(wǎng)絡(luò)，用于實(shí)施大規(guī)模攻擊，如散發(fā)有毒電子郵件、針對(duì)目標(biāo)網(wǎng)站實(shí)施DDoS攻擊、傳播勒索病毒等。對(duì)于用戶來(lái)說(shuō)，能夠察覺(jué)的唯一染毒跡象可能只是計(jì)算機(jī)運(yùn)行速度變慢。

Trickbot等僵尸網(wǎng)絡(luò)通常將含有惡意代碼的Microsoft Office文檔用作電郵附件，借此實(shí)施最初的系統(tǒng)入侵，并很可能將投放勒索病毒作為最終手段。此類案例中，僵尸網(wǎng)絡(luò)運(yùn)營(yíng)者通常充當(dāng)初始訪問(wèn)代理，將其所控制染毒網(wǎng)絡(luò)的訪問(wèn)權(quán)出售或出租給勒索病毒團(tuán)伙。正因如此，僵尸網(wǎng)絡(luò)和勒索病毒之間經(jīng)常存在著直接的關(guān)聯(lián)。 

犯罪分子還會(huì)設(shè)法感染正規(guī)的軟件發(fā)布渠道。人們通常會(huì)從網(wǎng)站下載軟件，再在軟件使用過(guò)程中，直接從軟件公司的更新服務(wù)器獲取更新。官方服務(wù)器會(huì)定期推送更新，包括錯(cuò)誤修正補(bǔ)丁、安全補(bǔ)丁和新功能安裝包等。

2017年間，有勒索病毒團(tuán)伙在針對(duì)烏克蘭網(wǎng)絡(luò)戰(zhàn)的行動(dòng)中，利用烏克蘭境內(nèi)廣泛使用的財(cái)會(huì)軟件M.E.Doc來(lái)傳播惡意程序DiskCoder.C（又名NotPetya）。攻擊者先是侵入了軟件公司的更新服務(wù)器，將惡意代碼添加到正規(guī)應(yīng)用程序的更新文件當(dāng)中。軟件用戶點(diǎn)擊安裝更新程序后，便會(huì)不知不覺(jué)地安裝上一款惡意后門程序，為有史以來(lái)最具破壞性的網(wǎng)絡(luò)攻擊敞開(kāi)了大門。

2021年7月，Kaseya VSA成為了軟件發(fā)布渠道遭受攻擊的另一個(gè)對(duì)象。Kaseya是一家IT 管理軟件開(kāi)發(fā)企業(yè)，其主要客戶是加盟運(yùn)營(yíng)商（MSP）。其所開(kāi)發(fā)的VSA產(chǎn)品提供自動(dòng)打補(bǔ)丁、遠(yuǎn)程監(jiān)控及其他功能，方便加盟運(yùn)營(yíng)商管理客戶端軟件。

攻擊者利用VSA入侵了數(shù)十家加盟運(yùn)營(yíng)商的系統(tǒng)，并向加盟運(yùn)營(yíng)商的客戶發(fā)送了含有勒索病毒Sodinokibi的假冒更新程序。

2020 年7月，F(xiàn)BI 逮捕了一名試圖招募特斯拉員工協(xié)同作案的俄羅斯人，稱此人試圖誘使特斯拉員工參與實(shí)施針對(duì)其公司的勒索病毒敲詐案。這一事件浮現(xiàn)出犯罪團(tuán)伙試圖通過(guò)賄賂員工，獲取其雇主網(wǎng)絡(luò)訪問(wèn)權(quán)的確切證據(jù)。此人承諾給付特斯拉員工100萬(wàn)美元報(bào)酬，以換取有關(guān)特斯拉公司網(wǎng)絡(luò)的詳細(xì)資料，以便開(kāi)發(fā)出一款精心定制的惡意程序來(lái)竊取該公司數(shù)據(jù)，要求該員工在用以轉(zhuǎn)移眾人注意力的DDoS佯攻期間安裝這款惡意程序。

內(nèi)鬼風(fēng)險(xiǎn)是一個(gè)企業(yè)不得不持續(xù)面對(duì)的問(wèn)題。根據(jù)2021年12月針對(duì)美國(guó)一系列IT公司的調(diào)查結(jié)果，多達(dá)65%的員工透露，有黑客曾提出過(guò)向其行賄，以獲取其公司網(wǎng)絡(luò)的訪問(wèn)權(quán)。此類信息是通過(guò)電子郵件、社交網(wǎng)站甚至打電話的方式，傳達(dá)給企業(yè)員工的。

一旦成功侵入企業(yè)網(wǎng)絡(luò)，攻擊者便會(huì)轉(zhuǎn)入第二階段，為提高訪問(wèn)權(quán)限而開(kāi)始仔細(xì)窺探?，F(xiàn)代操作系統(tǒng)通常會(huì)為特定進(jìn)程和用戶分配一組特權(quán)，允許其執(zhí)行某些操作。這種設(shè)計(jì)提高了系統(tǒng)的安全性，因?yàn)楣粽咦鳛榈蜋?quán)限用戶進(jìn)入網(wǎng)絡(luò)后，其破壞系統(tǒng)的行為將受到限制 – 只有具備最高權(quán)限，才能使攻擊者在連網(wǎng)計(jì)算機(jī)上為所欲為。因此，攻擊者的首要任務(wù)就是，查看操作系統(tǒng)或已安裝的程序是否存在可幫助其提升權(quán)限的漏洞，最好是能夠借此獲得管理員權(quán)限。第二個(gè)目標(biāo)是保持對(duì)企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)，以便隨時(shí)再次入侵。

如攻擊者所入侵的計(jì)算機(jī)上，正好保存著連網(wǎng)用戶的相關(guān)信息，實(shí)現(xiàn)目標(biāo)的難度便會(huì)大大降低。這是因?yàn)楣粽叩目蛇x方案之一就是，尋找長(zhǎng)期不使用的帳戶并假冒其用戶身份登入網(wǎng)絡(luò)。因此，網(wǎng)絡(luò)管理員最好能及時(shí)禁用并刪除已離職員工的帳戶，以免變身幽靈再次出現(xiàn)在網(wǎng)絡(luò)之中。雖然攻擊者可以新建用戶帳戶，但這樣做難免會(huì)引起IT管理員的注意。這就是為什么說(shuō)時(shí)刻清理互聯(lián)網(wǎng)開(kāi)放性資產(chǎn)、用戶和軟件，是防范攻擊的一項(xiàng)基本策略。

攻擊者用于實(shí)現(xiàn)再次入侵的另一種方法就是，將“后門”程序植入目標(biāo)系統(tǒng)中，以便日后隨時(shí)進(jìn)出。理想情況下，攻擊者會(huì)盡量少用惡意代碼，以便最大限度地降低報(bào)毒機(jī)率。這就是所謂的“就地取材”策略，使用實(shí)際系統(tǒng)管理員常用的合法軟件，以及原操作系統(tǒng)上已安裝的標(biāo)準(zhǔn)工具來(lái)擴(kuò)大網(wǎng)絡(luò)滲透范圍。運(yùn)行這些程序都有著合理正當(dāng)?shù)睦碛?，盡管仍存在著一些檢測(cè)方法，但卻會(huì)使攻擊行為的檢測(cè)難度大大增加。

如系統(tǒng)上已安裝有終端防護(hù)軟件，同時(shí)擁有管理員權(quán)限的用戶可以將其關(guān)閉的話，攻擊者會(huì)試圖關(guān)閉它；因此，查看所有防毒軟件是否使用獨(dú)一無(wú)二的強(qiáng)密碼保護(hù)，是安全軟件審核的第一步。

防御RDP（遠(yuǎn)程桌面協(xié)議）攻擊的一個(gè)基本步驟就是，排查互聯(lián)網(wǎng)帳戶清單，列明啟用了遠(yuǎn)程訪問(wèn)功能的帳戶，研判是否有必要啟用這一功能。這些帳戶應(yīng)設(shè)置獨(dú)一無(wú)二的長(zhǎng)密碼或更容易記住的口令。

知道自己受到攻擊是很有幫助的。一些安全軟件具有密碼窮舉防范功能，可以檢測(cè)外部登錄口令輸入錯(cuò)誤的次數(shù)并阻止進(jìn)一步嘗試。密碼窮舉過(guò)程中，攻擊者通常使用自動(dòng)化軟件工具生成的標(biāo)準(zhǔn)管理員帳戶名（如“admin”），搭配默認(rèn)列表或已泄露密碼表上的密碼來(lái)登錄，有時(shí)會(huì)嘗試多達(dá)數(shù)百萬(wàn)次組合。

密碼窮舉法也可以通過(guò)設(shè)置帳戶登錄次數(shù)上限來(lái)阻止。比如，連續(xù)三次輸入錯(cuò)誤密碼后，便會(huì)在一段時(shí)間內(nèi)阻止再次登錄嘗試，或雖然繼續(xù)允許嘗試，但需要等待更長(zhǎng)的時(shí)間才能再次輸入登錄密碼。

比依賴密碼更好的方法是使用多重身份驗(yàn)證機(jī)制。除常規(guī)用戶名和密碼外，還需要另一條信息才能完成登錄。

要對(duì)所有遠(yuǎn)程訪問(wèn)設(shè)備強(qiáng)化安全機(jī)制并安裝補(bǔ)丁。不妨刪除或禁用所有不必要的服務(wù)和組件，對(duì)所有系統(tǒng)設(shè)置應(yīng)用安全性最大化的配置。

企業(yè)應(yīng)實(shí)行電子郵件管理策略。雖然許多企業(yè)已具備基本的垃圾郵件過(guò)濾和網(wǎng)絡(luò)釣魚(yú)檢測(cè)能力，但還可以做得更進(jìn)一步，阻止不使用的附件擴(kuò)展名。

企業(yè)應(yīng)使用終端防護(hù)軟件來(lái)保護(hù)所有終端設(shè)備和服務(wù)器，阻止員工訪問(wèn)已被安全軟件列入黑名單、含有惡意程序或無(wú)益于本職工作的各類網(wǎng)站。安全軟件應(yīng)便于集中管理和更新，并可以控制接入系統(tǒng)的外部設(shè)備（如便攜式USB存儲(chǔ)盤(pán)）的訪問(wèn)權(quán)。

為員工提供網(wǎng)絡(luò)安全培訓(xùn)，使之了解相關(guān)最新動(dòng)態(tài)，可顯著減少網(wǎng)絡(luò)安全事件的發(fā)生。確保員工立即向服務(wù)中心或安全團(tuán)隊(duì)反饋可疑郵件和附件。

企業(yè)還應(yīng)制定好深思熟慮、管理有素的全面?zhèn)浞萦?jì)劃。比如，當(dāng)備份資料的存儲(chǔ)設(shè)備設(shè)置為“始終在線”時(shí)，便會(huì)面臨與本地磁盤(pán)和其他網(wǎng)絡(luò)存儲(chǔ)設(shè)備完全相同的風(fēng)險(xiǎn)：被勒索病毒入侵。這種風(fēng)險(xiǎn)可以通過(guò)以下方式來(lái)預(yù)防：

在網(wǎng)絡(luò)犯罪的威脅下，現(xiàn)代企業(yè)所不可或缺的互聯(lián)網(wǎng)開(kāi)放式計(jì)算機(jī)系統(tǒng)不得不增加運(yùn)營(yíng)成本，迫使企業(yè)從三種方案中做出選擇：投資網(wǎng)絡(luò)安全、購(gòu)買網(wǎng)絡(luò)保險(xiǎn)或承擔(dān)攻擊成本 - 有時(shí)是三者并舉。

從技術(shù)角度來(lái)看，為了獲得解密密鑰而繳納贖金，可能無(wú)法如愿以償：

繳納贖金還存在一定風(fēng)險(xiǎn)：犯罪份子可能不會(huì)信守諾言，盡管這并不是好的生意經(jīng)。同時(shí)這樣做，也相對(duì)于承認(rèn)企業(yè)自身的弱點(diǎn)。2021年的一項(xiàng)調(diào)查揭示，繳納贖金的企業(yè)當(dāng)中，近半數(shù)再次遭到了攻擊，顯然是同一團(tuán)伙所為。

如今，網(wǎng)絡(luò)保險(xiǎn)公司已在幫助企業(yè)減少因網(wǎng)絡(luò)事件而蒙受的損失方面，發(fā)揮著重要的作用，但隨著攻擊數(shù)量的增多，保費(fèi)也在水漲船高。潛在的巨額保費(fèi)也助長(zhǎng)了勒索病毒的進(jìn)一步滋生 - 已有團(tuán)伙挖掘被入侵企業(yè)的文件，查看是否存在網(wǎng)絡(luò)保險(xiǎn)合同及相關(guān)承保范圍。這表明網(wǎng)絡(luò)保險(xiǎn)公司的角色可能需要做出改變，轉(zhuǎn)變到為恢復(fù)成本提供理賠保障，而不再賠付贖金。

監(jiān)管部門的注意力也開(kāi)始集中到勒索病毒團(tuán)伙身上。這導(dǎo)致一些國(guó)家和地區(qū)相繼出臺(tái)法規(guī)，強(qiáng)制企業(yè)披露染毒事件，并將已知關(guān)聯(lián)組織和個(gè)人添加到制裁名單當(dāng)中。社會(huì)人士還紛紛倡導(dǎo)，集體抵制繳納贖金的做法。多國(guó)政府可能會(huì)堅(jiān)持推行，有關(guān)企業(yè)繳納贖金前必須備案的強(qiáng)制性規(guī)定，并對(duì)允許繳納贖金的情況加以限制。正如聯(lián)邦調(diào)查局（FBI）明確指出的那樣：“支付贖金不僅會(huì)鼓勵(lì)現(xiàn)有網(wǎng)絡(luò)犯罪份子對(duì)更多企業(yè)實(shí)施攻擊，還會(huì)激勵(lì)其他犯罪份子參與到同類違法犯罪活動(dòng)中來(lái)?！?/span>

然而，占據(jù)道德制高點(diǎn)、堅(jiān)決不繳納贖金，并不總是成本更低的選擇。WannaCryptor襲擊英國(guó)國(guó)家衛(wèi)生署時(shí)，專家估計(jì)重建成本高達(dá)9200萬(wàn)英鎊。

一些人指出，醫(yī)療保健機(jī)構(gòu)等關(guān)鍵服務(wù)領(lǐng)域遭受攻擊的情況下，不繳納贖金可能對(duì)患者生命造成損失。2019年和2020年間已發(fā)生過(guò)兩起這樣的案例，勒索病毒攻擊被認(rèn)為是導(dǎo)致患者死亡的潛在原因之一。

繳納贖金的做法還掩蓋了另一個(gè)問(wèn)題，那就是在法律的層面上，企業(yè)有義務(wù)保護(hù)自身系統(tǒng)、使之不感染病毒，對(duì)于特殊行業(yè)來(lái)說(shuō)尤其如此。

事實(shí)上，現(xiàn)階段一味繳納贖金而不斷疊加的長(zhǎng)期成本，似乎正在勸退現(xiàn)有理賠模式，使保險(xiǎn)公司繼而推動(dòng)企業(yè)重返本應(yīng)立足的投資原點(diǎn)：基本網(wǎng)絡(luò)安全實(shí)踐和工具類投資。