勒索软件：管理人员应该期待意料之外的

勒索软件是一种用于加密文件并要求赎金才能解密的恶意代码，已经存在多年了，但是为什么这个最新版本如此成功？答案是比特币。

比特币提供了一种方法，使黑客可以保持匿名，但仍然可以在不产生金钱痕迹的情况下将攻击货币化。但是，尽管迄今为止，大多数公共勒索软件攻击都是规模较小且相对简单的，但物联网意味着数十亿个设备现在已连接，为网络罪犯提供了过多的攻击面。

不仅如此，勒索软件攻击的野心也在增强，上个月的WannaCry事件证明了这一点，该事件引起了混乱，在全球范围内感染了30万台计算机。

“最近的SEC-OCIE风险警报强调了一个事实，勒索软件是公司必须关注的一个特别重要的问题；我长期以来一直提倡这一点。网络安全服务公司eSentire Inc.的创始人兼首席安全策略师Eldon Sprickerhoff（如图）评论说，但是还有很多事情要看，因为每周都有不断发展的新版本的恶意软件。

对于任何基金经理来说，在对其服务提供商进行尽职调查评估时，可能是最重要的问题是：“您正在采取什么措施来防御勒索软件？”

这可能是一个简单的问题，但请考虑成功进行勒索软件攻击需要采取什么措施。要成功进行勒索软件攻击，大约需要串行解决十二件事。存在技术方面的问题，例如电子邮件服务器（本地服务器和上游邮件服务提供商的电子邮件服务器）无法检测到恶意软件；培训方面的问题是，员工收到恶意软件电子邮件后，无意中单击并发起了攻击，缺乏后续的事件响应手册，甚至没有一种适合公司当前需求的备份方法。

“鉴于勒索软件很可能是攻击媒介，所以公司可以为客户提供更好的响应越好。这将使管理人员很好地了解服务提供商防御几乎所有类型的网络安全攻击的位置。用来防御勒索软件的防御方法可以提高公司对内部威胁，其他恶意软件威胁，数据挤压威胁等的防御能力。这个问题虽然很简单，却涵盖了一系列技术和政策/程序方面的考虑因素，” Sprickerhoff说。

为解决此问题，eSentire开发了勒索软件防御矩阵*，详细介绍了应采用哪些机制来防范勒索软件攻击。

关于WannaCry，它仅影响了未能进行补丁更新的组织，而该补丁更新是在攻击前几个月微软发布的。

微软运行一个名为Patch Tuesday的补丁程序。自2003年10月以来，他们每个月都在做一些事情。今年三月，情况有所不同。紧迫性更大。微软感觉到即将发生攻击，需要迅速发布补丁，而不要等到每月的第二个星期二。

“尽管微软说这些是关键补丁，但似乎并没有真正引起人们的高度关注，一些公司将其视作可以等待常规补丁节奏所需的任何其他关键补丁。在某些情况下，这可能会将安装推迟到下一季度。突然，您就会遇到这样的情况，即公司可能容易受到NSA发现的武器化零日的攻击，” Sprickerhoff说。

有人担心，类似的勒索软件攻击可能会使全球交易减少，并损害金融业。Sprickerhoff指的是13年前的蓝宝石蠕虫。

“这是在Microsoft SQL中发现的一个漏洞；一旦被感染，它就会通过数据提供商和金融机构，网络泛滥和关闭银行机器而震撼。但是，与13年前相比，我们领先得多，而且得到了更好的保护。我建议所有规模的金融组织在WannaCry之后重新评估其事件响应计划。”

电子邮件仍然是勒索软件最受欢迎的攻击媒介。但是，它已从人们通过电子邮件发送可执行文件的状态发展到一个阶段，在此阶段，恶意软件已基本无文件。

攻击者可能会使用其他媒介，而不是直接下载恶意代码，例如使用“ Powershell”来下载和执行代码。同样，嵌入在良性文档中的恶意内容（例如宏）可能更难发现。

“用户可能打开运行嵌入宏的Office文档，并且无意中将恶意软件下载到终端上。典型的防病毒程序不一定会赶上它。从高层次上讲，这就是最近几年感染媒介发生了变化，而防病毒程序并未全部赶上来。” Sprickerhoff总结说。

金融机构可能比其他任何行业都受到更好的保护，但是正如WannaCry所表明的那样，他们仍然必须期待意外情况。

www.esentire.com/resources/workbooks/ransomware-defense-matrix