本文轉(zhuǎn)載自SalesMen的囈語,作者IBM安全事業(yè)部 大陸區(qū)銷售總監(jiān) Bruce Zhang。
緣起
勒索從來就是一門生意,大生意,只是,很不招人待見。
原理上,勒索屬于一種雙方或多方博弈,歷史很久遠,比如《史記·刺客列傳》里,曹沫劫齊桓公,就是為了挽回打敗仗輸?shù)舻某浅兀m然當時曹沫勒索成功,但最終魯國還是滅亡了。還有更不著調(diào)的,南梁蕭衍信佛,為了給佛寺籌款修建,三次稱自己被菩薩綁架,強迫群臣湊錢來贖。民間糾紛,也時有發(fā)生,但人人都知道,這是違法的。
在數(shù)字世界里,勒索這門生意,這幾年卻正蓬勃興起。勒索軟件的概念可以追溯到1989 年,那時人們通過人工投遞的軟盤,將 PC 鎖定惡意代碼發(fā)送給受害者,但自2014年以來,隨著比特幣等加密數(shù)字貨幣在全球的廣泛使用,這類業(yè)務(wù)有了令人側(cè)目的增長。
勒索軟件生意的市場有多大?
看看數(shù)據(jù),根據(jù)CybersecurityVentures 2016年的報告,“2017-2021未來5年,全球網(wǎng)絡(luò)安全產(chǎn)品及服務(wù)的支出,累計將超過1萬億美元;而全球網(wǎng)絡(luò)犯罪造成的經(jīng)濟損失,2015年當年就達到約3萬億美元,到2021年,預(yù)計將增長到每年6萬億美元。”
勒索軟件只是數(shù)字犯罪中的一種形式,但因其特殊性,自2016年起,勒索軟件開始成為企業(yè)和消費者面臨的最大網(wǎng)絡(luò)安全威脅之一。美國政府的統(tǒng)計數(shù)據(jù)表明,勒索軟件攻擊在2016 年增長了 4 倍,平均每天發(fā)生4,000 次。
為什么會有人從事勒索軟件?因為有市場。
勒索軟件的主角們大都有著強烈的經(jīng)濟動機。FBI(聯(lián)邦調(diào)查局)和國際執(zhí)法部門一直在就這一威脅發(fā)出警報。聯(lián)邦調(diào)查局估計,2016年,勒索軟件將為網(wǎng)絡(luò)犯罪分子帶來約10億美元的收入,在2016年的前3個月,網(wǎng)絡(luò)犯罪分子就獲得了據(jù)稱2.09億美元的收入,與2015年相比,勒索軟件在2015年全年僅帶來了2400百萬美元的收入,因此,從2015到2016年,出現(xiàn)了驚人的771%的增長。典型勒索贖金金額介于 200 到 10,000 美元之間,平均高達 500 美元,最常采用的支付方法是加密貨幣形式,而企業(yè)的服務(wù)器和網(wǎng)絡(luò)勒索金額高達4到5位數(shù),有時甚至達到數(shù)百萬美元。
以本次爆發(fā)的WannaCry為例,據(jù)當中一份報告統(tǒng)計,有超過130,000個端點報告遭到感染,因持續(xù)發(fā)作,最終實際受損終端可能遠遠超過這個數(shù)量。每個受害者被要求支付約300美元來解鎖設(shè)備,假如所有受害者均愿意支付贖金,則僅本次勒索而言,贖金將超過3,900萬美元。當然,WannaCry最終黑客所獲取的收益,遠遠沒有這么多,據(jù)分析只有100多筆付款(IBMX-Force 研究所推測,大部分支付贖金的人是被感染的個人用戶),但這類勒索軟件給客戶帶來的損失,卻是不可估量的,有媒體報道,全球總損失大約80億美金。
所有官方機構(gòu)及媒體,都不鼓勵人們支付贖金,因為支付后無法保證受害者能重獲其數(shù)據(jù)的訪問權(quán),而且這會助長網(wǎng)絡(luò)罪犯的持續(xù)犯罪。FBI 網(wǎng)絡(luò)部門助理總監(jiān)James Trainor 說:“支付贖金無法讓組織保證它能找回數(shù)據(jù) - 我們看到過組織在支付贖金后從未獲得解密密鑰的情況。支付贖金不僅會助長現(xiàn)有網(wǎng)絡(luò)罪犯繼續(xù)攻擊更多組織;還會刺激其他罪犯參與此類非法活動。最后,由于支付了贖金,組織可能非故意地資助了其他與犯罪相關(guān)的非法活動。”
但現(xiàn)實是,相當一部分用戶,愿意支付贖金,來換回他們的數(shù)據(jù)。這就是市場。
根據(jù)IBMXForce 調(diào)查顯示,
企業(yè)高管
70%的受到勒索軟件影響的企業(yè)向網(wǎng)絡(luò)犯罪分子支付了贖金,以便重新獲得對業(yè)務(wù)數(shù)據(jù)和系統(tǒng)的訪問權(quán);而且這些企業(yè)中超過一半支付了10,000美元以上的贖金,更有20%的企業(yè)支付了超過40,000美元。
所有企業(yè)高管中有近60%表示愿意支付贖金以恢復(fù)數(shù)據(jù)。
25%的企業(yè)高管表示,根據(jù)數(shù)據(jù)類型的不同,他們愿意支付20,000到50,000美元,以重新獲取對數(shù)據(jù)的訪問權(quán)。
在高管最可能為其支付贖金的數(shù)據(jù)類型列表中,財務(wù)和銷售記錄位居榜首,盡管各類數(shù)據(jù)之間的差別通常很小。
-- 財務(wù)記錄– 62%
-- 客戶和銷售記錄– 62%
-- 企業(yè)電子郵件系統(tǒng)/服務(wù)器– 61%
-- 知識產(chǎn)權(quán)– 60%
-- 人力資源檔案– 60%
-- 企業(yè)云系統(tǒng)訪問權(quán)– 60%
-- 商業(yè)計劃– 58%
-- 研發(fā)計劃– 58%
-- 源代碼– 58%
消費者
消費者在其財務(wù)信息、數(shù)字家庭回憶信息等受到威脅時有支付贖金的動機。
雖然超過50%的消費者最初表示他們不會支付贖金,但當被問及具體數(shù)據(jù)類型時,他們的支付意愿開始上升:
-- 54%的消費者表示,他們有可能支付贖金,以取回財務(wù)數(shù)據(jù)。
-- 43%的消費者表示,他們愿意支付贖金,以重新獲得對其移動設(shè)備的訪問權(quán)。
-- 超過一半(55%)的父母愿意支付贖金,以重新訪問其數(shù)字家庭照片;相比之下,無子女的受訪者中只有39%愿意這樣做。
父母們更愿意支付贖金:IBM的分析發(fā)現(xiàn),由于涉及到情感價值以及子女幸福,父母們更有動力支付贖金。
-- 39%的家長有處理勒索軟件方面的經(jīng)驗,而總體上29%的非父母表示具有某些相關(guān)經(jīng)驗。
-- 71%的家長最擔心其家庭數(shù)碼照片和視頻受到威脅,而只有54%的非父母表示出這種擔憂。
-- 總的來說,55%的家長會支付贖金以便能夠重新訪問他們的照片,而只有39%的非父母會支付贖金。
勒索軟件生意的模型及問題
有了明確的市場,生意便有了土壤,剩下的,就是執(zhí)行策略和成本收益分析。勒索軟件的技術(shù)很先進,但業(yè)務(wù)邏輯并不復(fù)雜,無需動用許多艱深的市場營銷學(xué)模型,比如4Ps-4Cs-4Rs/波士頓矩陣/STP戰(zhàn)略/PEST分析/波特的五力分析架構(gòu)/RFM模型/RATER指數(shù),可以簡化如下:
把勒索軟件當作一門生意來觀察,許多問題就清晰起來:
核心技術(shù)研發(fā):
WannaCry之所以成立,涉及到兩個核心技術(shù),有一個失效,業(yè)務(wù)都無法成立:
1. Eternal Blue永恒之藍漏洞:解決了如何進入用戶電腦的問題
2. 加密算法:解決了如何給用戶制造麻煩的問題
這兩項核心技術(shù)的研發(fā)成本是多少呢?近乎于零。
為什么?
1. 永恒之藍漏洞:由NSA研發(fā),被ShadowBroker盜取。ShadowBroker想要批發(fā)變現(xiàn),報價太高沒人買得起,于是放出部分樣本示例,也許是想展示實力,試圖零售吧。其中一個樣本就是EternalBlue永恒之藍,對于任何人為免費。
2. 加密算法:RSA+AES,公開算法,免費,且當下尚不可破解。
生產(chǎn):
解決了核心技術(shù)問題,下一步就是軟件工程,將核心技術(shù),編寫為一個正式商業(yè)軟件,產(chǎn)品化。這點上,WannaCry做的不過不失。
軟件生產(chǎn)部分的成本,雖然并不為零,需要一個團隊完成,但是按許多技術(shù)文章的分析,畢竟場景固定,編寫難度不算很高,如果由一個日常工作就是熟練編寫木馬等軟件的“專業(yè)團隊”來完成,相對于巨大的市場容量,軟件開發(fā)費用,依然幾乎可以忽略。
市場推廣:
這部分是非常有趣的。所謂酒香也怕巷子深,再好的病毒軟件,沒有人中毒,就沒有實際意義。因此,病毒的傳播方式是否有效,是病毒一大特性。
過往的勒索軟件,在編寫好之后,都需要用某種方式,欺騙客戶上鉤,因此需要社交工程手法介入(釣魚網(wǎng)頁,釣魚郵件,廣告游戲推廣等等,都屬于病毒推廣手段),但制作這些推廣手段,與任何正常商品的市場推廣一樣,需要付出成本,而且伴隨試圖覆蓋的人群上升,成本隨之增加。IBM X-Force研究人員已經(jīng)確定,勒索軟件出現(xiàn)在2016年發(fā)送的全部垃圾郵件的近40%之中,而在2015年僅占微不足道的0.6%,這一敲詐勒索工具的傳播速度顯著提高了6,000%。這些,都是產(chǎn)品推廣成本。
因此,過往有些勒索軟件,是有針對性的攻擊,比如針對一些大型金融機構(gòu),足夠支付能力的目標客戶,才足以支撐推廣成本。在 SANS 的一項調(diào)查報告中顯示,超過 32% 的金融機構(gòu),表明他們由于組織受到勒索軟件攻擊而損失了10萬到50萬美元。
而永恒之藍的技術(shù)太特殊了,這個漏洞不僅解決了如何進入用戶電腦的問題,還賦予了一個額外的特點:病毒可以以蠕蟲方式傳播,即無需全部依賴賣家推廣,中毒者自動感染,自動執(zhí)行,自動傳播,比傳銷還有效。這個特性,造就了本次WannaCry的大規(guī)模傳播,同時,也大大降低了病毒制造者的推廣傳播成本。
銷售& 服務(wù):
客戶拿到貨,就應(yīng)該付款,收不回錢來,那就是白忙活。
但現(xiàn)實總是太多可能,一個正常的軟件,在銷售過程中,也會有許多意想不到的問題發(fā)生,何況勒索軟件這么奇特。比如這次WannaCry,按其他媒體報道,預(yù)計造成全球約80億美金的直接損失,而黑客只收到幾萬美金的比特幣收入,就是這個環(huán)節(jié),沒有做好。
軟件失效:預(yù)設(shè)開關(guān),如送去了錯誤的客戶家里,則關(guān)閉病毒。開關(guān)被破。
商品損耗:1000瓶啤酒,運輸?shù)竭_目的地,50瓶破損或被運輸司機偷走,只有950瓶可以正常銷售,稱為損耗。內(nèi)網(wǎng),甚至絕大多數(shù)國內(nèi)設(shè)備,都屬于商品損耗,因為連不到Tor后臺的服務(wù)器。
付款心理:因為比特幣的匿名性,按過往色情網(wǎng)站等的勒索方式,黑客會采取差異化收費的方式,來區(qū)分究竟是哪個用戶已完成付款。本次WannaCry采取了統(tǒng)一定價策略,雖然有公司分析,可以從技術(shù)上保障區(qū)分,但考慮到用戶受眾,依然有許多用戶懷疑,同樣金額下,是否會因無法區(qū)分,而得不到解密。拋開技術(shù)原理不談,客戶付款心理激勵不足,未建立足夠的商家信譽描述,無客服,無第三方協(xié)助平臺,無售后評價。
付款難度:比特幣操作確實有難度,用戶已被日常簡捷的電子支付手段慣壞了。
總結(jié)一下,以商業(yè)的角度,WannaCry病毒目標是Windows終端,這個終端的特性與零售相同,比如飲料,快餐,服裝等等,與人口基數(shù)正相關(guān),因此理論上說,中國應(yīng)該是很大的市場,軟件的多國語言支持,也包含了中文。但最終,因軟件設(shè)計未充分考慮中國網(wǎng)絡(luò)和用戶群體的特殊性,雖已大量安裝,但銷售損耗率奇高,收款通道和售后服務(wù)完全無法保障,水土不服。在全球來看,也因商業(yè)閉環(huán)不完備,用戶付費不足。同時,勒索軟件已非初次出現(xiàn),前后迭代過多次,每次均遭到詳細剖析,技術(shù)特性暴露,用戶痛點被預(yù)警,提升了安全意識,一定程度上阻礙了未來類似軟件業(yè)務(wù)的拓展,只是市場太過龐大,過往業(yè)務(wù)基數(shù)又很低,因此目前還能保持高速增長。商業(yè)上講,WannaCry本身是一個失敗的案例,但勒索軟件業(yè)務(wù)模式,有巨大的市場前景,在全球,尤其在中國。
想必,同樣,勒索軟件制作者也意識到了這些問題,在尋求改進。一個單一版本軟件,一周左右的生命周期,開發(fā)成本接近于零,面對約80億美金的市場,來進行博弈,這也是股無比強大的改良驅(qū)動力。勒索軟件,必將加倍升級,卷土重來。
作為受害者的我們,如何應(yīng)對
那,應(yīng)該如何應(yīng)對?
寫這篇文,不是為了增長敵人氣焰,滅自己威風的。雖然,截至目前,防守一方,無論是甲方,還是解決方案供應(yīng)商,都沒覺得有什么可以威風的地方,本質(zhì)上,解不開病毒,抓不到壞人。今天,我們只能應(yīng)對。
當然,有些安全公司,趁這次事件的機會,教育了大眾的安全意識,提升了甲方高層的安全觀念,順便做了些業(yè)務(wù),賺了些錢。賺錢并不丟人,也不應(yīng)諱言,但防守方同樣是在這80億美金的市場里,與勒索軟件方進行同臺博弈,博弈得當,或許可以賺更多的錢,即,為客戶提供更多價值。
一個完整的交易,應(yīng)該如同流水一般順暢,有任何一環(huán)斷裂,都無法完成。因此,從這個角度上,攻擊方需要提供全部業(yè)務(wù)閉環(huán),而防守方只需考慮擊垮其一個環(huán)節(jié),就能給對方造成打擊。我們依然按照上面的生意模型,再多考慮兩個前提措施,來反思下WannaCry,同時,借這個思路,也能更好的分類理解,市場上各類解決方案的定位,和可能帶來的價值。
前提1:縮小市場:
商業(yè)上,如果市場不存在,商業(yè)行為就不存在了,非商業(yè)活動另當別論。因此,如果勒索的目標不存在了,勒索軟件就沒有價值。
如何縮減目標市場的容量?建議是:備份。
這個措施的價值有多大?答案是:整個市場容量。WannaCry為例,約80億美金。
當然,新聞上還提到一種策略,是放棄使用Windows,國內(nèi)國外都有,轉(zhuǎn)型到其他平臺,其思路核心,也是縮小或重新定義市場。這個,不評論。
前提2:風險打包:
打包方式一:保險
如果采用技術(shù)防護手段,都需要費用投入,而投入的費用是企業(yè)運營成本。成本的峰值邊界在哪里?不知道,沒關(guān)系,問下保險公司。
有些企業(yè),數(shù)據(jù)沒有長久的生命周期,或業(yè)務(wù)有獨特的特殊性,這些數(shù)據(jù)的價值是可以衡量的,甚至整個企業(yè)的安全風險都是可以衡量的,如果能精算出來,保險不失為一條最簡潔的解決方案。
就如同,買臺PC就是為了看新聞,PC被鎖了,這兩天都看不了新聞,又怎么樣呢?
打包方式二:Cloud
請參考各家公有云公眾號文章。
打包方式三:專業(yè)安全外包或托管服務(wù)
外包托管逐步成為一種趨勢,再好的技術(shù)手段,也需要人來完成,專業(yè)人才的供應(yīng),已經(jīng)落后于技術(shù)迭代,成為短板。出路只有兩個,AI替代,或外包服務(wù)托管。
但大多數(shù)企業(yè)和個人,錯過了前提1,又因各種原因,無法接受前提2的類型。那么,就只有寄希望于在勒索生意模型的四個環(huán)節(jié)中,尋求應(yīng)對策略。我們?nèi)匀挥肳annaCry為例,分析一下:
核心技術(shù)研發(fā):
1. Eternal Blue永恒之藍漏洞:
漏洞總會有新的,這個是常態(tài),但0day暴露的時間窗口,可以縮短。對應(yīng)這個特性,有兩類解決方案尤為對癥:終端掃描 + 打補丁。
這兩類工作屬于日常運維范疇,如果不是碰到此類勒索問題,凸顯業(yè)務(wù)價值,日常并不突出,且工作量繁重,被眾多甲方吐槽,安全難做,安全不被上層重視。
2. 加密算法:
破解密鑰,除非有量子計算,否則目前的計算能力,代價天文數(shù)字,且沒有時效性。唯一機會是作者對加密算法理解不夠或軟件設(shè)計中處理不完善,看到有許多公司,用內(nèi)存搜索等各種迂回手段抓取密鑰,可以解開一部分,甚至全部文件。算法是數(shù)學(xué)上的明珠之爭,做不到,當下只有軟件工程成熟度之拼。
市場價值方面,因為是迂回破解,且只針對這款軟件,大多數(shù)是免費工具,證明公司技術(shù)能力,輔助客戶恢復(fù)。
生產(chǎn):
如前所述,這個軟件開發(fā)的不過不失,將幾個獨特的技術(shù)手段,整合在一起,實現(xiàn)了一個業(yè)務(wù)軟件。但正因為這個特性,軟件模式及其單一固定,易于分析,因此,在這個環(huán)節(jié),應(yīng)對的商業(yè)解決方案,十分集中。
威脅情報預(yù)警:從統(tǒng)計意義上,在事態(tài)剛起之時,如果能夠及時獲取,可以盡早通知其他客戶,遏制擴散。
終端安全管理:終端行為異常,可模式識別及阻斷。
UBA行為識別:有的是兩個安全模塊的聯(lián)動(如SIEM+EndPoint,或TI+EndPoint),有的是SIEM協(xié)調(diào)多模塊的全局互動。本質(zhì)上,因為勒索軟件的行為模式很固定,因此UBA也很容易識別,區(qū)別就是,有的方案是自動識別,有的則要人工設(shè)置規(guī)則。
林林總總,大道萬變,能提升未來的事前防范能力,事中響應(yīng)能力,但事后均束手無策。
但這些思路和體系,價值并不局限于應(yīng)對當前的一次問題,而在于提供了一個思路和方法,應(yīng)對未來多種可能的安全威脅,這才是這些方案真正的價值。
這些方案或產(chǎn)品,要回答幾個問題:
時效性:設(shè)計多級聯(lián)動,整體協(xié)調(diào),是否能在病毒發(fā)作前生效?
有效性:安全體系建設(shè)和專殺工具,如同建議一個人健身,長遠雖然有好處,但他現(xiàn)在感冒了,迫切需要感冒藥,等感冒好了,又很可能好了傷疤忘了疼。
實用性:思路是思路,現(xiàn)實是現(xiàn)實。現(xiàn)實中,聯(lián)動是否僅限于自家產(chǎn)品?A品牌的終端安全工具能否與B品牌的SIEM聯(lián)動?西藥和中藥能否一起服?誰負責協(xié)調(diào)和對接?
市場推廣:
從勒索軟件的業(yè)務(wù)思路,條條大路通羅馬,Routeto Market模型,甚至可以采用經(jīng)典市場分析理論來調(diào)研分析,最差也就是一條一條試過來,最多是代價高低,而最傳統(tǒng)有效的,依然是釣魚和垃圾郵件。用這個思路來看,所有通道檢測/攔截/過濾的技術(shù),都是馬其頓防線,無法確保有效。如同那句著名的廣告語: 總有一款適合你。
但從防守者思路,從源頭到終端,層層加碼,處處封堵,是一個漏斗管理體系,拼的不是個別系統(tǒng)的成功,而是概率和方案間的互補性。各類網(wǎng)絡(luò)設(shè)備,web防護設(shè)備,層層過濾,最終到達客戶內(nèi)部的,希望成為概率最小值,則縮小總體市場,同時對比同業(yè),延緩爆發(fā)時間點,取得應(yīng)對時間。在森林里,跑贏同伴,而不是熊。
產(chǎn)品技術(shù)和方案就不再贅言,各種解決方案可以自行歸類。
銷售& 服務(wù):
這一環(huán),敵方做的不好,我方做的更差。
如果說對方業(yè)務(wù)是閉環(huán),防守方只需擊破其中一個環(huán)節(jié)即可,則之前三個分類,都有人在嘗試,且都取得了不同程度的進展,而最后找一個,有點束手無策的感覺。因為比特幣和Tor,解決了資金流動的匿名性和流動隱蔽性。
從媒體可以注意到,全球各國針對這兩個問題,均在進行不同程度的法規(guī)制定和監(jiān)管,如同治水,有的在堵(交易非法),有的在疏(監(jiān)管認證下交易),新事物,都在摸索。
如不陽謀,就只有陰謀了,那就不是商業(yè)范疇,我也不懂了。
這問題,沒有答案,也并未結(jié)束,讓我再想想看。
最后
有人說未來勒索軟件走勢是走向移動端,也有人說會走向IOT,都有可能,反正黑客的腦洞是無限大的,再加上每個市場都很大,都有驅(qū)動,什么都有可能。
但還是想說,有技術(shù),卻做勒索這個生意,真的,很不受人待見。
紀曉嵐《閱微草堂筆記?卷一?灤陽消夏錄》里,有這樣一個故事,“南皮瘍醫(yī)某,藝頗精,然好陰用毒藥,勒索重貲,不饜所欲,則必死。蓋其術(shù)詭秘,他醫(yī)不能解也。”醫(yī)者無德,技者無良,商賈無仁,這跟勒索軟件,有異曲同工之處。
后來,故事里說,“一日,其子雷震死。”
嗯,雷還在路上,各位仍需努力。
參考
1. http://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/
2. Ransomware: How consumers and businesses value their data, by Limor Kessem,IBM Security
3. SANS Survey Security and Risk in Financial Services 2016.pdf, by G.Mark Hardy
4. 部分其他資料數(shù)據(jù),來自網(wǎng)絡(luò)和新聞,如有偏頗,敬請指正。
京公網(wǎng)安備 11010502049343號