新華社舊金山8月1日電 美國思科系統公司日前發佈報告説,目前駭客利用勒索軟體攻擊呈上升趨勢,據推算每年可得手約3400萬美元,而機構和個人等被侵犯對象對此尚無準備。
勒索軟體攻擊從2013年開始出現,是近年來最主要的網路威脅之一。作為網路解決方案供應商,思科在《2016年中網路安全報告》中推算,駭客利用勒索軟體攻擊平均每次得手300美元,平均每月超過9500人為此支付“贖金”。
報告説,網路駭客使用的系列勒索手段包括:頻繁創建虛假網站,用以吸引潛在勒索對象瀏覽;借助網站內釣魚軟體掃描用戶電腦作業系統及瀏覽器所含安全漏洞;向用戶電腦內輸送勒索軟體,繼而鎖死電腦或加密數據,要求用戶支付“贖金”,以換取解除鎖定的“秘鑰”。
作為報告依據,思科分析了11.5萬台企業所用網路裝置,發現“其中10.6萬台裝置處於運作狀態的軟體存在已知漏洞”。另外,研究人員發現,2015年9月至2016年3月,與惡意軟體相關的網站數據流量急劇增加,其中一個原因是即使軟體供應商針對漏洞發佈了“補丁”,眾多用戶依然沒有及時下載安裝。
“缺乏透明度,是這方面問題的癥結,因而讓用戶暴露在攻擊面前。”思科認為,網路安全專業人士過於依賴就事論事的單點解決方案和用於確定落實解決方案優先順序的特定“預診”方法,嘗試以零星、分散的方式阻止攻擊,而沒有以全局眼光審視各種安全挑戰,結果導致用戶落入攻擊者的圈套,讓攻擊方屢屢得手。
這家矽谷企業的結論是,現有系統保護方式無法對稱處置網路攻擊。即便防守方調整應對策略、升級防範工具,駭客仍有充足餘地從事犯罪活動,並且“下一輪勒索軟體攻擊預期侵入能力和抵禦(查殺)能力會更強”。
思科建議,企業用戶應制定並測試應對方案,不輕易相信網頁連結及所謂“安全證書”,提醒員工瀏覽器遭受惡意軟體感染的風險;同時,“機構和個人現在就著手準備,備份關鍵數據並且保障這類備份不會失手”。
有別於其他一些網路安全機構先前所作評估,思科對勒索軟體攻擊造成損失的金額估算相對較低。這家企業發佈報告前不足一個星期,歐洲刑警組織宣佈將與兩家跨國企業聯手,為應對勒索軟體設立一家網站。
