在数字世界里,勒索这门生意,这几年却正蓬勃兴起。勒索软件的概念可以追溯到 1989 年,那时人们通过人工投递的软盘,将 PC 锁定恶意代码发送给受害者,但自 2014 年以来,随着比特币等加密数字货币在全球的广泛使用,这类业务有了令人侧目的增长。
缘起
勒索从来就是一门生意,大生意,只是,很不招人待见。
原理上,勒索属于一种双方或多方博弈,历史很久远,比如《史记·刺客列传》里,曹沫劫齐桓公,就是为了挽回打败仗输掉的城池,虽然当时曹沫勒索成功,但最终鲁国还是灭亡了。还有更不着调的,南梁萧衍信佛,为了给佛寺筹款修建,三次称自己被菩萨绑架,强迫群臣凑钱来赎。民间纠纷,也时有发生,但人人都知道,这是违法的。
在数字世界里,勒索这门生意,这几年却正蓬勃兴起。勒索软件的概念可以追溯到 1989 年,那时人们通过人工投递的软盘,将 PC 锁定恶意代码发送给受害者,但自 2014 年以来,随着比特币等加密数字货币在全球的广泛使用,这类业务有了令人侧目的增长。
勒索软件生意的市场有多大?
看看数据,根据 CybersecurityVentures 2016 年的报告,“2017-2021 未来 5 年,全球网络安全产品及服务的支出,累计将超过 1 万亿美元;而全球网络犯罪造成的经济损失,2015 年当年就达到约 3 万亿美元,到 2021 年,预计将增长到每年 6 万亿美元。”
勒索软件只是数字犯罪中的一种形式,但因其特殊性,自 2016 年起,勒索软件开始成为企业和消费者面临的最大网络安全威胁之一。美国政府的统计数据表明,勒索软件攻击在 2016 年增长了 4 倍,平均每天发生4,000 次。
为什么会有人从事勒索软件?因为有市场。
勒索软件的主角们大都有着强烈的经济动机。FBI(联邦调查局)和国际执法部门一直在就这一威胁发出警报。联邦调查局估计,2016 年,勒索软件将为网络犯罪分子带来约 10 亿美元的收入,在 2016 年的前 3 个月,网络犯罪分子就获得了据称 2.09 亿美元的收入,与 2015 年相比,勒索软件在 2015 年全年仅带来了 2400 百万美元的收入,因此,从 2015 到 2016 年,出现了惊人的 771% 的增长。典型勒索赎金金额介于 200 到 10,000 美元之间,平均高达 500 美元,最常采用的支付方法是加密货币形式,而企业的服务器和网络勒索金额高达 4 到 5 位数,有时甚至达到数百万美元。
以本次爆发的 WannaCry 为例,据当中一份报告统计,有超过 130,000 个端点报告遭到感染,因持续发作,最终实际受损终端可能远远超过这个数量。每个受害者被要求支付约 300 美元来解锁设备,假如所有受害者均愿意支付赎金,则仅本次勒索而言,赎金将超过3,900 万美元。当然,WannaCry 最终黑客所获取的收益,远远没有这么多,据分析只有 100 多笔付款(IBMX-Force 研究所推测,大部分支付赎金的人是被感染的个人用户),但这类勒索软件给客户带来的损失,却是不可估量的,有媒体报道,全球总损失大约 80 亿美金。
所有官方机构及媒体,都不鼓励人们支付赎金,因为支付后无法保证受害者能重获其数据的访问权,而且这会助长网络罪犯的持续犯罪。FBI 网络部门助理总监 James Trainor 说:“支付赎金无法让组织保证它能找回数据 – 我们看到过组织在支付赎金后从未获得解密密钥的情况。支付赎金不仅会助长现有网络罪犯继续攻击更多组织;还会刺激其他罪犯参与此类非法活动。最后,由于支付了赎金,组织可能非故意地资助了其他与犯罪相关的非法活动。”
但现实是,相当一部分用户,愿意支付赎金,来换回他们的数据。这就是市场。
根据 IBMXForce 调查显示:
70% 的企业高管受到勒索软件影响的企业向网络犯罪分子支付了赎金,以便重新获得对业务数据和系统的访问权;而且这些企业中超过一半支付了 10,000 美元以上的赎金,更有 20% 的企业支付了超过 40,000 美元。
所有企业高管中有近 60% 表示愿意支付赎金以恢复数据。
25% 的企业高管表示,根据数据类型的不同,他们愿意支付 20,000 到 50,000 美元,以重新获取对数据的访问权。
在高管最可能为其支付赎金的数据类型列表中,财务和销售记录位居榜首,尽管各类数据之间的差别通常很小。
– 财务记录– 62%
– 客户和销售记录– 62%
– 企业电子邮件系统/服务器– 61%
– 知识产权– 60%
– 人力资源档案– 60%
– 企业云系统访问权– 60%
– 商业计划– 58%
– 研发计划– 58%
– 源代码– 58%
消费者在其财务信息、数字家庭回忆信息等受到威胁时有支付赎金的动机。
虽然超过 50% 的消费者最初表示他们不会支付赎金,但当被问及具体数据类型时,他们的支付意愿开始上升:
– 54% 的消费者表示,他们有可能支付赎金,以取回财务数据。
– 43% 的消费者表示,他们愿意支付赎金,以重新获得对其移动设备的访问权。
– 超过一半(55%)的父母愿意支付赎金,以重新访问其数字家庭照片;相比之下,无子女的受访者中只有 39% 愿意这样做。
父母们更愿意支付赎金:IBM 的分析发现,由于涉及到情感价值以及子女幸福,父母们更有动力支付赎金。
– 39% 的家长有处理勒索软件方面的经验,而总体上 29% 的非父母表示具有某些相关经验。
– 71% 的家长最担心其家庭数码照片和视频受到威胁,而只有 54% 的非父母表示出这种担忧。
– 总的来说,55% 的家长会支付赎金以便能够重新访问他们的照片,而只有 39% 的非父母会支付赎金。
勒索软件生意的模型及问题
有了明确的市场,生意便有了土壤,剩下的,就是执行策略和成本收益分析。勒索软件的技术很先进,但业务逻辑并不复杂,无需动用许多艰深的市场营销学模型,比如 4Ps-4Cs-4Rs/波士顿矩阵/STP 战略/PEST 分析/波特的五力分析架构/RFM 模型/RATER 指数,可以简化如下:
把勒索软件当作一门生意来观察,许多问题就清晰起来:
核心技术研发:
WannaCry 之所以成立,涉及到两个核心技术,有一个失效,业务都无法成立:
1. Eternal Blue 永恒之蓝漏洞:解决了如何进入用户电脑的问题
2. 加密算法:解决了如何给用户制造麻烦的问题
这两项核心技术的研发成本是多少呢?近乎于零。
为什么?
1. 永恒之蓝漏洞:由 NSA 研发,被 ShadowBroker 盗取。ShadowBroker 想要批发变现,报价太高没人买得起,于是放出部分样本示例,也许是想展示实力,试图零售吧。其中一个样本就是 EternalBlue 永恒之蓝,对于任何人为免费。
2. 加密算法:RSA+AES,公开算法,免费,且当下尚不可破解。
生产:
解决了核心技术问题,下一步就是软件工程,将核心技术,编写为一个正式商业软件,产品化。这点上,WannaCry 做的不过不失。
软件生产部分的成本,虽然并不为零,需要一个团队完成,但是按许多技术文章的分析,毕竟场景固定,编写难度不算很高,如果由一个日常工作就是熟练编写木马等软件的“专业团队”来完成,相对于巨大的市场容量,软件开发费用,依然几乎可以忽略。
市场推广:
这部分是非常有趣的。所谓酒香也怕巷子深,再好的病毒软件,没有人中毒,就没有实际意义。因此,病毒的传播方式是否有效,是病毒一大特性。
过往的勒索软件,在编写好之后,都需要用某种方式,欺骗客户上钩,因此需要社交工程手法介入(钓鱼网页,钓鱼邮件,广告游戏推广等等,都属于病毒推广手段),但制作这些推广手段,与任何正常商品的市场推广一样,需要付出成本,而且伴随试图覆盖的人群上升,成本随之增加。IBM X-Force 研究人员已经确定,勒索软件出现在 2016 年发送的全部垃圾邮件的近 40% 之中,而在 2015 年仅占微不足道的 0.6%,这一敲诈勒索工具的传播速度显著提高了6,000%。这些,都是产品推广成本。
因此,过往有些勒索软件,是有针对性的攻击,比如针对一些大型金融机构,足够支付能力的目标客户,才足以支撑推广成本。在 SANS 的一项调查报告中显示,超过 32% 的金融机构,表明他们由于组织受到勒索软件攻击而损失了 10 万到 50 万美元。
而永恒之蓝的技术太特殊了,这个漏洞不仅解决了如何进入用户电脑的问题,还赋予了一个额外的特点:病毒可以以蠕虫方式传播,即无需全部依赖卖家推广,中毒者自动感染,自动执行,自动传播,比传销还有效。这个特性,造就了本次 WannaCry 的大规模传播,同时,也大大降低了病毒制造者的推广传播成本。
销售& 服务:
客户拿到货,就应该付款,收不回钱来,那就是白忙活。
但现实总是太多可能,一个正常的软件,在销售过程中,也会有许多意想不到的问题发生,何况勒索软件这么奇特。比如这次 WannaCry,按其他媒体报道,预计造成全球约 80 亿美金的直接损失,而黑客只收到几万美金的比特币收入,就是这个环节,没有做好。
软件失效:预设开关,如送去了错误的客户家里,则关闭病毒。开关被破。
付款心理:因为比特币的匿名性,按过往色情网站等的勒索方式,黑客会采取差异化收费的方式,来区分究竟是哪个用户已完成付款。本次 WannaCry 采取了统一定价策略,虽然有公司分析,可以从技术上保障区分,但考虑到用户受众,依然有许多用户怀疑,同样金额下,是否会因无法区分,而得不到解密。抛开技术原理不谈,客户付款心理激励不足,未建立足够的商家信誉描述,无客服,无第三方协助平台,无售后评价。
付款难度:比特币操作确实有难度,用户已被日常简捷的电子支付手段惯坏了。
总结一下,以商业的角度,WannaCry 病毒目标是 Windows 终端,这个终端的特性与零售相同,比如饮料,快餐,服装等等,与人口基数正相关,因此理论上说,中国应该是很大的市场,软件的多国语言支持,也包含了中文。但最终,因软件设计未充分考虑中国网络和用户群体的特殊性,虽已大量安装,但销售损耗率奇高,收款通道和售后服务完全无法保障,水土不服。在全球来看,也因商业闭环不完备,用户付费不足。同时,勒索软件已非初次出现,前后迭代过多次,每次均遭到详细剖析,技术特性暴露,用户痛点被预警,提升了安全意识,一定程度上阻碍了未来类似软件业务的拓展,只是市场太过庞大,过往业务基数又很低,因此目前还能保持高速增长。商业上讲,WannaCry 本身是一个失败的案例,但勒索软件业务模式,有巨大的市场前景,在全球,尤其在中国。
想必,同样,勒索软件制作者也意识到了这些问题,在寻求改进。一个单一版本软件,一周左右的生命周期,开发成本接近于零,面对约 80 亿美金的市场,来进行博弈,这也是股无比强大的改良驱动力。勒索软件,必将加倍升级,卷土重来。
作为受害者的我们,如何应对
那,应该如何应对?
写这篇文,不是为了增长敌人气焰,灭自己威风的。虽然,截至目前,防守一方,无论是甲方,还是解决方案供应商,都没觉得有什么可以威风的地方,本质上,解不开病毒,抓不到坏人。今天,我们只能应对。
当然,有些安全公司,趁这次事件的机会,教育了大众的安全意识,提升了甲方高层的安全观念,顺便做了些业务,赚了些钱。赚钱并不丢人,也不应讳言,但防守方同样是在这 80 亿美金的市场里,与勒索软件方进行同台博弈,博弈得当,或许可以赚更多的钱,即,为客户提供更多价值。
一个完整的交易,应该如同流水一般顺畅,有任何一环断裂,都无法完成。因此,从这个角度上,攻击方需要提供全部业务闭环,而防守方只需考虑击垮其一个环节,就能给对方造成打击。我们依然按照上面的生意模型,再多考虑两个前提措施,来反思下 WannaCry,同时,借这个思路,也能更好的分类理解,市场上各类解决方案的定位,和可能带来的价值。
前提1:缩小市场:
商业上,如果市场不存在,商业行为就不存在了,非商业活动另当别论。因此,如果勒索的目标不存在了,勒索软件就没有价值。
如何缩减目标市场的容量?建议是:备份。
这个措施的价值有多大?答案是:整个市场容量。WannaCry 为例,约 80 亿美金。
当然,新闻上还提到一种策略,是放弃使用 Windows,国内国外都有,转型到其他平台,其思路核心,也是缩小或重新定义市场。这个,不评论。
前提2:风险打包:
如果采用技术防护手段,都需要费用投入,而投入的费用是企业运营成本。成本的峰值边界在哪里?不知道,没关系,问下保险公司。
有些企业,数据没有长久的生命周期,或业务有独特的特殊性,这些数据的价值是可以衡量的,甚至整个企业的安全风险都是可以衡量的,如果能精算出来,保险不失为一条最简洁的解决方案。
就如同,买台 PC 就是为了看新闻,PC 被锁了,这两天都看不了新闻,又怎么样呢?
请参考各家公有云公众号文章。
外包托管逐步成为一种趋势,再好的技术手段,也需要人来完成,专业人才的供应,已经落后于技术迭代,成为短板。出路只有两个,AI 替代,或外包服务托管。
但大多数企业和个人,错过了前提1,又因各种原因,无法接受前提 2 的类型。那么,就只有寄希望于在勒索生意模型的四个环节中,寻求应对策略。我们仍然用 WannaCry 为例,分析一下:
核心技术研发:
1. Eternal Blue 永恒之蓝漏洞:
漏洞总会有新的,这个是常态,但 0day 暴露的时间窗口,可以缩短。对应这个特性,有两类解决方案尤为对症:终端扫描 + 打补丁。
这两类工作属于日常运维范畴,如果不是碰到此类勒索问题,凸显业务价值,日常并不突出,且工作量繁重,被众多甲方吐槽,安全难做,安全不被上层重视。
2. 加密算法:
破解密钥,除非有量子计算,否则目前的计算能力,代价天文数字,且没有时效性。唯一机会是作者对加密算法理解不够或软件设计中处理不完善,看到有许多公司,用内存搜索等各种迂回手段抓取密钥,可以解开一部分,甚至全部文件。算法是数学上的明珠之争,做不到,当下只有软件工程成熟度之拼。
市场价值方面,因为是迂回破解,且只针对这款软件,大多数是免费工具,证明公司技术能力,辅助客户恢复。
生产:
如前所述,这个软件开发的不过不失,将几个独特的技术手段,整合在一起,实现了一个业务软件。但正因为这个特性,软件模式及其单一固定,易于分析,因此,在这个环节,应对的商业解决方案,十分集中。
威胁情报预警:从统计意义上,在事态刚起之时,如果能够及时获取,可以尽早通知其他客户,遏制扩散。
终端安全管理:终端行为异常,可模式识别及阻断。
UBA 行为识别:有的是两个安全模块的联动(如 SIEM+EndPoint,或 TI+EndPoint),有的是 SIEM 协调多模块的全局互动。本质上,因为勒索软件的行为模式很固定,因此 UBA 也很容易识别,区别就是,有的方案是自动识别,有的则要人工设置规则。
林林总总,大道万变,能提升未来的事前防范能力,事中响应能力,但事后均束手无策。
但这些思路和体系,价值并不局限于应对当前的一次问题,而在于提供了一个思路和方法,应对未来多种可能的安全威胁,这才是这些方案真正的价值。
这些方案或产品,要回答几个问题:
时效性:设计多级联动,整体协调,是否能在病毒发作前生效?
有效性:安全体系建设和专杀工具,如同建议一个人健身,长远虽然有好处,但他现在感冒了,迫切需要感冒药,等感冒好了,又很可能好了伤疤忘了疼。
实用性:思路是思路,现实是现实。现实中,联动是否仅限于自家产品?A品牌的终端安全工具能否与B品牌的 SIEM 联动?西药和中药能否一起服?谁负责协调和对接?
市场推广:
从勒索软件的业务思路,条条大路通罗马,Routeto Market 模型,甚至可以采用经典市场分析理论来调研分析,最差也就是一条一条试过来,最多是代价高低,而最传统有效的,依然是钓鱼和垃圾邮件。用这个思路来看,所有通道检测/拦截/过滤的技术,都是马其顿防线,无法确保有效。如同那句著名的广告语: 总有一款适合你。
但从防守者思路,从源头到终端,层层加码,处处封堵,是一个漏斗管理体系,拼的不是个别系统的成功,而是概率和方案间的互补性。各类网络设备,web 防护设备,层层过滤,最终到达客户内部的,希望成为概率最小值,则缩小总体市场,同时对比同业,延缓爆发时间点,取得应对时间。在森林里,跑赢同伴,而不是熊。
产品技术和方案就不再赘言,各种解决方案可以自行归类.
销售& 服务:
这一环,敌方做的不好,我方做的更差。
如果说对方业务是闭环,防守方只需击破其中一个环节即可,则之前三个分类,都有人在尝试,且都取得了不同程度的进展,而最后找一个,有点束手无策的感觉。因为比特币和 Tor,解决了资金流动的匿名性和流动隐蔽性。
从媒体可以注意到,全球各国针对这两个问题,均在进行不同程度的法规制定和监管,如同治水,有的在堵(交易非法),有的在疏(监管认证下交易),新事物,都在摸索。
如不阳谋,就只有阴谋了,那就不是商业范畴,我也不懂了。
这问题,没有答案,也并未结束,让我再想想看。
最后
有人说未来勒索软件走势是走向移动端,也有人说会走向 IOT,都有可能,反正黑客的脑洞是无限大的,再加上每个市场都很大,都有驱动,什么都有可能。
但还是想说,有技术,却做勒索这个生意,真的,很不受人待见。
纪晓岚《阅微草堂笔记∙卷一∙滦阳消夏录》里,有这样一个故事,“南皮疡医某,艺颇精,然好阴用毒药,勒索重赀,不餍所欲,则必死。盖其术诡秘,他医不能解也。”医者无德,技者无良,商贾无仁,这跟勒索软件,有异曲同工之处。
后来,故事里说,“一日,其子雷震死。”
嗯,雷还在路上,各位仍需努力。