新华社旧金山8月1日电 美国思科系统公司日前发布报告说,目前黑客利用勒索软件攻击呈上升趋势,据推算每年可得手约3400万美元,而机构和个人等被侵犯对象对此尚无准备。
勒索软件攻击从2013年开始出现,是近年来最主要的网络威胁之一。作为网络解决方案供应商,思科在《2016年中网络安全报告》中推算,黑客利用勒索软件攻击平均每次得手300美元,平均每月超过9500人为此支付“赎金”。
报告说,网络黑客使用的系列勒索手段包括:频繁创建虚假网站,用以吸引潜在勒索对象浏览;借助网站内钓鱼软件扫描用户电脑操作系统及浏览器所含安全漏洞;向用户电脑内输送勒索软件,继而锁死电脑或加密数据,要求用户支付“赎金”,以换取解除锁定的“秘钥”。
作为报告依据,思科分析了11.5万台企业所用网络装置,发现“其中10.6万台装置处于运行状态的软件存在已知漏洞”。另外,研究人员发现,2015年9月至2016年3月,与恶意软件相关的网站数据流量急剧增加,其中一个原因是即使软件供应商针对漏洞发布了“补丁”,众多用户依然没有及时下载安装。
“缺乏透明度,是这方面问题的症结,因而让用户暴露在攻击面前。”思科认为,网络安全专业人士过于依赖就事论事的单点解决方案和用于确定落实解决方案优先顺序的特定“预诊”方法,尝试以零星、分散的方式阻止攻击,而没有以全局眼光审视各种安全挑战,结果导致用户落入攻击者的圈套,让攻击方屡屡得手。
这家硅谷企业的结论是,现有系统保护方式无法对称处置网络攻击。即便防守方调整应对策略、升级防范工具,黑客仍有充足余地从事犯罪活动,并且“下一轮勒索软件攻击预期侵入能力和抵御(查杀)能力会更强”。
思科建议,企业用户应制定并测试应对方案,不轻易相信网页链接及所谓“安全证书”,提醒员工浏览器遭受恶意软件感染的风险;同时,“机构和个人现在就着手准备,备份关键数据并且保障这类备份不会失手”。
有别于其他一些网络安全机构先前所作评估,思科对勒索软件攻击造成损失的金额估算相对较低。这家企业发布报告前不足一个星期,欧洲刑警组织宣布将与两家跨国企业联手,为应对勒索软件设立一家网站。