勒索软件和网络安全生态系统的历史

近几十年来，网络安全工具的数量和复杂性以惊人的速度增长。随着勒索软件等网络威胁变得越来越多和复杂，防病毒和威胁管理工具不断扩展以应对这些挑战。安全专家现在常常发现自己的选择太多，市场上的选择也太多了。选择、运行和培训这些工具可能会成为一个问题。

从第一个“计算机蠕虫”到勒索软件，让我们回顾一下网络威胁的演变和不断扩大的网络安全生态系统。

在国外，人们把网络攻击发展划分五个时代，具体可以参阅原来整理的网络攻击从1G到5G的一个嬗变。到了2017年WannaCry作为第V代病毒，在美国NSA的技术加持下，横扫英国医疗和我国教育领域。

网络安全行业的诞生

由于没有公共互联网，早期的计算机安全主要集中在一次一个地保护计算机系统的密码上。即使在 60 年后，密码仍然是健康网络安全实践的基础。

在 1970 年代，一位有道德的编码员创建了一个名为Creeper的程序，这是一种从一个系统移动到另一个系统的“蠕虫”，在 ARPANET 上留下了一条信息。（ARPANET 是高级研究计划署网络，是美国国防部的一个分支机构，也是当今互联网的先驱。）Creeper 程序员的一位同事创建了一个名为 Reaper 的程序来摧毁它。它发现并删除了病毒，创建了第一个防病毒程序。这些是最早的病毒和防病毒程序，但这种情况并没有持续很长时间。

在 20 世纪 80 年代后期，莫里斯蠕虫病毒（一种自我复制的恶意软件程序）为该行业敲响了警钟。它旨在展示一个已知的漏洞，它减慢了互联网速度并造成了广泛的破坏。莫里斯蠕虫阐明了阻止日益增长的威胁形势的必要性，并催生了第一台防火墙。防火墙在 20 世纪 80 年代后期慢慢从实验室出现，但防火墙行业将在下一个十年起飞。

1987 年，第一个真正的商业防病毒解决方案来自德国公司 G Data Software for Atari 系统。McAfee 也在当年成立，推出了 VirusScan。随后出现了更多的防病毒产品。

1980 年代开始时并没有真正的商业网络安全产品。他们以市场上的几个防火墙项目和防病毒产品而告终，而且这种趋势只会继续下去。

互联网主流化和边界保护的开始

“万维网”的历史始于1989年，1990年代初的普及使互联网成为主流。这十年开始时互联网用户不到 300 万，结束时大约有2.81 亿。随着数以百万计的人将他们的个人和财务信息放到网上，网络犯罪分子开始利用这些信息。

在 1990 年代，网络安全工具专注于边界保护——防火墙和入侵防御系统——以及防病毒软件。防火墙从实验室项目过渡到商业产品，第二代防火墙来自 AT&T 贝尔实验室，称其技术为电路级网关。这引入了第一个状态防火墙，一种监视活动网络连接的完整状态的防火墙。1994 年，Check Point 推出了 Firewall-1，这是商业防火墙解决方案中的一个里程碑，它提供了一种使用图形用户界面的流行且易于管理的网络安全工具。

使用防火墙，数据包过滤器可以通过寻找已知的恶意流量来保护安全的内部网络。这些逐渐变得更加精致和多样化，但基本概念保持不变。围绕企业网络和应用程序构建护城河是那个时代的方法。

第一个虚拟专用网络(VPN)于 1996 年在 Microsoft 内部开发，旨在将防火墙的保护扩展到使用调制解调器“拨入”的远程用户。它后来被广泛用于安全和隐私，使远程用户活动能够对互联网服务提供商和公共 Wi-Fi 隐藏起来。VPN 产品的基础技术——互联网协议安全 (IPSec)、互联网密钥交换 (IKE) 以及到本世纪末的第 2 层隧道协议 (L2TP)——随着产品的普及大大提高了 VPN 的安全性。

新千年的集中安全

今天广泛传播的许多攻击类型，如勒索软件（第一个实例是通过软盘发生在 1989 年），在 2000 年代中期成为一种更广泛使用的技术。期间出现了GPCode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip、MayArchive等新型勒索攻击。随着难以追踪的加密货币的兴起，勒索软件对威胁行为者更具吸引力。冒充防病毒软件的恶意软件成为围绕勒索软件攻击的社会工程学的一个重点。

2000 年之后，SOC（安全运营中心）的概念开始流行，这是一个全员参与的控制中心，配备一屋子专家，监控和阻止整个企业的安全事件。对于较小的团队，托管安全服务可以完成这项工作。无论哪种方式，他们都可能使用了安全信息和事件管理(SIEM) 平台。这种方法是处理攻击变体和安全工具过于复杂的早期尝试。

SIEM是一组软件系统，用于查找、分析和显示来自设备、软件和日志系统或外部来源的数据。如今，超过 60 家公司销售 SIEM 解决方案。

SIEM 的想法最近已被实时安全智能平台的出现所取代，该平台旨在防止勒索软件等问题，而不是在事后发现它们。这些使用大数据分析来发现趋势。

这种网络安全控制室方法可能涉及数千种不同的解决方案和产品。他们不仅处理范围广泛的攻击类型，而且处理范围广泛的解决方案。

下一代防火墙出现于2008 年，并在 2010 年代激增。在 Palo Alto Networks 的推动下，这些防火墙使用了应用程序感知数据包过滤、基于用户的访问控制（无论系统的 IP 地址或设备类型如何）、内置 IPS 过滤和其他先进技术，这些技术在结合时证明非常强大。到本世纪末，将有数百种防火墙解决方案。

勒索蠕虫WannaCry于 2017 年出现，病毒式传播并要求比特币支付。在这十年中，网络安全工具变得更加现代，使用网络行为分析和 Web 应用程序防火墙。

今天的网络安全生态系统被选择淹没

我们开始了因选择而瘫痪的新十年。每一种安全解决方案，从密码开始，包括防火墙、防病毒和反恶意软件、VPN、双因素身份验证解决方案、生物识别工具、加密产品、基于硬件的安全、企业密钥管理、容器和 Kubernetes 安全、机密计算等等，都开始了作为单一解决方案。更多的供应商出现了，更多的解决方案出现了，工具环境变得更加复杂。

我们发现自己的市场规模本身就是一种安全威胁。从种类繁多的解决方案中进行评估和选择所花费的时间和精力已成为一项重大投资，而掌握和培训这些解决方案则是另一个挑战。

威胁和解决方案的扩散不太可能改变。因此，对于当今的网络安全和与勒索软件的斗争，重点是拨乱反正的解决方案。威胁将继续以更快的速度发展，解决方案也必须随之发展。网络安全生态系统的下一个历史里程碑将是基于云的工具与人工智能和智能自动化相结合，以针对勒索软件和当今的其他威胁。

原文始发于微信公众号（祺印说信安）：勒索软件和网络安全生态系统的历史