勒索软件和数据勒索攻击有一个共同点——金钱。有一个非常发达的货币生态系统，它允许，例如：

· 获得对台式电脑（例如电子邮件）或不安全的互联网连接服务的初始访问权的货币化

· 出售该访问权限的货币化——初始访问经纪人

· 市场的货币化——eBay风格的网站，任何人都可以购买全球网络的访问权限，其中许多都可以访问数千个组织

· 销售通用攻击性安全工具的货币化——例如，将恶意内容添加到 Microsoft Office文档的“宏构建器”工具，试图逃避防病毒解决方案的“加密器”工具等。

· 销售和转售远程访问木马和僵尸网络的货币化——例如，提供对端点的远程访问的 Locky 和Trickbot。

· 销售勒索软件和访问勒索软件即服务平台的货币化。

· 为市场招聘开发人员和员工、开发通用攻击性安全工具、远程访问木马、僵尸网络、勒索软件有效载荷等的货币化。

· 雇佣“渗透测试员”闯入组织的货币化。

从本质上讲，这是全球范围内严重的有组织的网络犯罪。其中一些团体设有人力资源和薪资部门。虽然它被看作是主要经营从俄国，它其实不只是在俄罗斯的运营商。

      大型游戏勒索软件团伙每年吸引数亿美元的付款。例如，领先的网络安全保险提供商 CNA Financial 本身就受到了勒索软件的攻击——并向他们怀疑的俄罗斯攻击者支付了 4000 万美元的费用。三月网络攻击后，CNA Financial 向黑客支付了 4000 万美元的赎金 — 彭博社

货币化不仅仅适用于“坏人（tm）”：

· 一些网络威胁情报提供商抓取、渗透和出售对僵尸网络数据、受害者数据等的访问。

· 安全供应商的技术和服务销售额创下历史新高——少数人提出了一些奇怪的、几乎是 Theranos风格的声明，他们夸大了他们所能提供的东西，而且预算数额巨大。

· 一些产品所有者在他们自己的产品中利用安全问题来追加销售他们的安全服务和产品。

· 加密货币市场正在促进交易并赚取交易费用。

· 一些保险公司为勒索软件提供保护政策。

· 美国境内存在专门的谈判公司，以促进向勒索软件团伙付款。

· 网络安全公司制造了许多被勒索软件团伙重复使用的“红队”工具。

例如，这并不是说 CTI 提供商不会增加价值。他们很多时候都在通知执法部门的第一线。这不是说组织应该免费做事，也不是说 XYZ 的事情不好（事实上，这些公司中的许多都是混蛋）。仅仅观察到这里存在一个货币周期，勒索软件运营商和网络安全行业（到 2023 年，网络安全市场价值 2483 亿美元）每年的利润创纪录。

      公司购买的工具通常太复杂，无法在现实世界中正确部署，很多组织他们花了大钱却从未完成安装。特定的痛点，例如身份和权限管理工具，对于许多组织来说太笨拙了，无法很好地实施，但肯定会为销售人员购买一些游艇。

      管理网络安全部门也非常困难，因为有太多的外部输入——例如最新炒作的漏洞，结果证明永远不会被利用，安全控制在现实世界中不切实际等等——保持专注于做“基础” '（建立安全基础）通常很困难。

      安全基础，例如确保已经购买的工具得到实际实施和维护，是迄今为止任何组织可以采取的最有价值的步骤——但价值数万亿美元的安全行业制造噪音很少涉及这样做。这适用于有专门安全人员关注的组织。

“ Just patch ”是您在网络安全圈子中听到的口头禅，但我不确定网络安全领域有多少人尝试修补 Microsoft Exchange和 SharePoint 集群，但是……这不是“公正”的操作。例如，应用每月一次的 Microsoft Exchange 安全更新大约需要集群中的每台服务器 30 分钟（集群通常很大），而每季度的累积更新则需要更长的时间。这只是交换。SharePoint是类似的......然后你有各种互连的系统、变更管理等要处理——更不用说随意更改功能的补丁、需要特定版本的 .net 框架、Active Directory 架构更改等。

      换句话说，过去两年的许多勒索软件事件都是由网络边界的网络安全产品引起的，这些产品由安全团队出于安全原因实施——然后最终被勒索软件组织利用未修补的漏洞几个月到几年后。如果安全团队发现修补他们拥有的少数产品很困难，他们怎么能指望企业修补数千年的旧系统？

      此外，网络安全部门倾向于将系统的备份和恢复视为 IT部门职责的一部分。

      如果您认为网络安全很难，那么您应该在战壕中看到 IT。在价格方面，许多组织都在竞相逐底竞争，以尽可能低的成本将外包给托管服务提供商 (MSP)。许多组织都停留在生命周期结束的软件上，根本没有预算来跟上微软的步伐，也没有接近 Windows Server 2019 等。

      事实是，虽然政府正在推动零信任等框架，但成功实施这些框架的组织数量……并不多。许多公司几乎负担不起修补 SharePoint的费用，更不用说修补漏洞管理程序中显示的数以万计的应用程序漏洞了，而且确实难以获得准确的资产列表。

      大多数组织仍然没有一个人负责安全。

      老实说，战壕中的情况与您在有关信息安全理论的管理 PowerPoint中阅读的内容大不相同。支持组织的一种方法是认识到，也许现在对公司大喊“只是修补”和“实施零信任”实际上并不实用。这是迄今为止我所见过的最大的脱节，而现实是组织需要支持——例如，针对勒索软件的大规模国际执法行动。

      此外，IT 部门倾向于将勒索软件的恢复视为网络安全部门职责的一部分。