如今，勒索軟件已成為增長最快的網絡犯罪，是人類已知的最具傳染性的“數據疾病”。

　　同時事實證明，經歷了幾年的攻防演進，勒索軟件攻擊不僅沒有減少，反而變本加厲，攻擊事件層出不窮?？梢灶A見，2022年勒索軟件攻擊事件還將顯著增長，攻擊者的數量也將達到空前的程度。

2022年勒索軟件更加猖獗 呈現三大新趨勢

　　隨著勒索軟件攻擊被證明越來越有利可圖，今天的勒索軟件攻擊比以往更加危險和猖獗。瑞數信息認為，2022年勒索軟件將呈現三大新趨勢，需要密切關注。

趨勢一：勒索軟件數量繼續(xù)上升，勒索軟件成為最大的安全威脅

　　高利潤的回報，刺激著更多的犯罪分子加入勒索行業(yè)。在眾多勒索軟件攻擊事件中，大部分的勒索團伙采用了雙重勒索策略，即攻擊者會首先竊取大量的敏感商業(yè)信息，然后對受害者的數據進行加密，并威脅受害者如果不支付贖金就會公開這些數據，以數據泄露引發(fā)的商譽損害與法律追責等手段威脅受害者支付巨額贖金，這給企業(yè)帶來了巨大的壓力。

　　同時，RaaS（勒索軟件即服務）商業(yè)模式的興起,使得從業(yè)者無需任何專業(yè)技術知識就可以毫不費力地發(fā)起網絡敲詐活動，這也導致勒索軟件呈現低成本、低門檻趨勢，讓勒索攻擊愈演愈烈。

　　2022年，隨著網絡犯罪分子專業(yè)化以及對供應鏈利用程度的提升,勒索軟件數量還將顯著增長，攻擊者的數量也將達到空前的程度。同時，勒索軟件攻擊也將迅速蔓延至整個攻擊面，勒索軟件威脅將無處不在，成為當今大多數企業(yè)面臨的最大安全威脅。

趨勢二：勒索軟件對醫(yī)療行業(yè)的攻擊加劇

　　受企業(yè)級安全攻擊高回報率的誘惑，勒索軟件攻擊對政府、金融、教育、醫(yī)療等多個高價值行業(yè)都構成了嚴重威脅，但醫(yī)療機構因其豐富的醫(yī)療設備和患者信息成為了攻擊者的最佳目標。

　　據FBI發(fā)布的安全通告顯示，在過去一年內至少發(fā)現了16起針對美國醫(yī)療和應急響應機構的Conti勒索軟件攻擊，該勒索軟件在全球攻擊了超過400家醫(yī)療和應急響應機構。

　　在歐洲網絡與信息安全局（ENISA）威脅景觀報告中，2019年有超過66%的醫(yī)療組織遭遇了勒索軟件攻擊，45%的醫(yī)療組織被迫支付了贖金，但有一半的醫(yī)療組織在支付贖金后仍然丟失了他們的數據。

　　2022年，勒索軟件針對醫(yī)療行業(yè)的攻擊還將持續(xù)加劇，精確打擊、不斷革新的加密技能、規(guī)模化的商業(yè)運作，將對世界范圍的醫(yī)療機構持續(xù)產生嚴重危害。在這種形勢下，醫(yī)療機構的IT團隊將面臨空前挑戰(zhàn)。

趨勢三：勒索軟件導致的數據泄露規(guī)模更大、成本更高

　　數字化進程的加速，使得數據價值日益凸顯，一次數據泄露可能會影響數億甚至數十億人。同時隨著云計算的快速普及，勒索軟件越來越多地將以云存儲為目標，以最大程度地發(fā)揮影響力并增加杠桿作用以提高利潤、擴大企業(yè)數據泄露的規(guī)模和風險。據Cybersecurity Ventures研究表明，2021年全球勒索軟件的損失成本預計達到200億美元。

　　進入2022年，數據泄露還將繼續(xù)增加，規(guī)模會更大，各國政府和企業(yè)將付出更多的代價來進行恢復，不限于事件響應成本、數據備份成本、系統(tǒng)升級成本，還包括數量泄露帶來的聲譽損失成本、法律風險成本等隱性成本，其損失甚至數倍、數十倍于顯性損失。

傳統(tǒng)安全手段失效 無法應對新型勒索軟件攻擊

　　瘋狂的增長速度，和驚人的破壞力，使得勒索軟件攻擊已成為籠罩在全球企業(yè)心頭的一團“烏云”。盡管很多大型企業(yè)都有著嚴密的安全防控系統(tǒng)和數據災備系統(tǒng)，但仍沒能防住勒索軟件的攻擊，最終導致數據泄露。這是因為面對不斷升級的新型攻擊技術和勒索方式，傳統(tǒng)安全手段已無法有效抵御勒索軟件攻擊。

　　從傳統(tǒng)防病毒軟件看，由于其安全策略是基于特征和規(guī)則，應對勒索病毒主要采取“截獲樣本——分析處理——升級更新”的方式，這種模式會給勒索病毒的傳播和破壞帶來一個“空窗期”。一方面，特征匹配無法防御未知或多態(tài)病毒，而靠漏洞修補無法防御0day漏洞，此外，病毒還可以通過低可見度慢速攻擊策略，繞過安全系統(tǒng)的行為分析，進行深度潛伏的攻擊行為；另一方面，白名單的規(guī)則設置也過于復雜，難以保證業(yè)務與安全之間的平衡。

　　從傳統(tǒng)備份和容災系統(tǒng)看，盡管可以很好地實現數據備份和容災，但卻無法判斷在遭遇勒索軟件攻擊時，災備數據的可用性和安全性，例如：備份數據是否被感染了？哪些數據需要恢復？備份恢復的時間點是什么？多少時間可以恢復？是否會被重復攻擊？數據是否實時可用？數據保存是否完整？能否僅恢復損毀的數據......

　　如果災備系統(tǒng)已被勒索軟件攻擊，存在大量被損毀的文件，卻盲目地完成備份/容災任務、恢復“臟數據”，反而會加重感染范圍，造成恢復后的系統(tǒng)仍無法正常使用，部分企業(yè)即使有備份，仍然被迫支付贖金的后果。另一方面，傳統(tǒng)災備系統(tǒng)需要數天甚至數周的恢復時間，無法滿足快速恢復的應急響應需求，將業(yè)務中斷的損失降至最低。

　　隨著國內《數據安全法》《個人信息保護法》等法律陸續(xù)出臺，歐盟《通用數據保護條例》（GDPR）正式生效，數據安全監(jiān)管日趨嚴格，安全合規(guī)要求持續(xù)提升，保護高價值的數據和業(yè)務連續(xù)性，防止數據泄露，成為各大企業(yè)安全防護的剛需。

　　面對日漸失效的傳統(tǒng)安全手段，企業(yè)該如何應對勒索軟件攻擊高發(fā)趨勢，有效反擊黑客勒索，保護數據安全？

瑞數構建數據安全“三道防線”讓企業(yè)輕松反勒索

　　針對這些挑戰(zhàn)，瑞數信息基于數據安全的三要素——機密性、完整性和可用性，推出以數據安全底座，具有“數據風險管理+智能威脅感知+快速應急響應”三大防護能力的瑞數“數據安全檢測與應急響應系統(tǒng)” (Data Detection and Response, DDR)，構筑起事前、事中、事后三道防線的縱深防御體系，有效對抗勒索軟件攻擊，讓企業(yè)可以在數分鐘內恢復系統(tǒng)的正常運作。

第一道防線——事前數據風險管理

　　盤點數據資產與排查系統(tǒng)隱患是做好數據安全的第一步。瑞數信息創(chuàng)新的智能數據資產識別引擎，基于“深度文件內容檢測”技術，能夠高效識別企業(yè)數據中心內各類結構化與非結構化數據，生成數據完整性、敏感數據分布及權限審計等報告，從而全面掌控企業(yè)內數據資產的管控現狀。此外，更通過漏洞檢測與配置核查等機制，排查系統(tǒng)隱患，保護數據資產的安全。同時，對備份數據進行安全隔離，防止惡意軟件或黑客進行破壞或篡改。

第二道防線——事中智能威脅感知

　　傳統(tǒng)數據防護手段主要通過對惡意軟件特征和文件內容進行識別，但面對未知的惡意自動化攻擊幾乎無能為力。瑞數信息創(chuàng)新的AI行為智能識別引擎，提供了基于“數據訪問行為模式”的智能分析與識別能力，從而不再受制于復雜繁瑣的攻擊特征與行為規(guī)則，實現全鏈路智能行為與內容變化追蹤，對批量數據竊取及高度隱蔽性異常訪問等惡意行為進行智能安全分析，高效識別各類已知與未知的攻擊，同時也彌補了傳統(tǒng)殺毒軟件無法對未知惡意軟件特征進行識別的短板。

　　此外，瑞數“數據安全檢測與應急響應系統(tǒng)”（DDR)可對攻擊過程中損毀的文件進行檢測，幫助企業(yè)快速恢復IT系統(tǒng)。瑞數信息通過獨有的文件與數據庫動態(tài)變化追蹤技術，可以在備份過程中發(fā)現損毀或異常的文件或數據，檢測準確性達到98%以上。

第三道防線——事后快速響應恢復

　　瑞數信息創(chuàng)新智能檢測沙箱與溯源引擎能夠有效定位攻擊事件根源，協(xié)助安全管理人員快速移除勒索軟件并對系統(tǒng)進行加固，自動生成可直接掛載的干凈磁盤鏡像，達到分鐘級的數據恢復，將業(yè)務中斷的時間降到最低。

　　通過以上三道防線，瑞數“數據安全檢測與應急響應系統(tǒng)”（DDR)有效解決了傳統(tǒng)終端安全軟件被繞過、備份系統(tǒng)恢復過程冗長、備份數據不可用等嚴峻的安全問題，為企業(yè)用戶帶來四大價值：

　　首先，通過數據資產排查，幫助企業(yè)用戶擺脫無法掌握數據資產分布以及數據安全威脅不可見的窘境。

　　其次，建立數據安全預先防護能力，通過動態(tài)隔離和安全存儲保障備份數據的安全，有效防備勒索軟件和黑客的破壞，基于增量備份技術進行變動追溯，大幅度提升智能檢測的速度，從而避免被黑客威脅后，才發(fā)現大量數據被竊取；避免大量數據被加密后，才發(fā)現已經長時間被勒索軟件攻擊；避免備份數據被破壞、遇到緊急狀況時，才發(fā)現無法恢復數據。

　　再次，防止數據恢復進程過于漫長，縮短業(yè)務中斷時間。

　　最后，數據驗證沙箱，分鐘級搭建模擬真實生產數據的隔離測試環(huán)境，解決企業(yè)測試數據更新不及時且搭建時間冗長，以至于難以在測試環(huán)境快速重現和定位生產環(huán)境發(fā)現的問題。

結語

　　在產業(yè)分工更加精細、技術手段愈加成熟的勒索軟件攻擊趨勢下，如何跳脫贖金“綁架”、防止數據泄露，已成為各行業(yè)的必答題。面對日益猖獗、信用度不高的勒索軟件團伙，依賴贖金支付的數據修復策略已經失效，防患于未然的主動安全防御體系顯然更為重要。瑞數“數據安全檢測與應急響應系統(tǒng)”（DDR)作為主動防御理念下的代表產品，能夠最大限度規(guī)避勒索軟件攻擊風險、降低攻擊成本，保護企業(yè)應用數據安全，為企業(yè)數字化建設提供基礎安全支撐。