如今，勒索軟件已成為增長(zhǎng)最快的網(wǎng)絡(luò)犯罪，是人類已知的最具傳染性的“數(shù)據(jù)疾病”。

　　同時(shí)事實(shí)證明，經(jīng)歷了幾年的攻防演進(jìn)，勒索軟件攻擊不僅沒有減少，反而變本加厲，攻擊事件層出不窮?？梢灶A(yù)見，2022年勒索軟件攻擊事件還將顯著增長(zhǎng)，攻擊者的數(shù)量也將達(dá)到空前的程度。

2022年勒索軟件更加猖獗 呈現(xiàn)三大新趨勢(shì)

　　隨著勒索軟件攻擊被證明越來越有利可圖，今天的勒索軟件攻擊比以往更加危險(xiǎn)和猖獗。瑞數(shù)信息認(rèn)為，2022年勒索軟件將呈現(xiàn)三大新趨勢(shì)，需要密切關(guān)注。

趨勢(shì)一：勒索軟件數(shù)量繼續(xù)上升，勒索軟件成為最大的安全威脅

　　高利潤(rùn)的回報(bào)，刺激著更多的犯罪分子加入勒索行業(yè)。在眾多勒索軟件攻擊事件中，大部分的勒索團(tuán)伙采用了雙重勒索策略，即攻擊者會(huì)首先竊取大量的敏感商業(yè)信息，然后對(duì)受害者的數(shù)據(jù)進(jìn)行加密，并威脅受害者如果不支付贖金就會(huì)公開這些數(shù)據(jù)，以數(shù)據(jù)泄露引發(fā)的商譽(yù)損害與法律追責(zé)等手段威脅受害者支付巨額贖金，這給企業(yè)帶來了巨大的壓力。

　　同時(shí)，RaaS（勒索軟件即服務(wù)）商業(yè)模式的興起,使得從業(yè)者無需任何專業(yè)技術(shù)知識(shí)就可以毫不費(fèi)力地發(fā)起網(wǎng)絡(luò)敲詐活動(dòng)，這也導(dǎo)致勒索軟件呈現(xiàn)低成本、低門檻趨勢(shì)，讓勒索攻擊愈演愈烈。

　　2022年，隨著網(wǎng)絡(luò)犯罪分子專業(yè)化以及對(duì)供應(yīng)鏈利用程度的提升,勒索軟件數(shù)量還將顯著增長(zhǎng)，攻擊者的數(shù)量也將達(dá)到空前的程度。同時(shí)，勒索軟件攻擊也將迅速蔓延至整個(gè)攻擊面，勒索軟件威脅將無處不在，成為當(dāng)今大多數(shù)企業(yè)面臨的最大安全威脅。

趨勢(shì)二：勒索軟件對(duì)醫(yī)療行業(yè)的攻擊加劇

　　受企業(yè)級(jí)安全攻擊高回報(bào)率的誘惑，勒索軟件攻擊對(duì)政府、金融、教育、醫(yī)療等多個(gè)高價(jià)值行業(yè)都構(gòu)成了嚴(yán)重威脅，但醫(yī)療機(jī)構(gòu)因其豐富的醫(yī)療設(shè)備和患者信息成為了攻擊者的最佳目標(biāo)。

　　據(jù)FBI發(fā)布的安全通告顯示，在過去一年內(nèi)至少發(fā)現(xiàn)了16起針對(duì)美國(guó)醫(yī)療和應(yīng)急響應(yīng)機(jī)構(gòu)的Conti勒索軟件攻擊，該勒索軟件在全球攻擊了超過400家醫(yī)療和應(yīng)急響應(yīng)機(jī)構(gòu)。

　　在歐洲網(wǎng)絡(luò)與信息安全局（ENISA）威脅景觀報(bào)告中，2019年有超過66%的醫(yī)療組織遭遇了勒索軟件攻擊，45%的醫(yī)療組織被迫支付了贖金，但有一半的醫(yī)療組織在支付贖金后仍然丟失了他們的數(shù)據(jù)。

　　2022年，勒索軟件針對(duì)醫(yī)療行業(yè)的攻擊還將持續(xù)加劇，精確打擊、不斷革新的加密技能、規(guī)?；纳虡I(yè)運(yùn)作，將對(duì)世界范圍的醫(yī)療機(jī)構(gòu)持續(xù)產(chǎn)生嚴(yán)重危害。在這種形勢(shì)下，醫(yī)療機(jī)構(gòu)的IT團(tuán)隊(duì)將面臨空前挑戰(zhàn)。

趨勢(shì)三：勒索軟件導(dǎo)致的數(shù)據(jù)泄露規(guī)模更大、成本更高

　　數(shù)字化進(jìn)程的加速，使得數(shù)據(jù)價(jià)值日益凸顯，一次數(shù)據(jù)泄露可能會(huì)影響數(shù)億甚至數(shù)十億人。同時(shí)隨著云計(jì)算的快速普及，勒索軟件越來越多地將以云存儲(chǔ)為目標(biāo)，以最大程度地發(fā)揮影響力并增加杠桿作用以提高利潤(rùn)、擴(kuò)大企業(yè)數(shù)據(jù)泄露的規(guī)模和風(fēng)險(xiǎn)。據(jù)Cybersecurity Ventures研究表明，2021年全球勒索軟件的損失成本預(yù)計(jì)達(dá)到200億美元。

　　進(jìn)入2022年，數(shù)據(jù)泄露還將繼續(xù)增加，規(guī)模會(huì)更大，各國(guó)政府和企業(yè)將付出更多的代價(jià)來進(jìn)行恢復(fù)，不限于事件響應(yīng)成本、數(shù)據(jù)備份成本、系統(tǒng)升級(jí)成本，還包括數(shù)量泄露帶來的聲譽(yù)損失成本、法律風(fēng)險(xiǎn)成本等隱性成本，其損失甚至數(shù)倍、數(shù)十倍于顯性損失。

傳統(tǒng)安全手段失效 無法應(yīng)對(duì)新型勒索軟件攻擊

　　瘋狂的增長(zhǎng)速度，和驚人的破壞力，使得勒索軟件攻擊已成為籠罩在全球企業(yè)心頭的一團(tuán)“烏云”。盡管很多大型企業(yè)都有著嚴(yán)密的安全防控系統(tǒng)和數(shù)據(jù)災(zāi)備系統(tǒng)，但仍沒能防住勒索軟件的攻擊，最終導(dǎo)致數(shù)據(jù)泄露。這是因?yàn)槊鎸?duì)不斷升級(jí)的新型攻擊技術(shù)和勒索方式，傳統(tǒng)安全手段已無法有效抵御勒索軟件攻擊。

　　從傳統(tǒng)防病毒軟件看，由于其安全策略是基于特征和規(guī)則，應(yīng)對(duì)勒索病毒主要采取“截獲樣本——分析處理——升級(jí)更新”的方式，這種模式會(huì)給勒索病毒的傳播和破壞帶來一個(gè)“空窗期”。一方面，特征匹配無法防御未知或多態(tài)病毒，而靠漏洞修補(bǔ)無法防御0day漏洞，此外，病毒還可以通過低可見度慢速攻擊策略，繞過安全系統(tǒng)的行為分析，進(jìn)行深度潛伏的攻擊行為；另一方面，白名單的規(guī)則設(shè)置也過于復(fù)雜，難以保證業(yè)務(wù)與安全之間的平衡。

　　從傳統(tǒng)備份和容災(zāi)系統(tǒng)看，盡管可以很好地實(shí)現(xiàn)數(shù)據(jù)備份和容災(zāi)，但卻無法判斷在遭遇勒索軟件攻擊時(shí)，災(zāi)備數(shù)據(jù)的可用性和安全性，例如：備份數(shù)據(jù)是否被感染了？哪些數(shù)據(jù)需要恢復(fù)？備份恢復(fù)的時(shí)間點(diǎn)是什么？多少時(shí)間可以恢復(fù)？是否會(huì)被重復(fù)攻擊？數(shù)據(jù)是否實(shí)時(shí)可用？數(shù)據(jù)保存是否完整？能否僅恢復(fù)損毀的數(shù)據(jù)......

　　如果災(zāi)備系統(tǒng)已被勒索軟件攻擊，存在大量被損毀的文件，卻盲目地完成備份/容災(zāi)任務(wù)、恢復(fù)“臟數(shù)據(jù)”，反而會(huì)加重感染范圍，造成恢復(fù)后的系統(tǒng)仍無法正常使用，部分企業(yè)即使有備份，仍然被迫支付贖金的后果。另一方面，傳統(tǒng)災(zāi)備系統(tǒng)需要數(shù)天甚至數(shù)周的恢復(fù)時(shí)間，無法滿足快速恢復(fù)的應(yīng)急響應(yīng)需求，將業(yè)務(wù)中斷的損失降至最低。

　　隨著國(guó)內(nèi)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律陸續(xù)出臺(tái)，歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）正式生效，數(shù)據(jù)安全監(jiān)管日趨嚴(yán)格，安全合規(guī)要求持續(xù)提升，保護(hù)高價(jià)值的數(shù)據(jù)和業(yè)務(wù)連續(xù)性，防止數(shù)據(jù)泄露，成為各大企業(yè)安全防護(hù)的剛需。

　　面對(duì)日漸失效的傳統(tǒng)安全手段，企業(yè)該如何應(yīng)對(duì)勒索軟件攻擊高發(fā)趨勢(shì)，有效反擊黑客勒索，保護(hù)數(shù)據(jù)安全？

瑞數(shù)構(gòu)建數(shù)據(jù)安全“三道防線”讓企業(yè)輕松反勒索

　　針對(duì)這些挑戰(zhàn)，瑞數(shù)信息基于數(shù)據(jù)安全的三要素——機(jī)密性、完整性和可用性，推出以數(shù)據(jù)安全底座，具有“數(shù)據(jù)風(fēng)險(xiǎn)管理+智能威脅感知+快速應(yīng)急響應(yīng)”三大防護(hù)能力的瑞數(shù)“數(shù)據(jù)安全檢測(cè)與應(yīng)急響應(yīng)系統(tǒng)” (Data Detection and Response, DDR)，構(gòu)筑起事前、事中、事后三道防線的縱深防御體系，有效對(duì)抗勒索軟件攻擊，讓企業(yè)可以在數(shù)分鐘內(nèi)恢復(fù)系統(tǒng)的正常運(yùn)作。

第一道防線——事前數(shù)據(jù)風(fēng)險(xiǎn)管理

　　盤點(diǎn)數(shù)據(jù)資產(chǎn)與排查系統(tǒng)隱患是做好數(shù)據(jù)安全的第一步。瑞數(shù)信息創(chuàng)新的智能數(shù)據(jù)資產(chǎn)識(shí)別引擎，基于“深度文件內(nèi)容檢測(cè)”技術(shù)，能夠高效識(shí)別企業(yè)數(shù)據(jù)中心內(nèi)各類結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)，生成數(shù)據(jù)完整性、敏感數(shù)據(jù)分布及權(quán)限審計(jì)等報(bào)告，從而全面掌控企業(yè)內(nèi)數(shù)據(jù)資產(chǎn)的管控現(xiàn)狀。此外，更通過漏洞檢測(cè)與配置核查等機(jī)制，排查系統(tǒng)隱患，保護(hù)數(shù)據(jù)資產(chǎn)的安全。同時(shí)，對(duì)備份數(shù)據(jù)進(jìn)行安全隔離，防止惡意軟件或黑客進(jìn)行破壞或篡改。

第二道防線——事中智能威脅感知

　　傳統(tǒng)數(shù)據(jù)防護(hù)手段主要通過對(duì)惡意軟件特征和文件內(nèi)容進(jìn)行識(shí)別，但面對(duì)未知的惡意自動(dòng)化攻擊幾乎無能為力。瑞數(shù)信息創(chuàng)新的AI行為智能識(shí)別引擎，提供了基于“數(shù)據(jù)訪問行為模式”的智能分析與識(shí)別能力，從而不再受制于復(fù)雜繁瑣的攻擊特征與行為規(guī)則，實(shí)現(xiàn)全鏈路智能行為與內(nèi)容變化追蹤，對(duì)批量數(shù)據(jù)竊取及高度隱蔽性異常訪問等惡意行為進(jìn)行智能安全分析，高效識(shí)別各類已知與未知的攻擊，同時(shí)也彌補(bǔ)了傳統(tǒng)殺毒軟件無法對(duì)未知惡意軟件特征進(jìn)行識(shí)別的短板。

　　此外，瑞數(shù)“數(shù)據(jù)安全檢測(cè)與應(yīng)急響應(yīng)系統(tǒng)”（DDR)可對(duì)攻擊過程中損毀的文件進(jìn)行檢測(cè)，幫助企業(yè)快速恢復(fù)IT系統(tǒng)。瑞數(shù)信息通過獨(dú)有的文件與數(shù)據(jù)庫(kù)動(dòng)態(tài)變化追蹤技術(shù)，可以在備份過程中發(fā)現(xiàn)損毀或異常的文件或數(shù)據(jù)，檢測(cè)準(zhǔn)確性達(dá)到98%以上。

第三道防線——事后快速響應(yīng)恢復(fù)

　　瑞數(shù)信息創(chuàng)新智能檢測(cè)沙箱與溯源引擎能夠有效定位攻擊事件根源，協(xié)助安全管理人員快速移除勒索軟件并對(duì)系統(tǒng)進(jìn)行加固，自動(dòng)生成可直接掛載的干凈磁盤鏡像，達(dá)到分鐘級(jí)的數(shù)據(jù)恢復(fù)，將業(yè)務(wù)中斷的時(shí)間降到最低。

　　通過以上三道防線，瑞數(shù)“數(shù)據(jù)安全檢測(cè)與應(yīng)急響應(yīng)系統(tǒng)”（DDR)有效解決了傳統(tǒng)終端安全軟件被繞過、備份系統(tǒng)恢復(fù)過程冗長(zhǎng)、備份數(shù)據(jù)不可用等嚴(yán)峻的安全問題，為企業(yè)用戶帶來四大價(jià)值：

　　首先，通過數(shù)據(jù)資產(chǎn)排查，幫助企業(yè)用戶擺脫無法掌握數(shù)據(jù)資產(chǎn)分布以及數(shù)據(jù)安全威脅不可見的窘境。

　　其次，建立數(shù)據(jù)安全預(yù)先防護(hù)能力，通過動(dòng)態(tài)隔離和安全存儲(chǔ)保障備份數(shù)據(jù)的安全，有效防備勒索軟件和黑客的破壞，基于增量備份技術(shù)進(jìn)行變動(dòng)追溯，大幅度提升智能檢測(cè)的速度，從而避免被黑客威脅后，才發(fā)現(xiàn)大量數(shù)據(jù)被竊??；避免大量數(shù)據(jù)被加密后，才發(fā)現(xiàn)已經(jīng)長(zhǎng)時(shí)間被勒索軟件攻擊；避免備份數(shù)據(jù)被破壞、遇到緊急狀況時(shí)，才發(fā)現(xiàn)無法恢復(fù)數(shù)據(jù)。

　　再次，防止數(shù)據(jù)恢復(fù)進(jìn)程過于漫長(zhǎng)，縮短業(yè)務(wù)中斷時(shí)間。

　　最后，數(shù)據(jù)驗(yàn)證沙箱，分鐘級(jí)搭建模擬真實(shí)生產(chǎn)數(shù)據(jù)的隔離測(cè)試環(huán)境，解決企業(yè)測(cè)試數(shù)據(jù)更新不及時(shí)且搭建時(shí)間冗長(zhǎng)，以至于難以在測(cè)試環(huán)境快速重現(xiàn)和定位生產(chǎn)環(huán)境發(fā)現(xiàn)的問題。

結(jié)語(yǔ)

　　在產(chǎn)業(yè)分工更加精細(xì)、技術(shù)手段愈加成熟的勒索軟件攻擊趨勢(shì)下，如何跳脫贖金“綁架”、防止數(shù)據(jù)泄露，已成為各行業(yè)的必答題。面對(duì)日益猖獗、信用度不高的勒索軟件團(tuán)伙，依賴贖金支付的數(shù)據(jù)修復(fù)策略已經(jīng)失效，防患于未然的主動(dòng)安全防御體系顯然更為重要。瑞數(shù)“數(shù)據(jù)安全檢測(cè)與應(yīng)急響應(yīng)系統(tǒng)”（DDR)作為主動(dòng)防御理念下的代表產(chǎn)品，能夠最大限度規(guī)避勒索軟件攻擊風(fēng)險(xiǎn)、降低攻擊成本，保護(hù)企業(yè)應(yīng)用數(shù)據(jù)安全，為企業(yè)數(shù)字化建設(shè)提供基礎(chǔ)安全支撐。