全球勒索攻击创历史新高，如何建立网络安全的防线？

科技云报道原创。

最简单的方式，往往是最有效的，勒索软件攻击就属于这类。

近两年，随着人类社会加速向数字世界进化，勒索软件攻击成为网络安全最为严重的威胁之一。今年以来，勒索软件攻击在全球范围内呈现快速上升态势。

11月10日，澳大利亚第二大港口运营商环球港务集团（DP World Australia）声称，其发现“系统遭到入侵”，并于下午关闭港口，采取切断网络等行动，阻止未经授权的访问。

此举导致“支持澳大利亚港口运营的关键系统无法正常运行”，墨尔本、悉尼、布里斯班、弗里曼特尔等地多个主要城市港口货物运输停滞。

无独有偶，中国工商银行股份有限公司在美全资子公司——工银金融服务有限责任公司（ICBCFS）也于近日在官网发布声明称，其遭受勒索软件攻击，导致部分系统中断。

据美媒援引知情人士消息，涉嫌策划针对工行美国分行袭击的是一个名为LockBit的犯罪团伙。作为目前全球最猖獗的黑客组织，LockBit近期已经对波音、英国金融公司ION Trading和英国皇家邮政等多个目标进行过袭击。

安全人员最新的研究显示，LockBit勒索软件加密效率惊人，四分钟内就可加密完成10万个Windows文件，这也意味着一旦病毒程序在组织一侧被执行，留给涉事企业喘息的时间并不多。

虽然近年来勒索软件攻击在各行各业都呈上升趋势，但此前很少扰乱主要金融市场。种种迹象都指向一个事实：勒索软件攻击愈演愈烈，无论是个人、企业还是组织都随时可能沦为下一个受害者。

同时，随着企业数字化转型的推进，供应链安全风险日益严峻，勒索攻击手法持续进化，多重勒索成为常态，勒索攻击对产业安全威胁有增无减。

勒索软件攻击猖獗黑灰产商业模式日渐成熟

随着勒索软件攻击持续进化，网络恶意分子组织起来，勒索攻击产业也发展出类似于SaaS的RaaS（Ransomware-as-a-Service，勒索软件即服务）的黑灰产商业模式，双重或三重勒索攻击成为常态，导致受害者数量、被索要金额以及攻击得逞的影响都在飙升。

从模式上看,RaaS模式让勒索攻击的门槛越来越低，并且攻击成功的概率越来越高，数据能够通过分析解密还原的情况越来越少。

而且，攻击者不再单纯加密数据，更多的勒索攻击开始窃取受害者敏感数据，挂到自己的“官网”上进行双重勒索，获得更大的收益。

从勒索赎金金额上看，整体趋势呈全面上升趋势，但支付赎金的中位数明显处于下降趋势。不同的行业之间缴纳的赎金金额差异很大，说明勒索病毒的攻击范围已渗透到大部分行业中，攻击者也会根据不同行业情况来设置“合理”收益。

RaaS运营商负责开发底层勒索软件包、创建控制台、建立支付门户、管理泄漏点等，其通过地下论坛招募的加盟者则主要针对目标对软件进行配置，执行勒索攻击并负责与受害者沟通。

目前，最活跃的勒索软件组织包括此前提到的LockBit和BlackCat（ALPHV）。LockBit以加密速度快见称，BlackCat属于RaaS，其佣金分成相比其他同类服务较低。

勒索软件组织会通过多种勒索手段，扩大攻击强度，逼迫受害企业在压力下快速支付赎金，常见手法包括加密、数据窃取、分布式阻断等。

根据威瑞森发布的《2023年数据泄露调查报告》，勒索软件攻击是各种规模、不同行业的机构所面临的主要威胁。

目前，91%的行业已将勒索软件列为三大威胁之一。企业因勒索软件而遭受的损失也在增加。Cybersecurity Ventures预测，到2031年，勒索软件攻击将给受害者造成2650亿美元的损失，与2017年勒索软件受害者支付的50亿美元相比增幅惊人，每2秒就会发生一起勒索攻击事件。

NCC集团的全球威胁情报团队报告显示，2023年7月的勒索软件攻击多达502起，创下纪录，比2023年6月的434起攻击增加了16%，是2022年7月观察到的勒索软件攻击数量的2倍多。

Malwarebytes的《2023年勒索软件状况》报告发现，勒索软件的总数也创下了纪录，一年内仅在美国、法国、德国和英国就发生了1900起攻击，其中美国几乎占了一半。

而金钱损失只是勒索软件影响的一部分。除了成本外，企业组织还面临业务停机、声誉受损以及客户信任度下降等风险。

此外，勒索软件具有下游效应，影响到最初攻击甚至没有针对的人员和系统。此外，即使攻击被公开披露，企业为抢救或恢复系统而花费的实际金额也并不总是公开披露。

传统安全手段失效无法应对新型勒索软件攻击

疯狂的增长速度，和惊人的破坏力，使得勒索软件攻击已成为笼罩在全球企业心头的一团“乌云”。

尽管很多大型企业都有着严密的安全防控系统和数据灾备系统，但仍没能防住勒索软件的攻击，最终导致数据泄露。这是因为面对不断升级的新型攻击技术和勒索方式，传统安全手段已无法有效抵御勒索软件攻击。

在勒索攻击造成业务停顿、影响经营的严重后果下，依旧使用传统安全软件的企业受到攻击风险大增。

此外，设备难以识别，导致无法实施有针对性的保护，数字化转型中产生的大量数据存在安全保障问题，知识产权保护以及避免核心业务中断等等，都是企业面临的挑战和难题。

从传统防病毒软件看，由于其安全策略是基于特征和规则，应对勒索病毒主要采取“截获样本——分析处理——升级更新”的方式，这种模式会给勒索病毒的传播和破坏带来一个“空窗期”。

一方面，特征匹配无法防御未知或多态病毒，而靠漏洞修补无法防御0day漏洞，此外，病毒还可以通过低可见度慢速攻击策略，绕过安全系统的行为分析，进行深度潜伏的攻击行为；另一方面，白名单的规则设置也过于复杂，难以保证业务与安全之间的平衡。

从传统备份和容灾系统看，尽管可以很好地实现数据备份和容灾，但却无法判断在遭遇勒索软件攻击时，灾备数据的可用性和安全性，例如：备份数据是否被感染了、哪些数据需要恢复、备份恢复的时间点是什么、是否会被重复攻击、数据保存是否完整、能否仅恢复损毁的数据等等一系列问题。

如果灾备系统已被勒索软件攻击，存在大量被损毁的文件，却盲目地完成备份和容灾任务、恢复“脏数据”，反而会加重感染范围，造成恢复后的系统仍无法正常使用，部分企业即使有备份，仍然被迫支付赎金的后果。

另一方面，传统灾备系统需要数天甚至数周的恢复时间，无法满足快速恢复的应急响应需求，将业务中断的损失降至最低。

建立网络安全的防线

为了更好地应对勒索软件袭击，企业究竟应该如何制定有效的应对策略呢？

首先，企业要识别企业的重要数据并进行分类和分级，确定备份的范围和内容，并设定RTO（恢复时间目标）和RPO（恢复点）指标。关于备份覆盖范围，有两部分数据常常被忽视：终端设备和大数据系统。

在终端设备，比如笔记本、台式机上，常常存放着一些重要的记录和文档；而对大数据平台，现在很多企业已经将数据分析作为其生产运营的一部分，一旦数据丢失，信息重新生成将耗费大量时间。对其中的关键数据，应将通过备份加以保护。

其次，企业要根据不同类型、不同级别数据进行保护的要求，制定相应的备份计划，确定各种数据的备份频率和定义备份窗口，并选用可以满足需求的备份技术。

第三，对常被忽视的备份数据进行管理。如果备份出来的数据遭到破坏，或者备份数据保留期限过短，当真正需要恢复的时候，将发生没有可用备份数据的情况。

所以一定要保证备份数据的安全，包括多份拷贝、离线副本、防篡改、异地存放等等，同时要设置合理的数据保留策略，足以应对潜伏较长时间的勒索软件的攻击。

第四，在恢复方面，企业应基于业务需求，对重要系统及数据定期考虑执行在线、离线双重备份，确保网络遭受攻击时可利用离线备份数据恢复业务；同时，选择可以满足RTO指标的数据恢复手段和恢复策略，定期进行备份数据的验证和恢复演练。

并把数据恢复相应的应急预案作为企业灾难恢复计划的一部分进行制定、管理和执行。

最后，企业应搭建符合自身业务体量和安全要求的新一代安全技术架构，精准分析、精细部署并精确配置各类安全产品，通过在网络中各个节点、环节中，对异常操作、威胁性行为及安全事件进行实时监测、报警、拦截和阻断，为企业建立网络的防线，提升纵深防御的安全技术能力，最大限度地抵御来自外部的攻击。

企业还要基于其安全架构设计和成本效益分析的结果，在品类繁多、功能侧重点不同的安全产品中，有效选择并部署最贴合实际需求的安全产品组合，改善产品应用泛滥但配置粗放的现状。

勒索软件攻击无处不在，它们是加密绑匪、是数据盗贼、是狡诈骗徒，时刻算计企业的金钱和数据。近六年来，勒索软件攻击一路狂飙，“勒索病毒+供应链漏洞”的结合等新型攻击方式已然出现。

在不断的进化中，勒索软件攻击已成为无法单防的数据疾病，需要众多勒索软件防护技术合纵联合应用，共同提升企业勒索防护能力。

这也启示着各行各业的安全从业者，要不断修炼技术与能力，以找到合适的应对方案，企业与安全厂商需要携手从源头把安全纵深防御的基线筑牢、构筑内生免疫能力，并通过勒索病毒防治方案“加强针”实现对勒索攻击的免疫。

【关于科技云报道】

专注于原创的企业级内容行家——科技云报道。成立于2015年，是前沿企业级IT领域Top10媒体。获工信部权威认可，可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。

审核编辑 黄宇