面對勒索攻擊，企業(yè)應該具備什么樣的“反制”思維？

隨著企業(yè)不斷向數字化和轉型轉型，近年來勒索攻擊和數據采集等黑灰產活動不斷專業(yè)化、團隊化，并開始借助轉型手段加速發(fā)展。

勒索攻擊不再是一個傳統意義上的病毒，而是趨向于定制化。各種新型、智能化破壞力的攻擊方式層出不窮，例如供應鏈攻擊、定時勒索模式和AI驅動的攻擊等，攻擊者對漏洞的利用日益深入，攻擊路徑也越來越復雜多變。

顯然，它已然成為了網絡安全領域一大核心，不容忽視的問題。站在這樣數字化浪潮洶涌而來的節(jié)點，企業(yè)此前傳統的防勒索的思維已然落后，企業(yè)究竟應該怎么辦?

“勒索病毒，不僅僅是要‘防’，更要引入‘反’的機制。”深耕網絡安全領域多年的瑞數信息，得出了這樣一個結論，面對新的勒索病毒危機，企業(yè)需要在思維觀念上作出改變，建立一套完整的“防反結合”體系。

對于企業(yè)而言，在日常運營過程中，該建立什么樣的安全意識?在制度和技術上的呈現又是什么樣的?又該如何抵御勒索攻擊?

一、勒索攻擊“與時俱進”，企業(yè)亟需構建完整的“制度+技術”管理體系

先來看一組數據。

據國外知名咨詢機構Verizon《2024年數據泄露調查報告》的數據顯示，經濟利益驅動下，高ROI的攻擊手段備受青睞，攻擊者愈發(fā)傾向使用能高投資回報率的攻擊技術手段。其中最為嚴重的就是勒索攻擊，占據高ROI攻擊事件的近三分之二(59%至66%之間波動)。

另外，Sophos的 “2024 年勒索軟件狀況”調查報告顯示，2024 年勒索軟件攻擊要求的平均贖金已飆升至約 273 萬美元，比上一年增加了近 100 萬美元。

此外，值得注意的是，勒索攻擊并不是一層不變的。一方面，隨著黑客組織不斷更新和改進攻擊策略和技術，衍生出 RaaS 勒索軟件即服務，自動化、智能化、多重勒索等復合勒索攻擊形態(tài)。另外一方面，企業(yè)內部的危機不亞于外部的危機，內部人員的安全意識以及不確定性帶來的“威脅”，是除了技術外，亟需關注的另一視角。這些都使得勒索攻擊的門檻不斷降低，攻擊頻率持續(xù)上升。

從企業(yè)的角度來看勒索攻擊，新變化具體呈現了如下特征：

1、 內部攻擊的威脅并不亞于外部攻擊。

對于企業(yè)而言，尤其是大型企業(yè)，除了防范來自外部的勒索攻擊之外，更重要的是需要警惕內部攻擊。

實際上，目前大部分企業(yè)內部圍繞著核心數據的防護，這實際上是有缺失的。在安全觀念里，有一個說法是“三分靠技術，七分靠管理�！�

這里的“七分靠管理”更多的是指防止內部的惡意行為。在當前的攻擊模式中，我們發(fā)現，攻擊并非都是從外部攻擊進入，尤其是對于大型企業(yè)來說，現在更需要防范的是內部人員被策反的攻擊。

攻擊者的手段越來越社會工程化，他們利用各種手段，目的都是為了突破大型企業(yè)的防線。

2、勒索攻擊深入核心區(qū)域

以往的勒索攻擊模式往往是在企業(yè)網絡空間的邊緣進行，例如針對單點的攻擊或者API接口的攻擊。這種攻擊方式相對容易防御，因為它們通常只影響網絡的局部區(qū)域。

然而，現在的攻擊者已經變得更加狡猾和精準，他們的攻擊范圍已經從邊緣擴展到了企業(yè)的核心數據。而核心數據，往往也是企業(yè)的核心資產所在。

勒索病毒攻擊核心數據后，可能導致數據無法訪問或被加密，到后期恢復階段，還需要確保備份數據的干凈、考慮恢復時間等，而這可能無異于會拉長時間成本、拉高經濟成本。

這種攻擊能力的提升，使得企業(yè)不得不重新考慮其安全防護策略，從僅僅保護網絡邊界轉變?yōu)楸Ｗo整個網絡空間，特別是核心數據的安全。

因此，對于企業(yè)而言，安全防護是需要有從邊界到內部核心的全面防護。

企業(yè)需要加強對內部網絡的監(jiān)控和保護，確保核心數據的安全，防止攻擊者通過內部網絡滲透到企業(yè)的核心區(qū)域。同時，企業(yè)應秉承底線思維，必須確保在核心數據被攻擊后的應急預案，這就需要企業(yè)在技術、人員和管理等多個層面進行綜合考慮，構建起一個全面、立體的勒索事件管理體系。

二、面對勒索攻擊，不止要防，還要反

全面、立體的勒索事件管理體系，企業(yè)應該如何構建呢?

目前，面對勒索攻擊時，不少企業(yè)依舊停留在傳統的“防勒索”概念上，這就容易陷入誤區(qū)：

1、責任劃分不清楚

傳統的網絡安全定義主要集中在網絡層面的安全，而勒索攻擊實際上是一種數據安全問題。勒索應對機制也不僅僅是技術問題，更是管理問題。在傳統的網絡安全組織架構中，勒索事件的應對往往納入其職責范圍內。這導致了一個問題，即許多企業(yè)沒有專門針對勒索事件建立跨部門、跨組織的有效應對機制。勒索應急預案應該歸類于哪個部門，需要重新界定和梳理。

2、安全意識不到位

很多企業(yè)在安全意識的提升上做了很多工作，包括日常的培訓和演練，但針對勒索攻擊的防護仍然不足。企業(yè)往往將勒索攻擊想象成純粹的外部攻擊，而忽視了內部威脅的可能性。這種觀念上的誤區(qū)導致企業(yè)在數據層面的防護體系建設不足。

另一面，企業(yè)過于自信地認為已經實施的安全措施足以防范所有威脅，包括勒索攻擊。然而，他們往往忽視了當這些安全措施失效時應該如何應對。

這指向的其實是企業(yè)缺乏底線思維，導致企業(yè)在面對勒索攻擊時沒有備份計劃或其他應急機制。

3、低估勒索攻擊的風險

有些企業(yè)可能此前沒有經歷過勒索攻擊，就誤以為自己沒有被勒索的風險。然而，這種低估威脅風險的心態(tài)，使得企業(yè)在內部威脅管理上存在盲點。

另外，許多企業(yè)認為勒索軟件只通過單點進入，但實際上攻擊路徑已經變得更加多樣化。勒索攻擊可能通過外部服務器直接進入，或者利用企業(yè)內網與外網之間的數據交換進行攻擊，或者采用社會化工程利用內部員工和外包人員實現攻擊。這種攻擊路徑的多樣化是許多企業(yè)在防御勒索攻擊時未能充分考慮的誤區(qū)。

企業(yè)在面對勒索攻擊時的這些思維誤區(qū)具象化的表現，就是依然在強調“防勒索”，而并非“反勒索”，即依然是防護而并非反制勒索攻擊。那么該如何理解“反勒索”呢?

第一步，其實是思維觀念的轉變。企業(yè)有防護思維還不夠，還應該有反制思維。而這種思維背后，涉及安全、系統、法律、合規(guī)等多個部門的合作，且需要多種技術的支撐，因此，瑞數信息建議企業(yè)首先需要專門針對勒索事件建立一套完整的流程和體系，例如，基于企業(yè)原有的BCP(業(yè)務連續(xù)性計劃)或BCM(業(yè)務連續(xù)性管理)體系或者安全事件響應預案，將勒索事件的管理納入體系框架中，并梳理出相對應的流程，從而構建全面、立體的勒索事件管理體系。

第二步，企業(yè)需要具備底線思維，這意味著除了基礎的防護能力外，還需要構建反制能力。這種反制能力包括系統的備份、恢復能力的建設，以及在數據被攻擊后能夠及早發(fā)現并定位受影響的數據。這些能力構成了企業(yè)面對勒索攻擊時的最后防線，確保業(yè)務系統的連續(xù)性和數據的可恢復性。

當然，企業(yè)構建一個全面、安全的方案之前，并非完全拋棄“防”，而是“防”+“反”的有機結合。防護措施是必要的，但不足以應對所有情況。企業(yè)需要構建更加立體和完善的勒索事件管理體系，在預算允許的情況下，提高防護能力的門檻，同時也要建立反制能力。這種結合防護和反制的策略可以幫助企業(yè)在遭受勒索事件時，不僅能夠減少損害，還能夠快速恢復正常運營，避免支付贖金。

值得關注的是，企業(yè)在“反勒索”思維上的缺失也導致了其在安全防御上的投入往往不平衡，更多地關注于防護而忽視了反制。這種不平衡的成本配置在真正遭遇勒索攻擊時會導致巨大的損失。

因此，企業(yè)也需要平衡防護和反制的成本，確保在遭受攻擊時能夠快速恢復，從而相對控制損失。

三、結語

當企業(yè)同時具備防勒索和反勒索思維之后，則可以開始構建一個全面、立體的解決方案。這種解決方案不僅要能夠應對當前的勒索攻擊，還要能夠預測和防范未來可能出現的威脅。

瑞數信息正是基于這樣的理念，打造了一套完整的“防+反”的解決方案——數據安全檢測與應急響應系統(DDR)。通過事前、事中和事后的數據安全閉環(huán)防護體系，可對結構化數據和非結構化數據實現細粒度勒索加密檢測，及時識別勒索事件，精準定位被加密數據，快速響應恢復，并確�；謴蛿祿�的完整性，縮小勒索事件的影響范圍，確保企業(yè)數據安全。 DDR有效解決了傳統終端安全軟件被繞過、備份系統恢復過程冗長等嚴峻的安全問題，讓勒索軟件等新興數據安全威脅無處遁形。

瑞數信息這一套解決方案，不僅是為了提升了企業(yè)數據安全的防護能力，更是為企業(yè)構建了一個智能、高效的數據安全應急響應體系。