面對勒索攻擊，企業(yè)應(yīng)該具備什么樣的“反制”思維？

隨著企業(yè)不斷向數(shù)字化和轉(zhuǎn)型轉(zhuǎn)型，近年來勒索攻擊和數(shù)據(jù)采集等黑灰產(chǎn)活動不斷專業(yè)化、團(tuán)隊(duì)化，并開始借助轉(zhuǎn)型手段加速發(fā)展。

勒索攻擊不再是一個(gè)傳統(tǒng)意義上的病毒，而是趨向于定制化。各種新型、智能化破壞力的攻擊方式層出不窮，例如供應(yīng)鏈攻擊、定時(shí)勒索模式和AI驅(qū)動的攻擊等，攻擊者對漏洞的利用日益深入，攻擊路徑也越來越復(fù)雜多變。

顯然，它已然成為了網(wǎng)絡(luò)安全領(lǐng)域一大核心，不容忽視的問題。站在這樣數(shù)字化浪潮洶涌而來的節(jié)點(diǎn)，企業(yè)此前傳統(tǒng)的防勒索的思維已然落后，企業(yè)究竟應(yīng)該怎么辦?

“勒索病毒，不僅僅是要‘防’，更要引入‘反’的機(jī)制�！鄙罡�網(wǎng)絡(luò)安全領(lǐng)域多年的瑞數(shù)信息，得出了這樣一個(gè)結(jié)論，面對新的勒索病毒危機(jī)，企業(yè)需要在思維觀念上作出改變，建立一套完整的“防反結(jié)合”體系。

對于企業(yè)而言，在日常運(yùn)營過程中，該建立什么樣的安全意識?在制度和技術(shù)上的呈現(xiàn)又是什么樣的?又該如何抵御勒索攻擊?

一、勒索攻擊“與時(shí)俱進(jìn)”，企業(yè)亟需構(gòu)建完整的“制度+技術(shù)”管理體系

先來看一組數(shù)據(jù)。

據(jù)國外知名咨詢機(jī)構(gòu)Verizon《2024年數(shù)據(jù)泄露調(diào)查報(bào)告》的數(shù)據(jù)顯示，經(jīng)濟(jì)利益驅(qū)動下，高ROI的攻擊手段備受青睞，攻擊者愈發(fā)傾向使用能高投資回報(bào)率的攻擊技術(shù)手段。其中最為嚴(yán)重的就是勒索攻擊，占據(jù)高ROI攻擊事件的近三分之二(59%至66%之間波動)。

另外，Sophos的 “2024 年勒索軟件狀況”調(diào)查報(bào)告顯示，2024 年勒索軟件攻擊要求的平均贖金已飆升至約 273 萬美元，比上一年增加了近 100 萬美元。

此外，值得注意的是，勒索攻擊并不是一層不變的。一方面，隨著黑客組織不斷更新和改進(jìn)攻擊策略和技術(shù)，衍生出 RaaS 勒索軟件即服務(wù)，自動化、智能化、多重勒索等復(fù)合勒索攻擊形態(tài)。另外一方面，企業(yè)內(nèi)部的危機(jī)不亞于外部的危機(jī)，內(nèi)部人員的安全意識以及不確定性帶來的“威脅”，是除了技術(shù)外，亟需關(guān)注的另一視角。這些都使得勒索攻擊的門檻不斷降低，攻擊頻率持續(xù)上升。

從企業(yè)的角度來看勒索攻擊，新變化具體呈現(xiàn)了如下特征：

1、 內(nèi)部攻擊的威脅并不亞于外部攻擊。

對于企業(yè)而言，尤其是大型企業(yè)，除了防范來自外部的勒索攻擊之外，更重要的是需要警惕內(nèi)部攻擊。

實(shí)際上，目前大部分企業(yè)內(nèi)部圍繞著核心數(shù)據(jù)的防護(hù)，這實(shí)際上是有缺失的。在安全觀念里，有一個(gè)說法是“三分靠技術(shù)，七分靠管理�！�

這里的“七分靠管理”更多的是指防止內(nèi)部的惡意行為。在當(dāng)前的攻擊模式中，我們發(fā)現(xiàn)，攻擊并非都是從外部攻擊進(jìn)入，尤其是對于大型企業(yè)來說，現(xiàn)在更需要防范的是內(nèi)部人員被策反的攻擊。

攻擊者的手段越來越社會工程化，他們利用各種手段，目的都是為了突破大型企業(yè)的防線。

2、勒索攻擊深入核心區(qū)域

以往的勒索攻擊模式往往是在企業(yè)網(wǎng)絡(luò)空間的邊緣進(jìn)行，例如針對單點(diǎn)的攻擊或者API接口的攻擊。這種攻擊方式相對容易防御，因?yàn)樗鼈兺ǔＶ挥绊懢W(wǎng)絡(luò)的局部區(qū)域。

然而，現(xiàn)在的攻擊者已經(jīng)變得更加狡猾和精準(zhǔn)，他們的攻擊范圍已經(jīng)從邊緣擴(kuò)展到了企業(yè)的核心數(shù)據(jù)。而核心數(shù)據(jù)，往往也是企業(yè)的核心資產(chǎn)所在。

勒索病毒攻擊核心數(shù)據(jù)后，可能導(dǎo)致數(shù)據(jù)無法訪問或被加密，到后期恢復(fù)階段，還需要確保備份數(shù)據(jù)的干凈、考慮恢復(fù)時(shí)間等，而這可能無異于會拉長時(shí)間成本、拉高經(jīng)濟(jì)成本。

這種攻擊能力的提升，使得企業(yè)不得不重新考慮其安全防護(hù)策略，從僅僅保護(hù)網(wǎng)絡(luò)邊界轉(zhuǎn)變?yōu)楸Ｗo(hù)整個(gè)網(wǎng)絡(luò)空間，特別是核心數(shù)據(jù)的安全。

因此，對于企業(yè)而言，安全防護(hù)是需要有從邊界到內(nèi)部核心的全面防護(hù)。

企業(yè)需要加強(qiáng)對內(nèi)部網(wǎng)絡(luò)的監(jiān)控和保護(hù)，確保核心數(shù)據(jù)的安全，防止攻擊者通過內(nèi)部網(wǎng)絡(luò)滲透到企業(yè)的核心區(qū)域。同時(shí)，企業(yè)應(yīng)秉承底線思維，必須確保在核心數(shù)據(jù)被攻擊后的應(yīng)急預(yù)案，這就需要企業(yè)在技術(shù)、人員和管理等多個(gè)層面進(jìn)行綜合考慮，構(gòu)建起一個(gè)全面、立體的勒索事件管理體系。

二、面對勒索攻擊，不止要防，還要反

全面、立體的勒索事件管理體系，企業(yè)應(yīng)該如何構(gòu)建呢?

目前，面對勒索攻擊時(shí)，不少企業(yè)依舊停留在傳統(tǒng)的“防勒索”概念上，這就容易陷入誤區(qū)：

1、責(zé)任劃分不清楚

傳統(tǒng)的網(wǎng)絡(luò)安全定義主要集中在網(wǎng)絡(luò)層面的安全，而勒索攻擊實(shí)際上是一種數(shù)據(jù)安全問題。勒索應(yīng)對機(jī)制也不僅僅是技術(shù)問題，更是管理問題。在傳統(tǒng)的網(wǎng)絡(luò)安全組織架構(gòu)中，勒索事件的應(yīng)對往往納入其職責(zé)范圍內(nèi)。這導(dǎo)致了一個(gè)問題，即許多企業(yè)沒有專門針對勒索事件建立跨部門、跨組織的有效應(yīng)對機(jī)制。勒索應(yīng)急預(yù)案應(yīng)該歸類于哪個(gè)部門，需要重新界定和梳理。

2、安全意識不到位

很多企業(yè)在安全意識的提升上做了很多工作，包括日常的培訓(xùn)和演練，但針對勒索攻擊的防護(hù)仍然不足。企業(yè)往往將勒索攻擊想象成純粹的外部攻擊，而忽視了內(nèi)部威脅的可能性。這種觀念上的誤區(qū)導(dǎo)致企業(yè)在數(shù)據(jù)層面的防護(hù)體系建設(shè)不足。

另一面，企業(yè)過于自信地認(rèn)為已經(jīng)實(shí)施的安全措施足以防范所有威脅，包括勒索攻擊。然而，他們往往忽視了當(dāng)這些安全措施失效時(shí)應(yīng)該如何應(yīng)對。

這指向的其實(shí)是企業(yè)缺乏底線思維，導(dǎo)致企業(yè)在面對勒索攻擊時(shí)沒有備份計(jì)劃或其他應(yīng)急機(jī)制。

3、低估勒索攻擊的風(fēng)險(xiǎn)

有些企業(yè)可能此前沒有經(jīng)歷過勒索攻擊，就誤以為自己沒有被勒索的風(fēng)險(xiǎn)。然而，這種低估威脅風(fēng)險(xiǎn)的心態(tài)，使得企業(yè)在內(nèi)部威脅管理上存在盲點(diǎn)。

另外，許多企業(yè)認(rèn)為勒索軟件只通過單點(diǎn)進(jìn)入，但實(shí)際上攻擊路徑已經(jīng)變得更加多樣化。勒索攻擊可能通過外部服務(wù)器直接進(jìn)入，或者利用企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間的數(shù)據(jù)交換進(jìn)行攻擊，或者采用社會化工程利用內(nèi)部員工和外包人員實(shí)現(xiàn)攻擊。這種攻擊路徑的多樣化是許多企業(yè)在防御勒索攻擊時(shí)未能充分考慮的誤區(qū)。

企業(yè)在面對勒索攻擊時(shí)的這些思維誤區(qū)具象化的表現(xiàn)，就是依然在強(qiáng)調(diào)“防勒索”，而并非“反勒索”，即依然是防護(hù)而并非反制勒索攻擊。那么該如何理解“反勒索”呢?

第一步，其實(shí)是思維觀念的轉(zhuǎn)變。企業(yè)有防護(hù)思維還不夠，還應(yīng)該有反制思維。而這種思維背后，涉及安全、系統(tǒng)、法律、合規(guī)等多個(gè)部門的合作，且需要多種技術(shù)的支撐，因此，瑞數(shù)信息建議企業(yè)首先需要專門針對勒索事件建立一套完整的流程和體系，例如，基于企業(yè)原有的BCP(業(yè)務(wù)連續(xù)性計(jì)劃)或BCM(業(yè)務(wù)連續(xù)性管理)體系或者安全事件響應(yīng)預(yù)案，將勒索事件的管理納入體系框架中，并梳理出相對應(yīng)的流程，從而構(gòu)建全面、立體的勒索事件管理體系。

第二步，企業(yè)需要具備底線思維，這意味著除了基礎(chǔ)的防護(hù)能力外，還需要構(gòu)建反制能力。這種反制能力包括系統(tǒng)的備份、恢復(fù)能力的建設(shè)，以及在數(shù)據(jù)被攻擊后能夠及早發(fā)現(xiàn)并定位受影響的數(shù)據(jù)。這些能力構(gòu)成了企業(yè)面對勒索攻擊時(shí)的最后防線，確保業(yè)務(wù)系統(tǒng)的連續(xù)性和數(shù)據(jù)的可恢復(fù)性。

當(dāng)然，企業(yè)構(gòu)建一個(gè)全面、安全的方案之前，并非完全拋棄“防”，而是“防”+“反”的有機(jī)結(jié)合。防護(hù)措施是必要的，但不足以應(yīng)對所有情況。企業(yè)需要構(gòu)建更加立體和完善的勒索事件管理體系，在預(yù)算允許的情況下，提高防護(hù)能力的門檻，同時(shí)也要建立反制能力。這種結(jié)合防護(hù)和反制的策略可以幫助企業(yè)在遭受勒索事件時(shí)，不僅能夠減少損害，還能夠快速恢復(fù)正常運(yùn)營，避免支付贖金。

值得關(guān)注的是，企業(yè)在“反勒索”思維上的缺失也導(dǎo)致了其在安全防御上的投入往往不平衡，更多地關(guān)注于防護(hù)而忽視了反制。這種不平衡的成本配置在真正遭遇勒索攻擊時(shí)會導(dǎo)致巨大的損失。

因此，企業(yè)也需要平衡防護(hù)和反制的成本，確保在遭受攻擊時(shí)能夠快速恢復(fù)，從而相對控制損失。

三、結(jié)語

當(dāng)企業(yè)同時(shí)具備防勒索和反勒索思維之后，則可以開始構(gòu)建一個(gè)全面、立體的解決方案。這種解決方案不僅要能夠應(yīng)對當(dāng)前的勒索攻擊，還要能夠預(yù)測和防范未來可能出現(xiàn)的威脅。

瑞數(shù)信息正是基于這樣的理念，打造了一套完整的“防+反”的解決方案——數(shù)據(jù)安全檢測與應(yīng)急響應(yīng)系統(tǒng)(DDR)。通過事前、事中和事后的數(shù)據(jù)安全閉環(huán)防護(hù)體系，可對結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)實(shí)現(xiàn)細(xì)粒度勒索加密檢測，及時(shí)識別勒索事件，精準(zhǔn)定位被加密數(shù)據(jù)，快速響應(yīng)恢復(fù)，并確�；謴�(fù)數(shù)據(jù)的完整性，縮小勒索事件的影響范圍，確保企業(yè)數(shù)據(jù)安全。 DDR有效解決了傳統(tǒng)終端安全軟件被繞過、備份系統(tǒng)恢復(fù)過程冗長等嚴(yán)峻的安全問題，讓勒索軟件等新興數(shù)據(jù)安全威脅無處遁形。

瑞數(shù)信息這一套解決方案，不僅是為了提升了企業(yè)數(shù)據(jù)安全的防護(hù)能力，更是為企業(yè)構(gòu)建了一個(gè)智能、高效的數(shù)據(jù)安全應(yīng)急響應(yīng)體系。