勒索软件威胁当下，企业是否已做好准备？

文/ Veritas公司大中华区总裁 滕文

近年来，恶意网络攻击袭击了众多企业和组织，其危害之深、造成的经济之大，难以度量。《2022 年SonicWall网络威胁报告》显示，每秒钟就有 19 次网络攻击在发生，一年内全球攻击次数达 6.233 亿次。业界一直高度关注勒索软件相关话题，而就目前形式来说勒索软件威胁依然有增无减，并无消失殆尽之势。

勒索攻击直接导致的业务停滞不但影响金融机构和企业，还危及到医疗机构和电力公司，甚至威胁公众的生命安全和国家安全。根据Veritas企业IT安全脆弱性报告，85%的中国公司在一年中经历过停工，平均每家公司受到了1.33次勒索软件的攻击。

在这样的势头下，攻击者正无休无止地想尽各种办法开发新方式渗透企业网络和 IT 环境，攫取数据并以此为要挟。攻击者现在已在网络钓鱼的基础上进一步升级复杂的新攻击方法，可能包括社会工程学攻击，以及利用混合办公模式中的漏洞(比如在工作时使用多种网络设备和家庭物联网)。此外，犯罪开发者还紧跟软件即服务的趋势，在暗网上提供勒索软件即服务(RaaS)。加密货币的支付形式足以说明，RaaS是一种“成功的商业模式”，勒索攻击的门槛也随着它的日渐成熟越来越低，就算不懂技术，也可以加入到勒索攻击行业中， 并且攻击成功的概率越来越高。

在中国，针对大型企业的网络攻击事件层出不穷，勒索金额高达千万人民币不等，并且造成数据泄露，甚至有包括用户名、密码、电话号码、身份证等数据在暗网流通。

法规不断完善

在此背景下，我国出台和施行了《网络安全法》《数据安全法》《个人信息保护法》等安全法规，对网络安全违规事件的处罚力度也不断提升，最高处罚为5000万元(加5%的企业营收)。此前，一些企业因数据安全问题交出了高昂的罚款。今年以来，数家银行因敏感数据信息存在泄露风险、瞒报信息系统突发事件等违法违规行为被罚款。

全球不同的国家和地区针对隐私的立法各不相同，但皆在重审隐私法规并加快完善步伐。我国2021年底正式实施的《个人信息保护法》专门针对个人信息保护的统领性法律，其与《网络安全法》、《数据安全法》等法律一起构成规范性、系统性、完整性的保护体系，致力于共同为公民个人信息权益保护提供切实有力的法律保障。Gartner预测，到 2024 年底，全球 75% 人口的个人信息与数据将受到最新隐私法规的保护。

数据保护仍任重而道远

我们观察到，许多企业在数据安全问题上持“既要又要”自相矛盾的态度:既想要享受个性化的在线和数字化服务，又要求自己的数据是安全私密的。与此同时，尽管数据安全问题可能会造成巨额经济损失与罚款，会对客户信任和品牌声誉造成不可逆的损害，但仍有企业没有认真对待与重视数据风险和合规问题。

Veritas的《2022 守护企业多云环境》研究报告发现，只有11%的中国受访者表示他们的企业会持续备份数据，46%的企业表示他们备份数据的频率小于每 12小时一次。这个比例令人担忧，这意味着，一旦遭遇勒索攻击或服务器故障，企业将会面临数据永久丢失的风险。此外，许多IT专家对公司已经引入的云计算解决方案缺乏明确的认识。只有58%的人能够准确说出公司现在使用的云服务的数量，并且也不清楚可能需要保护的数据。

给企业的建议

尽管勒索软件的技术和方法在不断更新演变，但勒索攻击也并非不可战胜。建议企业采取行之有效的措施来降低成为攻击目标并导致业务运营停滞的风险。需要明确的是，一个企业的网络防御能力取决于它的短板，因此IT团队需要加强最薄弱的环节，不能仅仅通过端点安全来避免勒索软件攻击，而是应当部署一个多层次的应对战略。

面对破坏力巨大且代价高昂的勒索攻击，各种规模的企业都要对此有所防备。Veritas建议企业部署多层防护体系来抵御勒索攻击，重点聚焦于围绕保护、检测和恢复三方面构建多层防御体系，确保客户的网络韧性。这种长期框架战略不仅是与可信赖的合作伙伴建立长期关系的必不可少的一部分，也是降低风险和抵御威胁的明智之举。

勒索软件威胁当下，企业虽不必谈虎色变，但也需要严阵以待，通过不断提高、完善数据管理和保护水平增强抵御风险的韧性。企业需要意识到，数据已不仅仅是成功的点金石，还是损失的任意门。只有有所防备，才能无所畏惧。