國家互聯網應急中心(CNCERT)發布的《2020年我國互聯網網絡安全態勢綜述》顯示，2020年勒索軟件持續活躍，全年捕獲勒索軟件78.1萬余個，較2019年同比增長6.8%。

[[417434]]

勒索軟件攻擊猖獗多數人傾向不支付贖金

來自CybersecurityVentures的相關調查數據顯示，2021年勒索軟件造成的損失預計將超過200億美元，而到2031年將上升至2650億美元。

此前美國燃油管道公司Colonial Pipeline遭受勒索攻擊事件受到全世界關注，該事件的意義不僅僅在于勒索軟件的猖獗，更揭示出勒索軟件帶來的危害遠遠超出了普通的網絡安全事件。

有消息稱，最終Colonial Pipeline公司向黑客支付了440萬美元的贖金。該行為帶來的負面影響也是顯而易見的，至少它向其他攻擊者表明了——勒索軟件是有效的。

這一點非常糟糕。

企業在面對勒索軟件攻擊時是否應支付贖金，這取決于各個用戶的具體情況。但許多網絡安全專家都呼吁不要支付贖金。

微軟檢測和響應小組(DART)的高級網絡安全顧問奧拉·彼得斯表示，微軟方面不鼓勵受害者滿足各種形式的勒索要求。

美國聯邦調查局也呼吁不要支付贖金，以免助長攻擊行為。埃森哲在一份報告中也保持了類似的態度。

Menlo Security在針對勒索軟件的一項調查中發現，在遭受勒索軟件攻擊時，79%的受訪者認為不應支付贖金。

Sophos的調查顯示，只有8%的組織在支付贖金后設法取回了所有數據，29%的組織取回了不超過一半的數據。

2.勒索軟件也有了“新業態”防范仍是最佳之選

Menlo Security公司網絡安全戰略高級總監 Mark Guntrip 表示，“勒索軟件在短時間內不會消失，隨著勒索軟件即服務的興起，勒索軟件攻擊的門檻也在降低，網絡犯罪分子越來越容易發起有利可圖的攻擊。” 勒索軟件即服務(RaaS)作為一種商業模式，通過“合作伙伴”的形式對受害者進行勒索攻擊，得手后與勒索軟件的開發者共同分享贓款。這使得勒索軟件的危害大大加深。

勒索形式在不斷進化，“雙重勒索”也開始興起：攻擊者會首先竊取大量的敏感商業信息，然后對受害者的數據進行加密，并威脅受害者如果不支付贖金就會公開這些數據。

面對勒索軟件攻擊，防范是最佳選項。及時備份數據始終是絕對必要的，特別是企業的關鍵資產，這甚至關乎到企業的生死存亡。

針對勒索軟件的防范，國家互聯網應急中心(CNCERT)在發布的《勒索軟件防范指南》中提出“九要、四不要”： 要做好資產梳理與分級分類管理，要備份重要數據和系統，要設置復雜密碼并保密，要定期安全風險評估，要常殺毒、關端口，要做好身份驗證和權限管理，要嚴格訪問控制策略，要提高人員安全意識，要制定應急響應預案;

不要點擊來源不明郵件，不要打開來源不可靠網站，不要安裝來源不明軟件，不要插拔來歷不明的存儲介質。

3.勒索軟件的“天敵”零信任

有數據表明，勒索軟件從感染到竊取或加密企業數據以勒索贖金的時間平均不到兩個小時。因此，及時檢測并發現勒索軟件攻擊是至關重要的，在發現后以最快速度阻止勒索軟件的傳播，可以有效減小數據損失程度。

從勒索軟件攻擊方式上來看，Claudian一項相關調查數據顯示，網絡釣魚仍然是勒索軟件最直接的攻擊途徑之一，24%的勒索軟件攻擊都是從這種方式開始的。此外，公有云也是勒索軟件最常見的切入點。

但不要過于依賴響應式的安全技術，很多企業都部署了針對網絡釣魚或云安全方面的安全工具，但在防止勒索病毒上無濟于事。安全專家建議，企業應采用一種積極的安全方式來限制訪問，例如零信任安全。

零信任模型是阻止勒索軟件的一種有價值的防御機制。分布式零信任安全架構的優勢顯而易見：

• 不依賴絕對信任區域、靜態帳戶和防火墻規則;
• 每個身份(用戶、設備、應用、數據)可以形成自己的邊界防御;
• 根據身份、角色和策略控制訪問權限;
• 所有交互都啟用了“最少時間”和最小訪問權限;
• 使用TLS會話代理，避免不安全協議及其漏洞;
• 不同于虛擬專用網絡，遠程用戶設備上的惡意威脅在零信任安全架構下無法滲透進入目標網絡;
• 控制用戶對設備、設備對設備、應用對設備和應用對數據的交互，并保護OT、IT和云中的文件和數據傳輸;
• 南北和東西向訪問管理;
• 由中央策略管理驅動并使用分布式節點(任何資產、任何位置)強制執行;
• 覆蓋現有的OT/IT架構，無需更改網絡或系統(與現有部署的基礎架構兼容)。

安全廠商Illumio以優秀的自適應安全平臺著稱，其產品Illumio Core 通過引入SaaS零信任分段平臺，可實現在云、容器、混合和本地環境中執行10多萬個工作負載。

Illumio Core的創新之處在于：快速部署自動化安全策略，實現智能可見性，在攻擊一開始就可立即啟動大規模零信任分段，以保護工作負載。Illumio Core通過快速部署零信任策略，在幫助用戶防御勒索軟件攻擊方面獨樹一幟。 但像零信任這種主動安全的策略，當前也不是完美無缺。

啟明星辰認為，當前零信任在實際落地過程中存在著技術層面、管理層面、投入與落地周期等困境：分散的身份數據異構體難以形成統一管理，權限管理難度大，動態授權落地難，多種安全產品和體系融合難度大，傳統管理制度不匹配，落地周期長，成本消耗高等。 完整的零信任是一個理想的愿景。作為眾多安全威脅的其中之一，勒索軟件防范難度大，通過零信任來徹底解決此類威脅依然需要漫長的過程。

因此，用戶在落地零信任安全時，也要切忌一步登天，而應當步步推進、逐步完善。