一直以來，勒索軟件就是企業(yè)的心頭大患，2024年還將持續(xù)困擾各行各業(yè)。在CNCERT國家工程研究中心發(fā)布的“2024年七大網(wǎng)絡(luò)安全威脅”中，第一個就是勒索軟件。

新的一年，勒索軟件將呈現(xiàn)出哪些新的技術(shù)方向和組織形式，又演變出哪些勒索手段？面對這些新挑戰(zhàn)，企業(yè)反勒索手段該何去何從？

2024年勒索軟件呈現(xiàn)三大趨勢

• 勒索軟件攻擊保持強(qiáng)勁增長

根據(jù)Group-IB發(fā)布的《2023-2024年高科技犯罪趨勢報告》顯示，勒索軟件保持強(qiáng)勁增長，2023年數(shù)據(jù)泄露網(wǎng)站上的公司數(shù)量同比增長74%。

安全公司Sophos發(fā)布的《2023勒索軟件態(tài)勢報告》也顯示，66%的機(jī)構(gòu)在過去一年中遭受過勒索軟件攻擊。其中，76%的攻擊導(dǎo)致數(shù)據(jù)被加密，受害機(jī)構(gòu)為此而付出的平均成本為182萬美元。

事實(shí)上，大規(guī)模增加的勒索軟件攻擊正在瞄準(zhǔn)所有行業(yè)，醫(yī)療保健、政府和關(guān)鍵基礎(chǔ)設(shè)施尤其成為勒索軟件的攻擊目標(biāo)。

新的一年，攻擊者會不斷嘗試領(lǐng)先于安全廠商開發(fā)新的戰(zhàn)術(shù)、技術(shù)和程序。隨著攻防雙方對抗升級，攻擊者也會不斷改變策略，選擇更簡單、更邊緣的途徑，來獲取同樣的關(guān)鍵數(shù)據(jù)，比如利用常用應(yīng)用程序中的關(guān)鍵漏洞來發(fā)起攻擊。

• AI增強(qiáng)勒索軟件攻擊的能力和效率

隨著ChatGPT等眾多AI服務(wù)的興起，勒索軟件攻擊的難度與成本均有大幅度降低。就在2023年，我國杭州市網(wǎng)警破獲的一起勒索軟件攻擊案件中，不法分子就是通過ChatGPT完成勒索軟件優(yōu)化。

目前，犯罪團(tuán)隊(duì)已經(jīng)開始利用AI和機(jī)器學(xué)習(xí)來增強(qiáng)勒索軟件攻擊的能力和效率，包括：更令人信服的網(wǎng)絡(luò)釣魚嘗試、自動惡意軟件創(chuàng)建、逃避安全措施、個性化的社會工程攻擊等，這使得傳統(tǒng)防御機(jī)制更難檢測和預(yù)防它們。

• 勒索手法從數(shù)據(jù)加密、泄露轉(zhuǎn)向數(shù)據(jù)刪除

如今，犯罪團(tuán)伙已經(jīng)采用了層出不窮的勒索手法，如：雙重勒索、三重勒索，通過加密數(shù)據(jù)勒索贖金，或威脅泄露數(shù)據(jù)向受害者施壓。

但既然是勒索，犯罪團(tuán)伙也傾向于采用更有效的勒索方式，數(shù)據(jù)刪除勒索正是其中之一。

數(shù)據(jù)刪除比加密更快，而且代碼編寫也容易得多，不需要進(jìn)行復(fù)雜的公私鑰處理，也不需要在受害者支付贖金后提供復(fù)雜的解密代碼來挽回?fù)p失。如果數(shù)據(jù)被破壞，而企業(yè)又沒有備份，那就只能要么付錢，要么丟失數(shù)據(jù)。

什么樣的數(shù)據(jù)備份才能有效反勒索？

事實(shí)上，戰(zhàn)勝勒索軟件，取決于各大企業(yè)自身的網(wǎng)絡(luò)防御能力。但即便是安全防御能力最強(qiáng)的企業(yè)，也難以保證能夠100%抵抗勒索軟件團(tuán)伙的滲透。

因此，在反勒索軟件的策略中，數(shù)據(jù)備份就成為重要的組成部分。研究表明，使用備份的勒索軟件受害者的恢復(fù)成本中位數(shù)，是支付贖金的受害者的一半。

但值得注意的事，并非所有的數(shù)據(jù)備份方法都是有效的，例如：

• 數(shù)據(jù)備份可能存在備份被感染或清除的情況

據(jù)Veeam勒索軟件趨勢報告顯示，2022年，惡意行為者至少有93%的攻擊以備份為目標(biāo)。更令人震驚的是，75%的攻擊中，對手成功滲透了備份存儲庫；受影響時，39%的存儲庫將變得無法使用；近三分之一 (29%) 的數(shù)據(jù)恢復(fù)嘗試不可行。

• 恢復(fù)過程中出現(xiàn)數(shù)據(jù)丟失

恢復(fù)過程會出現(xiàn)各種類型的數(shù)據(jù)丟失，從簡單的文件丟失到整個系統(tǒng)的完全崩潰。在數(shù)據(jù)恢復(fù)過程中，需要重新建立文件系統(tǒng)、重新安裝操作系統(tǒng)、重新安裝應(yīng)用程序和恢復(fù)數(shù)據(jù)。

除此之外，很多企業(yè)在恢復(fù)時才發(fā)現(xiàn)很多關(guān)鍵數(shù)據(jù)沒有被正確備份，又或者是因?yàn)閭浞葜芷谔L、沒有測試備份數(shù)據(jù)等原因，導(dǎo)致發(fā)生勒索軟件攻擊時無法全數(shù)據(jù)、全維度地恢復(fù)數(shù)據(jù)。

• 數(shù)據(jù)備份無法快速恢復(fù)數(shù)據(jù)

此外，數(shù)據(jù)備份能否在發(fā)生數(shù)據(jù)丟失時快速恢復(fù)數(shù)據(jù)，以保證業(yè)務(wù)的正常運(yùn)行，也是一大考驗(yàn)。據(jù)Veeam勒索軟件趨勢報告中的受訪者估計，他們平均需要3.3周的時間才能完成恢復(fù)工作。現(xiàn)實(shí)情況是，一些恢復(fù)工作可能會持續(xù)數(shù)月。

總的來說，能夠有效反勒索的數(shù)據(jù)備份需要具備幾大特點(diǎn)：一是干凈恢復(fù)；二是完整恢復(fù)；三是快速恢復(fù)。這就要求數(shù)據(jù)備份不僅自身是安全可靠的，還要能夠?qū)崟r對數(shù)據(jù)安全進(jìn)行監(jiān)測。

對此，瑞數(shù)信息專家認(rèn)為，數(shù)據(jù)備份需要構(gòu)建“事前數(shù)據(jù)健康體檢、事中智能威脅檢測、事后快速響應(yīng)恢復(fù)”的數(shù)據(jù)安全閉環(huán)防護(hù)體系，才能有效對抗惡意軟件攻擊，進(jìn)行數(shù)據(jù)健康體檢，快速發(fā)現(xiàn)惡意威脅，并在數(shù)分鐘內(nèi)恢復(fù)系統(tǒng)的正常運(yùn)行。

瑞數(shù)DDR有效對抗勒索軟件

基于此，瑞數(shù)信息推出的數(shù)據(jù)安全檢測與應(yīng)急響應(yīng)系統(tǒng)（River DDR），正是這樣一款反勒索的數(shù)據(jù)備份利器——通過事前、事中和事后數(shù)據(jù)安全閉環(huán)防護(hù)體系，有效解決傳統(tǒng)終端安全軟件被繞過，備份系統(tǒng)恢復(fù)過程冗長等嚴(yán)峻的安全問題，讓勒索軟件等新興數(shù)據(jù)安全威脅無法再四處為虐。

• 事前數(shù)據(jù)健康體檢

創(chuàng)新的智能數(shù)據(jù)風(fēng)險識別引擎，基于“深度文件內(nèi)容檢測”技術(shù)，能夠高效識別企業(yè)數(shù)據(jù)中心內(nèi)各類結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)是否已被破壞或隱含風(fēng)險。

• 事中智能威脅檢測

創(chuàng)新的AI智能識別引擎，提供基于“數(shù)據(jù)訪問行為模式”的智能分析與識別能力；通過AI熵值檢測技術(shù)，改進(jìn)目前數(shù)據(jù)安全檢測的速度、檢測的正確率，以使安全檢測可以達(dá)到國內(nèi)領(lǐng)先程度，解決當(dāng)前業(yè)界無法通過安全檢測來應(yīng)對勒索攻擊的問題，實(shí)現(xiàn)全鏈路威脅行為與內(nèi)容變化追蹤，即時發(fā)現(xiàn)可疑的攻擊行為。

• 事后快速響應(yīng)恢復(fù)

創(chuàng)新的智能檢測沙箱與溯源引擎能夠有效定位攻擊事件根源，移除勒索軟件加密后的文件并用最新的干凈備份進(jìn)行恢復(fù)，同時對系統(tǒng)進(jìn)行加固，自動生成可直接掛載的干凈數(shù)據(jù)。

總的來說，瑞數(shù)數(shù)據(jù)安全檢測與應(yīng)急響應(yīng)系統(tǒng)（River DDR）具備以下技術(shù)優(yōu)勢：

掌控數(shù)據(jù)資產(chǎn)：生成企業(yè)數(shù)據(jù)完整性、敏感數(shù)據(jù)分布及權(quán)限審計等報告，幫助用戶擺脫無法掌握數(shù)據(jù)資產(chǎn)分布以及數(shù)據(jù)安全威脅不可見的窘境。

防勒索軟件攻擊：建立數(shù)據(jù)安全預(yù)警能力，對批量數(shù)據(jù)竊取及高度隱蔽性異常訪問等惡意行為進(jìn)行智能安全分析，高效識別各類已知與未知的攻擊。避免大量數(shù)據(jù)被加密、竊取后，才發(fā)現(xiàn)已經(jīng)長時間被勒索軟件攻擊。

保護(hù)備份數(shù)據(jù)：隔離備份數(shù)據(jù)，防止勒索軟件、黑客或內(nèi)部人員刪除或破壞備份數(shù)據(jù)。

持續(xù)驗(yàn)證備份數(shù)據(jù)：持續(xù)驗(yàn)證備份數(shù)據(jù)的可用性，避免在應(yīng)急時，才發(fā)現(xiàn)備份數(shù)據(jù)不可用，無法進(jìn)行恢復(fù)。

發(fā)現(xiàn)異常數(shù)據(jù)：通過特有的文件與數(shù)據(jù)庫動態(tài)變化追蹤技術(shù)，可以發(fā)現(xiàn)系統(tǒng)中損毀或異常的文件和數(shù)據(jù)，檢測準(zhǔn)確性達(dá)到95%以上。

分鐘數(shù)據(jù)恢復(fù)：加密或毀損文件發(fā)現(xiàn)與快速恢復(fù)，實(shí)現(xiàn)分鐘級的數(shù)據(jù)恢復(fù)，將業(yè)務(wù)中斷的時間降到最低，全面保護(hù)業(yè)務(wù)的連續(xù)性。

相比其他同類型產(chǎn)品，瑞數(shù)數(shù)據(jù)安全檢測與應(yīng)急響應(yīng)系統(tǒng)（River DDR）實(shí)現(xiàn)了多項(xiàng)技術(shù)創(chuàng)新和突破，包括：AI智能深度檢測引擎、AI熵值檢測、數(shù)據(jù)原始格式備份等。這些技術(shù)回歸數(shù)據(jù)本身，通過對文件和數(shù)據(jù)庫進(jìn)行健康檢測，可以更直接有效發(fā)現(xiàn)異常安全行為。此外，還實(shí)現(xiàn)了檢測與恢復(fù)一體化，真正實(shí)現(xiàn)勒索防護(hù)生命周期防護(hù)。

目前，瑞數(shù)數(shù)據(jù)安全檢測與應(yīng)急響應(yīng)系統(tǒng)（River DDR）已經(jīng)在高精制造業(yè)、醫(yī)療機(jī)構(gòu)、金融、運(yùn)營商等行業(yè)廣泛應(yīng)用。對于那些擁有大量敏感數(shù)據(jù)的企業(yè)和組織而言，此系統(tǒng)也非常適用。

結(jié)語

隨著勒索軟件愈發(fā)猖狂，數(shù)據(jù)備份和恢復(fù)技術(shù)成為遠(yuǎn)見者的必備選擇。但數(shù)據(jù)備份不僅要有效，更要走向綜合性的數(shù)據(jù)安全解決方案，才能保護(hù)企業(yè)數(shù)據(jù)免受勒索軟件等安全威脅的侵害，并及時發(fā)現(xiàn)和應(yīng)對安全威脅。