近年來，云上數據安全已經成為企業的又一大難題，尤其是勒索攻擊頻發，有組織的黑客攻擊目標已經從核心數據竊取擴展到金融、交通、能源、通信等行業的關鍵信息基礎設施，對企業數據安全構成了極大的威脅和挑戰。

同時AI時代，犯罪團隊已經開始利用AI和機器學習來增強勒索軟件攻擊的能力和效率，勒索攻擊也在不斷升級。

在此背景之下，企業應當如何應對勒索攻擊？一份滿分答案或許可以從中國信息通信研究院“2024安全守衛者計劃”優秀案例之中尋找——

它就是瑞數信息與國網華東某省級電力公司聯合申報的“勒索智能防護案例”。

據悉，自2023年5月起，瑞數信息開始為客戶提供全面的數據安全和數據檢測服務，并于2023年12月順利完成項目建設。

在項目實施過程中，通過構建全面的數據安全預警檢測系統、反勒索快速恢復機制、備份數據安全防護體系以及勒索風險信息展示平臺，顯著提升了企業的數據安全防護能力，幫助客戶有效應對了勒索攻擊的威脅。

那這份滿分答案到底是怎么做出來的呢？本文帶你揭曉。

一、AI時代，勒索攻擊更為智能

近年來，云計算的普及使得越來越多的企業將核心數據遷移到云端。然而，這也為勒索攻擊提供了新的戰場。

2021年，美國最大燃油管道運營商Colonial Pipeline遭受勒索攻擊，導致其關鍵管道系統癱瘓，造成大規模的燃油短缺和經濟損失。這次攻擊不僅暴露了云上數據的脆弱性，也顯示出勒索攻擊對關鍵基礎設施的巨大威脅。

2024年年初，全球能源管理和工業自動化巨頭施耐德電氣遭受Cactus勒索軟件攻擊，導致公司數據被盜。據報道，Cactus勒索軟件團伙在網絡攻擊期間竊取了該公司數TB的公司數據，威脅該公司，如果不支付贖金，就會泄露被盜的數據。

根據Group-IB發布的《2023-2024年高科技犯罪趨勢報告》顯示，勒索軟件保持強勁增長，2023年數據泄露網站上的公司數量同比增長74%。

安全公司Sophos發布的《2023勒索軟件態勢報告》也顯示，66%的機構在過去一年中遭受過勒索軟件攻擊。其中，76%的攻擊導致數據被加密，受害機構為此而付出的平均成本為182萬美元。

大規模增加的勒索軟件攻擊正在瞄準所有行業，金融、交通、能源、通信等行業的關鍵信息基礎設施尤其成為勒索軟件的攻擊目標。

這些事件再次提醒企業，勒索攻擊不斷，云上數據安全需要引起高度重視。

另外，隨著人工智能技術的快速發展，網絡安全領域也經歷了深刻的變化。AI技術不僅提升了防護能力，同時也被不法分子所利用，進化出更加隱蔽和復雜的勒索攻擊。

傳統的勒索攻擊通常依賴于社會工程學或漏洞利用，而AI技術的引入使得攻擊者能夠更精準地選擇目標并躲避檢測。例如，機器學習算法可以幫助黑客分析目標網絡的漏洞，生成定制化的攻擊路徑；深度學習技術可以用于開發更難檢測的惡意軟件變種，甚至可以實時調整攻擊策略，以規避防御系統的攔截。

AI技術還大大提升了勒索攻擊的效率。通過自動化的手段，攻擊者能夠在極短時間內對大量目標發起攻擊，從而增加成功的概率。此外，AI還可以用于優化贖金需求，基于受害者的支付能力和緊急程度，制定出最有可能成功的贖金金額。

可以說，AI時代下的勒索攻擊，已經不僅僅是單純的技術對抗，而是智慧與智慧的較量。

二、當智能勒索攻擊“撞上”智能防護

日益復雜和頻繁的勒索攻擊，對企業的網絡安全防護提出了更高的要求。企業必須提升自身的防護能力，從早期檢測到數據恢復，全方位構建起強有力的防護體系，如早期發現勒索加密，加強主機防勒索能力，構建勒索應對體系，增加數據安全檢測預警能力等，以應對AI時代下的網絡安全挑戰。

作為國家重要的基礎設施企業，電力公司必須確保在遭遇勒索攻擊時，能夠迅速恢復數據，避免業務系統出現無法恢復、恢復時間不可預期、應對流程不明確的混亂局面，并將勒索攻擊的影響范圍控制在最小。

瑞數信息推出的數據安全檢測與應急響應系統（River DDR），正是這樣一款反勒索的數據備份利器。通過事前、事中和事后的數據安全閉環防護體系，River DDR有效解決了傳統終端安全軟件被繞過、備份系統恢復過程冗長等嚴峻的安全問題，讓勒索軟件等新興數據安全威脅無處遁形。

該系統可通過多種數據接入方式，實現對生產數據的在線檢測。數據安全底座則主要負責數據備份、備份數據的安全存放和管理，并為上層的安全檢查功能提供數據支持和快速恢復能力。

由于安全攻擊不斷變化，病毒加密數據的手法層出不窮。因此，該系統利用AI革新了數據安全檢測的方法和流程，創新開發了“智能深度檢測引擎”，集成了文件健康體檢和數據庫健康體檢的功能，從而提供了全方位的數據保護措施。

該引擎利用勒索加密樣本庫的機器學習建立熵值規則庫，并通過熵值計算來判斷數據是否被勒索加密。通過深度檢測方法，該引擎能夠每天對備份數據的增量部分進行深度檢查，與數據安全底座聯動，實現初次全量的健康檢查、日常數據增量部分的深度檢查以及重點表的異動監控，并通過實時告警通知服務層。

功能矩陣層面向實際操作和使用，按照勒索攻擊的事前、事中、事后提供文件及數據庫檢測報告、事件告警及影響分析等功能。通過快速響應恢復機制，實現數據的快速恢復，將勒索攻擊造成的損失降到最低。

可以說，瑞數數據安全檢測與應急響應系統（River DDR）在文件檢測、數據庫檢測和響應恢復方面，為該電力公司云上數據安全保駕護航：

• 文件檢測方面，系統針對文件的勒索攻擊風險進行全面檢測，包括勒索聲明文件檢測、加密狀況檢測、文件頭不匹配檢測和文件異常檢測等。檢測后，系統會出具文件健康狀況檢測報告，確保所有文件的安全性。
• 在數據庫檢測方面，系統會對數據表字段和數據庫文件進行詳細檢測，確認是否存在加密情況，是否有靜態表被篡改。檢測后，同樣會出具數據庫健康狀況檢測報告，確保數據庫的完整性和安全性。
• 在響應恢復方面，系統通過損害評估報告及修補建議，結合行為分析和日志分析等手段，確認需要恢復的時間點。無論數據量的大小，數據恢復時間都能控制在分鐘級，以確保被加密數據的恢復時間在業務可承受的范圍之內。

瑞數信息與該電力公司的合作，正是智能防護體系的一次成功實踐，通過全面的數據安全能力建設，不僅有效應對了勒索攻擊的威脅，也為行業提供了寶貴的經驗和參考。

三、從預警到快速恢復，全周期保護數據安全

智能防護云上數據安全，核心在于其數據安全檢測與應急響應。系統正是通過事前數據健康體檢、事中智能威脅檢測和事后快速響應恢復這三大環節，構建了一個全面而高效的數據安全防護體系，真正實現了全周期的安全保障。

在事前階段，提供了全面的數據健康體檢，通過日常對備份數據的安全檢測，確認用于恢復的數據的健康性。這種基于表級和字段級的檢測能力，確保每一份用于恢復的數據都是原始信息，沒有被加密或污染。通過這樣的預防措施，企業可以在遭遇勒索攻擊前，已經做好了萬全的準備，確保數據處于可信任狀態。

在事中階段，依托其創新的智能數據識別引擎和AI智能識別引擎，實施智能威脅檢測。基于“深度文件內容檢測”技術和“數據訪問行為”智能分析與識別能力，這些引擎能夠有效識別企業數據中心架構與非架構化數據的安全性，通過AI熵值檢測技術，改進數據安全檢測的速度和準確性，達到領先的安全檢測水平。全鏈路的威脅行為與內容變化追蹤，使得可疑的攻擊行為能夠被即時發現和響應，從而大大提升了勒索攻擊的防御能力。

在事后階段，智能檢測沙箱與源引擎發揮了重要作用。它們能夠有效定位攻擊事件的根源，移除勒索軟件后，將最新的干凈備份進行恢復，同時對系統進行加固，確保系統的安全性。自動生成可掛載的干凈數據，確保在遭受攻擊后，企業可以迅速恢復正常運作，減少業務中斷的時間和經濟損失。

通過事前數據健康體檢、事中智能威脅檢測和事后快速響應恢復的有機結合，瑞數信息構建了一個全周期的數據安全閉環，為企業提供了從預防到恢復的全方位保障。

瑞數數據安全檢測與應急響應系統（River DDR）不僅助力國網華東某省級電力公司構建起了強有力的數據安全防線，還提升了其應對勒索攻擊的能力，確保業務的連續性和穩定性。

正因如此，該案例憑借在客戶應用中的創新技術和高效能力，從眾多案例中脫穎而出，經過案例初審、專家復評兩個環節，成功斬獲中國信通院第四批“安全守衛者計劃”優秀案例。未來，瑞數信息將繼續在數據安全領域深耕，助力更多企業構建起強有力的安全防護體系，為云上數據安全保駕護航！