面對勒索病毒攻擊，除了支付贖金我們還能做什么？

有預(yù)測稱，勒索病毒攻擊頻率到2031年會從2021年的每11秒一次提高到每2秒一次。如果企業(yè)關(guān)鍵業(yè)務(wù)數(shù)據(jù)突然遭到勒索，不法分子使用高級加密技術(shù)使其無法訪問，并要求支付贖金才能解密，你會如何應(yīng)對？如果拒絕支付，或者即使支付，你能保證自己的數(shù)據(jù)安全嗎？當(dāng)你在思考要做何選擇時，你的企業(yè)會一直處于癱瘓狀態(tài)，每過一分鐘你都將面臨更大的壓力來做出正確的選擇。

別讓支付贖金成為你的唯一選項

Gartner將勒索病毒攻擊定義為一種通過惡意軟件入侵計算機(jī)系統(tǒng)并加密數(shù)據(jù)，然后進(jìn)行勒索，直到受害者支付贖金的網(wǎng)絡(luò)勒索。就像現(xiàn)實中的劫持事件一樣，不法分子會以企業(yè)數(shù)據(jù)威脅索要贖金。

然而，要不要支付贖金是一個備受爭議的話題。許多政府安全部門建議不要支付贖金。例如，美國政府強(qiáng)烈建議不要支付贖金，因為這樣做會助長加密鎖攻擊。即使支付了贖金，企業(yè)也不能確保能夠恢復(fù)所有數(shù)據(jù)。在支付勒索病毒贖金的受害者中，只有8%的受害者能拿回所有數(shù)據(jù)，只有29%的受害者能拿回近一半。即使使用加密密鑰，也可能需要幾天、幾周甚至幾個月才能恢復(fù)所有數(shù)據(jù)。

企業(yè)需要考慮，支付贖金后，不法分子會提供密鑰讓企業(yè)取回文件嗎？他們會留下惡意軟件再次攻擊嗎？企業(yè)是否愿意因為支付而被鎖定為未來的目標(biāo)？

如果沒有有效的恢復(fù)策略，企業(yè)唯一的選擇可能就是支付贖金，剩下的只能聽天由命了。為盡量避免這種狀況，勒索病毒防范必須成為企業(yè)安全工作的首要任務(wù)之一。

“一刀”切不掉“一千個頭”

“所有勒索病毒攻擊都是相似的，可以通過‘一刀切’的形式加以防范”，這是一種很常見的誤解。事實上，由于不同類型的勒索病毒通常是為了入侵不同的目標(biāo)網(wǎng)絡(luò)而開發(fā)的，它們的操作方式可能大相徑庭。

例如Locky，顧名思義，Locky會鎖定文件，并用擴(kuò)展名.lockey替換文件。該勒索病毒傳播速度極快，與很多其他的勒索病毒相比能夠更快地感染整個網(wǎng)絡(luò)中的文件，具有極大的殺傷力。再例如Crysis，它劫持企業(yè)數(shù)據(jù)并將其移動到新的虛擬位置，將數(shù)據(jù)攻擊提升到新的水平。此外還有CryptoWall、Cerber、Samsam、Maze等等。攻擊者還能夠組合多種類型的勒索病毒。

勒索病毒攻擊就像“一千個頭”的怪物一般，千變?nèi)f化，狡猾多端。企業(yè)必須了解現(xiàn)有的各種攻擊類型，并制定一個在各種故障模式下都具備彈性的恢復(fù)方案，有時數(shù)據(jù)恢復(fù)事件需要恢復(fù)到中斷前的實例，有時可能需要將業(yè)務(wù)應(yīng)用程序完全恢復(fù)到一個新的位置。為了確保數(shù)據(jù)恢復(fù)，企業(yè)需要具有合適的技術(shù)、人員和流程的有效解決方案，確保自己的恢復(fù)就緒狀態(tài)和快速恢復(fù)能力。

時刻就緒，有備而來

通過制定計劃、持續(xù)監(jiān)控和采用強(qiáng)大的備份和恢復(fù)解決方案，企業(yè)可以通過做好充分準(zhǔn)備降低勒索病毒風(fēng)險。企業(yè)應(yīng)當(dāng)為勒索病毒防御和恢復(fù)制定盡可能周全的計劃。企業(yè)應(yīng)當(dāng)制定多層安全策略，并且牢記：恢復(fù)就緒至關(guān)重要。

開展員工安全培訓(xùn)、及時更新安全補(bǔ)丁、安裝防病毒和反惡意軟件防護(hù)軟件、實施多因素身份驗證、對網(wǎng)絡(luò)進(jìn)行分段、深入了解自身數(shù)據(jù)、執(zhí)行定期備份、多次測試等等都是企業(yè)保護(hù)數(shù)據(jù)，確保自身數(shù)據(jù)恢復(fù)就緒狀態(tài)，降低勒索病毒風(fēng)險的技巧。企業(yè)還可以借助Commvault這樣的第三方供應(yīng)商來強(qiáng)化自身的數(shù)據(jù)恢復(fù)就緒狀態(tài)，并確保在防御失敗的時候能夠快速恢復(fù)。

Commvault多層安全遵循零信任原則，并基于國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）網(wǎng)絡(luò)安全框架，用于保護(hù)數(shù)據(jù)，以及在遭遇勒索病毒攻擊時快速恢復(fù)。Commvault有助于保護(hù)和隔離數(shù)據(jù)，提供主動監(jiān)控和警報，并實現(xiàn)快速恢復(fù)。由人工智能和機(jī)器學(xué)習(xí)（包括蜜罐）提供支持的高級技術(shù)可以在潛在攻擊來臨之際及時發(fā)現(xiàn)并發(fā)出示警，以便企業(yè)快速響應(yīng)。通過使企業(yè)的備份遠(yuǎn)離危險，使其能夠在服務(wù)水平協(xié)議范圍內(nèi)恢復(fù)，即使勒索病毒攻擊成功，企業(yè)也可以盡可能降低它的影響，以便盡快恢復(fù)正常運(yùn)營，并且避免支付昂貴的贖金。

勒索病毒攻擊總能引發(fā)廣泛關(guān)注是有原因的。它們毫無征兆，不留情面，唯利是圖，讓受害者感到無能為力。企業(yè)不應(yīng)當(dāng)讓支付贖金成為應(yīng)對勒索病毒攻擊的“唯一選項”，而應(yīng)當(dāng)時刻保持警惕，實施分層安全方法，從而降低風(fēng)險，盡可能減少勒索病毒的影響。