自2017年WannaCry、NotPetya席卷全球以来，勒索病毒一直以不可忽视的危害性和破坏力，被全球企业和机构视为最大网络威胁之一。回顾整个2020年，受新冠疫情大流行和全球数字化进程加快的驱动，数以百万计远程办公场景的快速激增一定程度上因网络开放度的提升和接口的增多，而给勒索病毒造就了新的攻击面。

SonicWall第三季度威胁情报数据显示，勒索软件攻击以40%的增长率，位居2020年增长最为迅猛的网络威胁榜首。同时，安全公司CrowdStrike最新调查数据显示，有56％的企业表示在过去一年内曾遭受过索软件攻击。其中，全球71％的网络安全专家更担心由COVID-19引发的勒索软件攻击。

"疯狂"速度增长的攻击规模和频率，加之惊人的破坏力，使得勒索病毒以成为2020年几乎笼罩在全球企业、机构心头的一团"乌云"。全球知名安全公司Check Point研究指出，勒索软件是2020年给企业、机构造成损失最大的攻击手段。而相关数据披露，预计到2021年，全球由勒索软件攻击带来的损失将增至200亿美元。

在加速构建的数字化新场景下，面对更为瞄准企业或机构、技术手段越发成熟且多变、产业分工更精细的勒索病毒攻击，跳脱赎金"绑架"的有效防范与应对已成为各行业和领域的必答题。换言之，面对持续表现出旺盛活跃度且信用度不高的勒索病毒攻击团队，依赖赎金支付的修复策略已经失效，而防患未然的安全前置部署正显得更为重要，是最大限度规避攻击风险、降低攻击成本的有效路径。

不难看出，在安全前置部署中，2020年已发生的勒索软件攻击事件所呈现的"对手"轨迹将为企业和机构制定应对策略、占据攻防优势提供重要参考。"知己知彼"显然应为企业和机构实现有效防御的第一步。

持续"进化"革新，勒索病毒的"疯狂"模式才刚刚开启

众所周知，勒索病毒实际上是一种通过劫持企业或个人数据文件和系统以索要赎金的恶意软件。其能通过电子邮件、远程桌面协议（RDP）网站木马、弹窗、可移动存储介质等载体，实现对用户文件、数据库、源代码等数据资产的加密劫持，从而以此为条件向用户索要赎金以换取解密密匙。

从最初的"艾滋病木马"（或PC Cyborg）软盘到2017年的WannaCry、NotPetya，勒索病毒攻击表现出的变种繁多且难以查杀、传染性极强且难以追踪等特点，使其以"势不可挡"之势在全球范围内"肆虐"。在2018年短暂"醉心"挖矿之后，受加密货币价值变化无常和企业级攻击利益攀升的双重影响，勒索软件携带着日趋成熟的手段革新和愈发隐蔽、复杂的"进化"能力，在后疫情时代开启了"重装上阵"的疯狂模式。

无论是从攻击频率、势头，还是在攻击技术和策略的复杂程度，以及引发的成本损益，"疯狂"模式下的勒索软件较之以往都表现出了持续"进化"后的新特征。企业及机构不得不认清一个事实：正如全球知名安全公司赛门铁克（Symantec）在最新报告中提及的，2021年针对性勒索软件仍是最大威胁。

· 从赎金换密钥到数据盗取，双重勒索渐成主流

某科技供应商拒付赎金遭机密泄露、勒索软件攻击者因未收到赎金公开泄露了某公司数据等事件的发生，都在指向勒索软件攻击策略的同一演进趋势，即"双重勒索"。

这一"业务创新"最早是由Maze勒索病毒团队在2019年率先实施，至今已为Sodinokibi、Lockbit等勒索团队所效仿。与传统基本信守支付赎金即提供解密密钥的策略不同，双重勒索采取先窃取政企机构敏感数据，再对企业资产进行加密的攻击路径。如若相关政企机构一旦拒绝缴纳赎金，攻击者将以在暗网公开部分数据威胁实施进一步勒索。若再失败，则将直接公开所有窃取数据。

这一趋势似乎是攻击者对抗企业数据备份方案增多、避免勒索失败而进行的策略"进化"。在数字化加速推进的当下，这无疑将迫使政企机构面临更大的数据泄露压力。换言之，被攻击者不仅要面临数据泄露带来的经济损失，还需要承受赎金支付后数据仍被公开的不确定性，以及相关数据泄露法规的处罚和声誉影响。从暗网中持续增多的勒索攻击数据泄露网站上看，双重勒索正渐成为勒索软件攻击的新主流。

· 从个人到企业，目标精准的扩延"战术"

安全公司Malwarebytes 2019《勒索软件回顾》报告显示，2019年，针对企业的勒索软件攻击数量首次超过了针对消费者的数量，且与2018年第二季度相比，2019第二季度同比增长了363％。换句话说，勒索软件攻击已由最初面向个人消费者的"广撒网式"安全威胁，完成了向具有高度针对性和定向性的企业级安全威胁的演变。

据腾讯安全《2020上半年勒索病毒报告》分析，受企业级安全攻击高回报率的诱惑，越来越多的活跃勒索病毒团伙将高价值大型政企机构作为重点打击对象。勒索病毒产业链针对政企目标的精确打击、不断革新的加密技能、规模化的商业运作，正在世界范围内持续产生严重危害。简言之，未来，政企机构将面临比个人更为严峻的勒索病毒攻击局势。

与此同时，从2020年勒索攻击事件辐射的范畴上看，当前勒索软件攻击显然已跳出了瞄准医疗行业的局限。费城天普大学研究团队通过针对全球关键基础设施的勒索软件攻击跟踪发现，近两年来，各行业遭受的勒索病毒攻击频次逐年上升。其中，仅2020年前8个月就有241起与关键基础设施相关的勒索软件攻击事件，涉及科技、航运交通、金融、商业、教育、政务等各个行业领域及其远程办公、在线业务等场景。

此外，工程师Hron在2019年6月通过修改固件，成功将一台智能咖啡机改造成了勒索软件机器等类似事件的发生，还映射出了勒索软件攻击的一大新发展方向。即伴随着物联网的普及应用，各类IoT设备或将为黑客实施勒索攻击提供新突破口和跳板。事实上，相关事实显示，早在2017年，就出现了首个针对联网设备的勒索软件攻击报告：55个交通摄像头感染了WannaCry勒索软件。换言之，新技术的应用普及也将衍生出更多的攻击变化。

· 赎金之外，持续攀升的攻击损失

很显然，动辄成百上千万级美元的赎金是勒索软件攻击带来的最直接的损失。然而，伴随着"双重勒索"策略的常态化，在高额赎金带来的巨大经济损失之外，遭受攻击的企业及机构还将面临包括机会成本、产效降低、品牌和信誉损失、风险事故处理成本、内部士气损害等方面的损耗挑战。

一方面，勒索软件的攻击往往会造成政企机构的网络系统和资源陷入瘫痪、宕机。而由此引发的业务中断，势必给政企机构的产能和生产效率带来大幅削减、降低的影响。

另一方面，随着勒索攻击加密性能、投毒方式、定向攻击、商业合作等技术和策略上的升级，相关政企机构还需要面临事故处理成本增加投入的问题。这一投入包括时间和人力上的双重挑战。McAfee最新调查报告《The Hidden Costs of Cybercrime》中支持，对于大多数组织来说，勒索攻击事件发生后，平均需要安排8个人，用时 19 个小时对IT系统或服务进行恢复补救。这显然不仅增加了被攻击方的风险处理成本，还或因外部援助和风险保险等方面需求的激增，衍生出新的成本增长点。

再者，从长远来看，勒索软件攻击带来的业务中断通常会使用户体验受到不同程度的影响，从而导致用户对企业及机构的品牌信任度和声誉存有质疑，同时还在一定程度上将对企业员工的士气造成负面影响。而这无形中也将增加被攻击企业或机构在品牌声誉和内部企业文化上的额外投入。Veritas Technologies的最新调查研究显示，44％的消费者表示会停止从遭受过勒索软件攻击的公司购买商品。

赎金换密正在失效，防患未然方为"上策"

"赎金到底该不该付？"一直以来都是业内在应对勒索软件攻击时备受争议的问题。尽管在大多数企业机构看来，向勒索软件攻击团队支付赎金的行为一定程度上是对攻击行为的纵容，但仍有部分企业或机构基于数据价值和自我修复成本等的考虑，而选择与勒索软件攻击者达成妥协交易。

然而，类似某电商支付公司在给黑客支付赎金的同时，其数据仍被黑客"撕票"等事件的发生，加之美国财政部外国资产控制办公室(OFAC)"向勒索攻击者支付赎金将面临处罚"警告的发布，都在表明：试图通过支付赎金以换取解密密钥的危机处理策略因不确定的攀升和政策处罚的双重压力，正在失效。正如腾讯安全专家所言，面对愈见复杂的勒索软件攻击局势，防患未然是身处数字化大潮下的企业都必须重点考量的关键。

· 从业务角度优化防范决策

结合企业场景风险需求特点，从勒索病毒攻击即将对业务造成的损失量化出发，找准安全影响的重要节点，制定匹配业务连续性的安全决策，提升安全关键防御部署的准确性。简单来说，就是把每一分支出都花在"刀刃"上，获取最佳防范效果和回报率；

· 加固日常风险运维管理体系

首先应深入强化应对勒索软件攻击的内外渗透测试，提升风险防御机制灵活度和响应速度；其次，针对暴露于公网且预判易受攻击的系统、服务器和网络远程连接，启用高熵密码（消灭弱密码）和双因素身份验证（2FA），尽可能减少攻击渗透的突破口。针对远程连接场景，做好RDP协议防护，严格限制远程访问。对于存在弱口令的系统，需在加强使用者安全意识的前提下，督促其修改密码，或者使用安全策略来强制各节点使用复杂密码，避免遭遇弱口令爆破攻击。在一些关键服务上，加强口令强度，并使用加密传输方式；

而在内网，则须确保补丁更新的及时性，可考虑在网络边界、路由器、防火墙上设置严格的访问控制策略，并在全网安装专业的终端安全管理软件，由管理员批量杀毒和安装补丁，后续定期更新各类系统高危补丁。以保证网络的动态安全。并对数据库的管理访问节点地址进行严格限制，只允许特定管理主机IP进行远程登录数据库。

此外，业内专家还认为或可通过零信任安全的实践，通过其最小特权访问、微分离、持续验证、多因子身份认证以及异常行为识别的全面功能，实现对勒索软件攻击的阻断。

· 优化威胁态势监控机制

网络管理员、系统管理员、安全管理员应持续关注并掌握最新安全信息、安全动态及最新的严重漏洞，并将其结论成果转化至攻与防的循环和伴随每个主流操作系统、应用服务的生命周期中。与此同时，部署流量监控/阻断类设备/软件，便于事前发现、事中阻断和事后回溯。同时，与供应链伙伴形成信息共享互通，最大限度地掌握风险动态，达到提升威胁预警能力的目的。

· 提高员工安全意识

定期进行安全培训，以确保员工可以发现并避免潜在的网络钓鱼电子邮件。在腾讯安全专家看来，日常安全管理可遵循"三不三要"思路，即不上钩（标题吸引人的未知邮件不要点开）、不打开（不随便打开电子邮件附件）、不点击（不随意点击电子邮件中附带网址）、要备份（重要资料要备份）、要确认（开启电子邮件前确认发件人可信）、要更新（系统补丁/安全软件病毒库保持实时更新）。

· 强化安全灾备预案策略

数据备份被认为是当前企业机构防御勒索软件攻击的有效做法之一。因此，企业应当定期备份IT和OT网络系统相关数据，以便在发生灾难性故障时，能够及时恢复。对此，腾讯安全建议可按数据备份321原则进行安全灾备，即至少准备三份备份、两种不同备份介质和一份异地备份。

知名投资咨询公司 Cybersecurity Ventures预计，2021年企业每11秒将遭受一次勒索攻击。可以预见，数字经济新周期下，巨大的企业级利益正在诱发更为猖獗的勒索软件攻击。可以说，身处在产业数字化大潮中的每一个企业或机构都可能成为勒索软件的下一个攻击目标。做好前置安全部署以防患未然，显然是各企业与机构面对新威胁局势的重要计划。