自2017年WannaCry、NotPetya席捲全球以來，勒索病毒一直以不可忽視的危害性和破壞力，被全球企業和機構視爲最大網絡威脅之一。回顧整個2020年，受新冠疫情大流行和全球數字化進程加快的驅動，數以百萬計遠程辦公場景的快速激增一定程度上因網絡開放度的提升和接口的增多，而給勒索病毒造就了新的攻擊面。

SonicWall第三季度威脅情報數據顯示，勒索軟件攻擊以40%的增長率，位居2020年增長最爲迅猛的網絡威脅榜首。同時，安全公司CrowdStrike最新調查數據顯示，有56％的企業表示在過去一年內曾遭受過索軟件攻擊。其中，全球71％的網絡安全專家更擔心由COVID-19引發的勒索軟件攻擊。

"瘋狂"速度增長的攻擊規模和頻率，加之驚人的破壞力，使得勒索病毒以成爲2020年幾乎籠罩在全球企業、機構心頭的一團"烏雲"。全球知名安全公司Check Point研究指出，勒索軟件是2020年給企業、機構造成損失最大的攻擊手段。而相關數據披露，預計到2021年，全球由勒索軟件攻擊帶來的損失將增至200億美元。

在加速構建的數字化新場景下，面對更爲瞄準企業或機構、技術手段越發成熟且多變、產業分工更精細的勒索病毒攻擊，跳脫贖金"綁架"的有效防範與應對已成爲各行業和領域的必答題。換言之，面對持續表現出旺盛活躍度且信用度不高的勒索病毒攻擊團隊，依賴贖金支付的修復策略已經失效，而防患未然的安全前置部署正顯得更爲重要，是最大限度規避攻擊風險、降低攻擊成本的有效路徑。

不難看出，在安全前置部署中，2020年已發生的勒索軟件攻擊事件所呈現的"對手"軌跡將爲企業和機構制定應對策略、佔據攻防優勢提供重要參考。"知己知彼"顯然應爲企業和機構實現有效防禦的第一步。

持續"進化"革新，勒索病毒的"瘋狂"模式纔剛剛開啓

衆所周知，勒索病毒實際上是一種通過劫持企業或個人數據文件和系統以索要贖金的惡意軟件。其能通過電子郵件、遠程桌面協議（RDP）網站木馬、彈窗、可移動存儲介質等載體，實現對用戶文件、數據庫、源代碼等數據資產的加密劫持，從而以此爲條件向用戶索要贖金以換取解密密匙。

從最初的"艾滋病木馬"（或PC Cyborg）軟盤到2017年的WannaCry、NotPetya，勒索病毒攻擊表現出的變種繁多且難以查殺、傳染性極強且難以追蹤等特點，使其以"勢不可擋"之勢在全球範圍內"肆虐"。在2018年短暫"醉心"挖礦之後，受加密貨幣價值變化無常和企業級攻擊利益攀升的雙重影響，勒索軟件攜帶着日趨成熟的手段革新和愈發隱蔽、複雜的"進化"能力，在後疫情時代開啓了"重裝上陣"的瘋狂模式。

無論是從攻擊頻率、勢頭，還是在攻擊技術和策略的複雜程度，以及引發的成本損益，"瘋狂"模式下的勒索軟件較之以往都表現出了持續"進化"後的新特徵。企業及機構不得不認清一個事實：正如全球知名安全公司賽門鐵克（Symantec）在最新報告中提及的，2021年針對性勒索軟件仍是最大威脅。

· 從贖金換密鑰到數據盜取，雙重勒索漸成主流

某科技供應商拒付贖金遭機密泄露、勒索軟件攻擊者因未收到贖金公開泄露了某公司數據等事件的發生，都在指向勒索軟件攻擊策略的同一演進趨勢，即"雙重勒索"。

這一"業務創新"最早是由Maze勒索病毒團隊在2019年率先實施，至今已爲Sodinokibi、Lockbit等勒索團隊所效仿。與傳統基本信守支付贖金即提供解密密鑰的策略不同，雙重勒索採取先竊取政企機構敏感數據，再對企業資產進行加密的攻擊路徑。如若相關政企機構一旦拒絕繳納贖金，攻擊者將以在暗網公開部分數據威脅實施進一步勒索。若再失敗，則將直接公開所有竊取數據。

這一趨勢似乎是攻擊者對抗企業數據備份方案增多、避免勒索失敗而進行的策略"進化"。在數字化加速推進的當下，這無疑將迫使政企機構面臨更大的數據泄露壓力。換言之，被攻擊者不僅要面臨數據泄露帶來的經濟損失，還需要承受贖金支付後數據仍被公開的不確定性，以及相關數據泄露法規的處罰和聲譽影響。從暗網中持續增多的勒索攻擊數據泄露網站上看，雙重勒索正漸成爲勒索軟件攻擊的新主流。

· 從個人到企業，目標精準的擴延"戰術"

安全公司Malwarebytes 2019《勒索軟件回顧》報告顯示，2019年，針對企業的勒索軟件攻擊數量首次超過了針對消費者的數量，且與2018年第二季度相比，2019第二季度同比增長了363％。換句話說，勒索軟件攻擊已由最初面向個人消費者的"廣撒網式"安全威脅，完成了向具有高度針對性和定向性的企業級安全威脅的演變。

據騰訊安全《2020上半年勒索病毒報告》分析，受企業級安全攻擊高回報率的誘惑，越來越多的活躍勒索病毒團伙將高價值大型政企機構作爲重點打擊對象。勒索病毒產業鏈針對政企目標的精確打擊、不斷革新的加密技能、規模化的商業運作，正在世界範圍內持續產生嚴重危害。簡言之，未來，政企機構將面臨比個人更爲嚴峻的勒索病毒攻擊局勢。

與此同時，從2020年勒索攻擊事件輻射的範疇上看，當前勒索軟件攻擊顯然已跳出了瞄準醫療行業的侷限。費城天普大學研究團隊通過針對全球關鍵基礎設施的勒索軟件攻擊跟蹤發現，近兩年來，各行業遭受的勒索病毒攻擊頻次逐年上升。其中，僅2020年前8個月就有241起與關鍵基礎設施相關的勒索軟件攻擊事件，涉及科技、航運交通、金融、商業、教育、政務等各個行業領域及其遠程辦公、在線業務等場景。

此外，工程師Hron在2019年6月通過修改固件，成功將一臺智能咖啡機改造成了勒索軟件機器等類似事件的發生，還映射出了勒索軟件攻擊的一大新發展方向。即伴隨着物聯網的普及應用，各類IoT設備或將爲黑客實施勒索攻擊提供新突破口和跳板。事實上，相關事實顯示，早在2017年，就出現了首個針對聯網設備的勒索軟件攻擊報告：55個交通攝像頭感染了WannaCry勒索軟件。換言之，新技術的應用普及也將衍生出更多的攻擊變化。

· 贖金之外，持續攀升的攻擊損失

很顯然，動輒成百上千萬級美元的贖金是勒索軟件攻擊帶來的最直接的損失。然而，伴隨着"雙重勒索"策略的常態化，在高額贖金帶來的巨大經濟損失之外，遭受攻擊的企業及機構還將面臨包括機會成本、產效降低、品牌和信譽損失、風險事故處理成本、內部士氣損害等方面的損耗挑戰。

一方面，勒索軟件的攻擊往往會造成政企機構的網絡系統和資源陷入癱瘓、宕機。而由此引發的業務中斷，勢必給政企機構的產能和生產效率帶來大幅削減、降低的影響。

另一方面，隨着勒索攻擊加密性能、投毒方式、定向攻擊、商業合作等技術和策略上的升級，相關政企機構還需要面臨事故處理成本增加投入的問題。這一投入包括時間和人力上的雙重挑戰。McAfee最新調查報告《The Hidden Costs of Cybercrime》中支持，對於大多數組織來說，勒索攻擊事件發生後，平均需要安排8個人，用時 19 個小時對IT系統或服務進行恢復補救。這顯然不僅增加了被攻擊方的風險處理成本，還或因外部援助和風險保險等方面需求的激增，衍生出新的成本增長點。

再者，從長遠來看，勒索軟件攻擊帶來的業務中斷通常會使用戶體驗受到不同程度的影響，從而導致用戶對企業及機構的品牌信任度和聲譽存有質疑，同時還在一定程度上將對企業員工的士氣造成負面影響。而這無形中也將增加被攻擊企業或機構在品牌聲譽和內部企業文化上的額外投入。Veritas Technologies的最新調查研究顯示，44％的消費者表示會停止從遭受過勒索軟件攻擊的公司購買商品。

贖金換密正在失效，防患未然方爲"上策"

"贖金到底該不該付？"一直以來都是業內在應對勒索軟件攻擊時備受爭議的問題。儘管在大多數企業機構看來，向勒索軟件攻擊團隊支付贖金的行爲一定程度上是對攻擊行爲的縱容，但仍有部分企業或機構基於數據價值和自我修復成本等的考慮，而選擇與勒索軟件攻擊者達成妥協交易。

然而，類似某電商支付公司在給黑客支付贖金的同時，其數據仍被黑客"撕票"等事件的發生，加之美國財政部外國資產控制辦公室(OFAC)"向勒索攻擊者支付贖金將面臨處罰"警告的發佈，都在表明：試圖通過支付贖金以換取解密密鑰的危機處理策略因不確定的攀升和政策處罰的雙重壓力，正在失效。正如騰訊安全專家所言，面對愈見覆雜的勒索軟件攻擊局勢，防患未然是身處數字化大潮下的企業都必須重點考量的關鍵。

· 從業務角度優化防範決策

結合企業場景風險需求特點，從勒索病毒攻擊即將對業務造成的損失量化出發，找準安全影響的重要節點，制定匹配業務連續性的安全決策，提升安全關鍵防禦部署的準確性。簡單來說，就是把每一分支出都花在"刀刃"上，獲取最佳防範效果和回報率；

· 加固日常風險運維管理體系

首先應深入強化應對勒索軟件攻擊的內外滲透測試，提升風險防禦機制靈活度和響應速度；其次，針對暴露於公網且預判易受攻擊的系統、服務器和網絡遠程連接，啓用高熵密碼（消滅弱密碼）和雙因素身份驗證（2FA），儘可能減少攻擊滲透的突破口。針對遠程連接場景，做好RDP協議防護，嚴格限制遠程訪問。對於存在弱口令的系統，需在加強使用者安全意識的前提下，督促其修改密碼，或者使用安全策略來強制各節點使用複雜密碼，避免遭遇弱口令爆破攻擊。在一些關鍵服務上，加強口令強度，並使用加密傳輸方式；

而在內網，則須確保補丁更新的及時性，可考慮在網絡邊界、路由器、防火牆上設置嚴格的訪問控制策略，並在全網安裝專業的終端安全管理軟件，由管理員批量殺毒和安裝補丁，後續定期更新各類系統高危補丁。以保證網絡的動態安全。並對數據庫的管理訪問節點地址進行嚴格限制，只允許特定管理主機IP進行遠程登錄數據庫。

此外，業內專家還認爲或可通過零信任安全的實踐，通過其最小特權訪問、微分離、持續驗證、多因子身份認證以及異常行爲識別的全面功能，實現對勒索軟件攻擊的阻斷。

· 優化威脅態勢監控機制

網絡管理員、系統管理員、安全管理員應持續關注並掌握最新安全信息、安全動態及最新的嚴重漏洞，並將其結論成果轉化至攻與防的循環和伴隨每個主流操作系統、應用服務的生命週期中。與此同時，部署流量監控/阻斷類設備/軟件，便於事前發現、事中阻斷和事後回溯。同時，與供應鏈夥伴形成信息共享互通，最大限度地掌握風險動態，達到提升威脅預警能力的目的。

· 提高員工安全意識

定期進行安全培訓，以確保員工可以發現並避免潛在的網絡釣魚電子郵件。在騰訊安全專家看來，日常安全管理可遵循"三不三要"思路，即不上鉤（標題吸引人的未知郵件不要點開）、不打開（不隨便打開電子郵件附件）、不點擊（不隨意點擊電子郵件中附帶網址）、要備份（重要資料要備份）、要確認（開啓電子郵件前確認發件人可信）、要更新（系統補丁/安全軟件病毒庫保持實時更新）。

· 強化安全災備預案策略

數據備份被認爲是當前企業機構防禦勒索軟件攻擊的有效做法之一。因此，企業應當定期備份IT和OT網絡系統相關數據，以便在發生災難性故障時，能夠及時恢復。對此，騰訊安全建議可按數據備份321原則進行安全災備，即至少準備三份備份、兩種不同備份介質和一份異地備份。

知名投資諮詢公司 Cybersecurity Ventures預計，2021年企業每11秒將遭受一次勒索攻擊。可以預見，數字經濟新週期下，巨大的企業級利益正在誘發更爲猖獗的勒索軟件攻擊。可以說，身處在產業數字化大潮中的每一個企業或機構都可能成爲勒索軟件的下一個攻擊目標。做好前置安全部署以防患未然，顯然是各企業與機構面對新威脅局勢的重要計劃。