作者：Edwin Weijdema，Veeam歐洲、中東及非洲地區(qū)首席技術(shù)官兼首席網(wǎng)絡(luò)安全技術(shù)專家

　　《Veeam2023數(shù)據(jù)保護(hù)趨勢報告》顯示，去年一年內(nèi)，85%的企業(yè)至少遭受過一次勒索軟件的攻擊。幾乎沒有哪一家公司能夠幸免于難，我們能明顯感覺到這一問題在現(xiàn)如今不僅普遍存在，而且不可避免。盡管這一事實讓人生寒，但只有認(rèn)清事實，我們才能應(yīng)對這場無處不在的威脅。那么，讓我們來看看企業(yè)能夠利用哪些解決方案來達(dá)成與勒索軟件的共存。

　　保險的作用有限

　　無論是看新聞，還是坐在會議室里，我們每天都能看到勒索軟件攻擊的情況。這樣的現(xiàn)象已經(jīng)成為了十分真實且現(xiàn)實的威脅。考慮到勒索軟件攻擊的普遍性，企業(yè)需要意識到，你所面臨的不再是“是否”會成為攻擊目標(biāo)的問題，而是“多久”會遭受到一次攻擊。盡管《Veeam2023數(shù)據(jù)保護(hù)趨勢報告》顯示很多企業(yè)在去年至少經(jīng)歷過一次攻擊，但還有48%的企業(yè)曾遭受過兩次或三次攻擊。無論企業(yè)的規(guī)模如何，這都是令人難以承受的前景。自然而言地，許多企業(yè)選擇依靠網(wǎng)絡(luò)保險以尋求心安。

　　網(wǎng)絡(luò)保險可能會賠償勒索軟件攻擊造成的損失，但更重要的一點是，它無法阻止或消除這種損失以及損失造成的連鎖反應(yīng)，比如丟失客戶和客戶信任。不過，教育和透明度的確有助于防止勒索軟件造成的損失，但也會受到網(wǎng)絡(luò)保險政策的限制。

　　隨著勒索軟件威脅的不斷增加，網(wǎng)絡(luò)保險公司的規(guī)定也在隨之增加。近期的Veeam勒索軟件趨勢報告還發(fā)現(xiàn)，超過20%的企業(yè)表示，其網(wǎng)絡(luò)保險公司并未承保勒索軟件攻擊，即使在承保范圍內(nèi)，一些保險公司也規(guī)定企業(yè)不得公開談?wù)撘恍┬孤┦录＿@樣的做法將會導(dǎo)致不幸的結(jié)果——將勒索軟件攻擊這一普遍存在的現(xiàn)實問題隱藏起來。希望在未來幾年，這樣的情況能有所改變。因為只有通過分享經(jīng)驗教訓(xùn)和曾經(jīng)犯過的錯誤來教育他人，我們才能在防御勒索軟件攻擊方面變得越來越加強(qiáng)大。

　　多多談?wù)摾账鬈浖粢彩菫榱私议_它的神秘面紗。盡管勒索軟件的話題在媒體上頻頻出現(xiàn)，但很多人并不知道它們到底是如何展開的。在很多人看來，它似乎像是輕按一下開關(guān)或是像變魔術(shù)一樣的簡單，但實際情況要復(fù)雜的多、也漫長的多。請時刻記住，所有的企業(yè)都會遭受到勒索軟件的攻擊，甚至很多企業(yè)已經(jīng)遭受過，了解整個過程對于提前準(zhǔn)備和成功恢復(fù)至關(guān)重要。

　　勒索軟件就像是一頭看得見的野獸

　　關(guān)于勒索軟件攻擊的討論很少承認(rèn)，其實這就是不良行為者精心策劃出來的一系列事件的高潮。勒索軟件并不是憑空出現(xiàn)的，而是經(jīng)過數(shù)天、數(shù)周、數(shù)月、甚至數(shù)年的鋪墊之后埋下的伏筆。讓我們回過頭來看看幕后發(fā)生了什么。

　　壞人會先從觀察階段開始。他們會簡單地觀察目標(biāo)，收集相關(guān)人員、流程和技術(shù)的信息，從中獲取機(jī)會。就像竊賊首先需要熟悉建筑物出入口的位置和居住人的信息一樣，網(wǎng)絡(luò)犯罪者也想要知道他們要應(yīng)對的是什么樣的情況。

　　之后，就要進(jìn)入建筑大樓了。對于網(wǎng)絡(luò)犯罪者來說，可以通過發(fā)送類似網(wǎng)絡(luò)釣魚的鏈接進(jìn)入到目標(biāo)的基礎(chǔ)設(shè)施中，并建立行動基地。此時，他們?nèi)匀皇请[身的，但卻能造成重大的破壞。攻擊者會在這個階段竊取數(shù)據(jù)，甚至在完全未被發(fā)現(xiàn)的情況下銷毀備份，直到在最后階段啟動勒索軟件攻擊并索要贖金時，他們才會暴露自己的存在。

　　探索這個完整的過程自然是令人不知所措的。因為安全團(tuán)隊要應(yīng)對的不僅是看得見的威脅，還有隱藏在后臺的未知且隱形的敵人。然而，“知識就是力量”這句話一次次被證明是正確的。憑借這些信息，企業(yè)可以定制強(qiáng)大的備份和勒索軟件恢復(fù)策略。

　　不要單憑運氣

　　雖然勒索軟件的攻擊不可避免，但數(shù)據(jù)丟失卻并非必然。事實上，如果采取了正確的預(yù)防措施百分百地恢復(fù)是有可能實現(xiàn)的。這或許聽起來令人難以置信，但只要掌握幾個關(guān)鍵要素，任何企業(yè)都可以制定出如同鐵板一塊的數(shù)據(jù)保護(hù)策略。

　　這包括三個部分。首先，安全團(tuán)隊需要確保擁有不可更改的數(shù)據(jù)副本，這樣黑客便無法以任何方式更改或加密數(shù)據(jù)。然后，安全團(tuán)隊還需要對數(shù)據(jù)進(jìn)行加密，這樣即使數(shù)據(jù)被盜或是被破解，黑客也無法訪問或使用這些數(shù)據(jù)。

　　封鎖要塞的最重要階段就是所謂的3-2-1-1-0備份規(guī)則：至少要保留3份數(shù)據(jù)副本，這樣即使在2臺設(shè)備受到威脅或出現(xiàn)故障時，仍保留有1份額外的副本。三臺設(shè)備發(fā)生故障的可能性要小很多。除此之外，企業(yè)還應(yīng)將這些備份儲存在2種不同類型的介質(zhì)中。例如，1份存儲在內(nèi)部硬盤上，另1份存儲在云端。然后其中1份應(yīng)始終保存在安全的異地位置，另1份離線保存，與主IT基礎(chǔ)設(shè)施要沒有任何聯(lián)系。0的部分是最重要的：備份數(shù)據(jù)中不應(yīng)該有任何錯誤，可以通過定期測試、持續(xù)監(jiān)控和恢復(fù)來確保達(dá)成。

　　如果能遵循這些步驟的指引，當(dāng)勒索軟件攻擊不可避免地發(fā)生時，企業(yè)可以依舊保持冷靜，因為他們知道自己已經(jīng)把黑客拒之門外。

　　底線

　　企業(yè)會在某些時候面臨勒索軟件的攻擊，這是當(dāng)今社會面對的現(xiàn)實。但隨著人們意識的增強(qiáng)，各類準(zhǔn)備工作也在不斷完善。雖然網(wǎng)絡(luò)攻擊總是會帶來混亂，但只要采取正確的措施，就可以讓混亂變得可控。最終，一切也會變得不同。