近日，國內某知名財務軟件0day漏洞或被大規模勒索利用。短短一天時間，確認來自於同個勒索病毒的攻擊案例已超2000餘例，且數量正呈不斷上升趨勢。受災企業被要求向攻擊者支付0.2BTC（約合人民幣2.8萬元），雖然贖金與“傳統”的勒索病毒贖金相比金額較低，但是足以影響到受災企業的正常運營狀態。

如此大規模的勒索病毒攻擊，瞬間在安全業界激起千層浪，引發了廣泛的社會關注。自2017年“WannaCry”勒索事件爆發以來，全球各國都已極大提高了大眾對勒索病毒的重視程度，但勒索病毒依舊防不勝防，典型勒索事件頻發。

為什麼防禦勒索病毒這麼難？勒索攻擊能不能被提前發現？如果企業不幸遭遇了勒索攻擊，該如何應對？基於這些問題，瑞數信息對勒索攻擊的發展態勢、攻擊手段、應對策略進行了深度剖析。

勒索攻擊愈演愈烈呈現五大新趨勢

近年來，勒索病毒攻擊席捲全球，有互聯網的地方就存在勒索攻擊。隨著數字化進程的加快，勒索攻擊已經成為當下網絡安全的主要威脅，有組織性的黑客攻擊目標不再僅是核心數據竊取，醫療、政府、工業製造、金融、能源、通信等行業的關鍵信息基礎設施成為黑客攻擊新目標，影響範圍仍在不斷擴大。與此同時，全球網絡攻防對抗的強度、頻率、規模和影響力不斷升級。

勒索病毒攻擊經過數年的演變升級，如今的勒索攻擊手段日趨成熟，攻擊目標越發明確，模式多種多樣，攻擊愈發隱蔽，更加難以防範，危害也日益增大。隨著勒索攻擊專業化、團隊化運作，勒索攻擊逐漸發展出五大新趨勢。

l  趨勢一：供應鏈成為勒索攻擊重要的切入點

一個基礎性漏洞很可能將整個供應鏈的程序暴露在風險中，當供應鏈攻擊和勒索軟件攻擊被一起使用時，會造成更大的危害，勒索對象正在從供應商延伸到其客戶群體。

l  趨勢二：多重勒索模式引發數據洩露風險

攻擊者不止是對數據進行加密後勒索受害企業，還會竊取數據再次勒索企業，通過雙重勒索、多重勒索的模式，使勒索的利益最大化。

l  趨勢三：新一代勒索攻擊採用low
and slow（高隱蔽且高持久化）的攻擊手法

攻擊者在竊取數據過程中緩慢加密數據，攻擊隱藏性加強，攻擊行為不易發現，使得發現威脅和恢復數據的難度大幅提升。

l  趋势四：勒索软件与“挖矿”木马相结合

攻击者会在攻击过程中将二者同时实施，受害企业的设备不仅会遭受勒索攻击，还会被攻击者用来挖矿，除了电力能耗增大、设备老化加速、经济损失严重之外，攻击者还会留下后门恶意窃取机密信息，直接引发或变相滋生各种网络犯罪。

l  趋势五：勒索病毒扩散渠道转向web应用漏洞

随着攻击技术迭代升级，攻击者开始从系统漏洞转向应用漏洞挖掘，针对特定应用定制高级攻击工具，定向实施应用漏洞攻击，成为新型勒索攻击手段。

传统技术瓶颈凸显 反勒索亟需新思路

为了对抗勒索攻击，市面上出现了很多反勒索安全防护产品或数据备份产品。即便如此，当新型的勒索攻击手段出现时，依然无法保护企业的数据安全。那么，现有的安全防护技术到底存在哪些不足？

瑞数信息表示，现有反勒索安全技术面对新型勒索攻击最大的两个防护弱点分别是应用漏洞与响应速度。这可以从应用安全和数据恢复两个角度来看，前者是作为应用攻击检测和响应的防御手段，后者是作为数据备份、业务恢复的手段，但这两种技术不能停留在传统技术思路上，否则无法对抗不断升级的勒索攻击。

l  传统WAF

以传统WAF为代表的应用攻击防护产品，是基于固定的规则和特征库，无法防护利用自动化攻击技术隐蔽恶意攻击特征并不断变形的勒索软件，更无法防御利用0day漏洞的勒索攻击。

l  传统灾备系统

传统备份系统是定期做全量数据备份，但并不能完全识别备份数据是否健康、是否可恢复、是否完整，一旦原始数据被感染，备份数据同样会被感染，导致数据无法使用。传统容灾系统同样没有办法应对勒索软件的攻击，一旦主系统被病毒感染破坏，备用系统数据同步复制，所有的容灾系统都会被病毒感染。同时，新型勒索攻击采用low and slow的攻击策略，被加密的数据跨越多个备份时点，运维人员难以确认可以用于恢复干净数据的时点，大幅增加了恢复工作的挑战与难度。

若企业仅在被勒索攻击后通过灾备系统恢复了数据，但未对数据内容的完整性进行验证，被勒索软件加密的“脏数据”将会影响系统的正常运行，造成二次伤害，再度打击企业的商誉。此外，传统备份系统恢复数据时间较长，从而无法保证业务的连续性。

对抗勒索病毒 关键数据备份是“最后的防线”

当现有的安全防护手段不够有效时，企业面对勒索攻击是否就只能“任人拿捏”？

事实上，反勒索安全防护需要全方位考虑，如：做好数据备份与灾难恢复方案；定期检查漏洞、及时更新安全补丁；定期更换登录口令；减少互联网暴露面；加强网络边界入侵防范与管理；提高安全意识，都是企业面对勒索攻击威胁需要采取的必要措施。

勒索与其他病毒和攻击有一个重要的差别点在于，一旦遭受勒索，数据和系统通常难以解锁，因此反勒索除了关注勒索病毒的预防、攻击检测外，更加依赖应急的高效和高安全、高质量的数据恢复，成为最关键的最后一道防线。

从技术的角度看，采用创新的应用安全防护技术和数据备份技术，能够为企业打造更坚固的数据反勒索防线。目前，瑞数“动态应用防护系统Botgate”＋ “数据安全检测与应急响应系统DDR”的组合方案，正是反勒索创新技术的典型代表。

（一）动态应用防护系统Botgate

作为新一代WAF明星产品，瑞数Botgate广为业界所熟知，以“动态防护+AI”技术为核心，通过动态封装、动态验证、动态混淆、动态令牌等创新技术，能够实现从用户端到服务器端的全方位主动防护。在高效识别各类已知与未知攻击的同时，也弥补了传统WAF和杀毒软件无法对未知恶意软件特征进行识别的短板。

由于瑞数Botgate不依赖固定规则和特征进行防护，而是通过独有的“动态防护+AI”技术，在漏洞发布之前就能够有效识别0day攻击，提前可以对未知0day进行拦截，有效防御利用0day漏洞的勒索攻击。针对0day爆发后的Webshell工具攻击，瑞数Botgate也能够通过动态技术对Webshell的访问进行阻断，无论Webshell如何升级，都能够有效一招制敌，防止攻击者通过Webshell植入勒索攻击代码。

（二）数据安全检测与应急响应系统DDR

一旦企业应用或系统被勒索软件破防，快速恢复企业核心数据，保持业务的正常运转，是企业反勒索的关键。瑞数DDR系统定位于企业核心数据备份、快速恢复备份数据，正是数据反勒索“最后的防线”。

在新安全形势下，需要支持原始格式的数据安全底座，瑞数DDR系统作为新一代数据安全底座，能够有效实现数据反勒索的三大目标：健康体检、勒索监测、快速恢复。

l  目标一：健康体检，事前数据风险管理

盘点数据资产与排查系统隐患是做好数据安全的第一步。瑞数DDR基于创新的“深度文件内容检测”技术，能够高效识别企业核心备份数据的数据类型，生成数据完整性、敏感数据分布及权限审计等报告，从而全面掌控企业核心备份数据资产的管控现状。此外，更通过漏洞检测与配置核查等机制，排查系统隐患，保护备份数据资产的安全。

l  目标二：勒索监测，事中智能威胁感知

瑞数DDR系统基于独创的“离线智能深度检测引擎”，可以对攻击过程中损毁的文件进行安全检测，检测出被勒索软件加密的文件，找出干净可用的数据，帮助企业快速恢复IT系统。

传统备份系统并不会对备份数据的好坏进行检测，以至于备份数据中可能因勒索软件的攻击，存在大量被损毁的文件，恢复后的系统仍无法正常使用。瑞数信息可以在备份过程中发现损毁或异常的文件或数据，找到被勒索病毒感染的文件及感染时间点，协助安全管理人员快速移除勒索软件并对系统进行加固。

这种技术来源于瑞数信息独创的文件与数据库动态变化追踪技术，通过对比文件名、文件类型、文件大小、文件信息熵、文件相似度等指标的变化，从而识别出被勒索软件加密的可疑文件。利用信息熵+AI技术进行安全检测，正是瑞数信息的独门绝技，检测准确性可高达98%以上。

l  目标三：快速恢复，事后快速响应恢复

基于传统备份系统，数据合并费时必须将备份格式转化生产数据格式，数据必须移动拷贝才能恢复，恢复时间往往需要数天甚至数周。基于瑞数独创的智能快速恢复引擎，无论多大数据量，瑞数DDR系统都能够自动生成可直接挂载的干净磁盘镜像，达到分钟级的数据恢复，将业务中断的时间降到最低。

此外，瑞数DDR还能够评估评估攻击造成的损害，如：哪些数据被攻击了？受影响的数据是如何分布的？哪些用户受到影响？何时发生的？造成的损害和影响有多大？最新的干净备份是哪个版本？从而能够快速用最新的干净备份恢复受损的数据，并自动移除勒索软件产生的勒索说明文件。

相比传统数据恢复方案，一旦生产数据被加密，备份数据也很大可能被加密，瑞数DDR最大的优势在于防批量数据破坏、安全隔离备份数据、分钟级快速恢复、生产环境低干扰、自动化可编排运维，能够很好地突破传统灾备系统面对勒索攻击威胁时的瓶颈。一旦被勒索病毒感染，瑞数DDR能够第一时间对备份增量数据进行分析，发现被加密的数据，从系统中找到未加密的数据进行恢复，最大的数据丢失风险仅为当日增量数据中被加密的部分，对企业业务连续性影响较小。

结语

在勒索攻击愈演愈烈的今天，传统安全、备份与灾备机制面对新兴的数据安全威胁已显得捉襟见肘，新一代数据反勒索机制的建设已刻不容缓。以瑞数“动态应用防护系统Botgate”＋ “数据安全检测与应急响应系统DDR”为代表的数据反勒索方案，将基于创新的动态安全+AI技术，融合存储技术，为各行业用户筑起坚固的安全防线。