话说安全：把脉勒索软件攻击，我们应如何“破局”？

近年来，勒索软件攻击持续成为热点话题，随着攻击模式愈发成熟，尤其是中招后的难以处置，让业界闻之色变。但勒索软件也并非近乎无解，《话说安全》节目联合腾讯安全与腾讯研究院共同策划“防范勒索软件攻击”系列节目，邀请多位业界知名专家从多维度、多行业一起探讨勒索软件攻击的应对之道。本期主题为《把脉勒索软件攻击，我们应如何“破局”？》。

北京赛博英杰科技有限公司创始人兼董事长 谭晓生

勒索软件在1989年就出现，真正开始大规模传播大约是在2015年之后，尤其是比特币之类的虚拟货币支付方式出现以后。最著名的一次是“WannaCry”勒索蠕虫的传播，造成国内的部分机构受到严重影响。

今年影响比较大的事件是美国石油运输管道以及一个肉类供应商遇到勒索软件攻击。我在2015就认为勒索软件攻击在当时几乎是一种完美的犯罪模式，因为开始的勒索软件攻击是无差别攻击，要的赎金不多，虚拟货币的支付使得追溯困难，而很多人对重要数据的找回有着强烈的付费意识。

现在勒索软件攻开始针对高价值的目标，呈现RaaS（Ransomware-as-a-Service）的趋势，即勒索软件攻击开始供应链化。此外还有一个趋势，之前的勒索软件是对数据进行加密，现在企业开始有了一些防备措施，例如数据备份，遭到勒索后进行数据恢复，而不会支付赎金。但当前由于合规的要求，企业如果造成数据泄露要承担相应的责任和处罚，所以攻击者将曝光受害者的数据库当做一个更大的威胁手段。

中国石油网络安全专家中心主任 刘磊

近年来针对关键基础设施的勒索软件攻击频发，给我国的重要行业特别是关基系统敲响了警钟，勒索软件攻击在今后一段时间对我国会是一个主要的挑战。美国成品油管道运输商科洛尼尔公司受到勒索软件攻击的重要原因，是因为这家公司的信息系统和工控系统没有隔离，同在一张网上，信息系统受攻击导致了工控系统的停摆，造成严重结果。

关基系统最关注的是有国家背景的APT组织，勒索犯罪集团的攻击对国家的重要系统，特别是对关基系统的危害非常大，逐利可能不是勒索软件攻击关基系统的最主要目的。勒索攻击不仅会造成经济利益的损失，甚至可以使企业、国家的信用受到严重的损害。随着勒索攻击的进化和演进，勒索即服务已经把勒索攻击的门槛降得很低。

同时，勒索软件攻击日益APT化，呈现分阶段的攻击链的方式，我们也要针对不同的阶段做相应的防范。应对勒索攻击，首先是强调人的因素，做好不同岗位人员的安全意识培训。其次建设重要信息系统时，就要提前考虑到系统的弹性。最后不管在本地还是云上，对重要的系统都要做好隔离措施。对抗勒索攻击需要从多个层面，从国家主管部门、专业队伍、企业自身、安全厂家各个方面全方位协作对抗，要体系化、整体地去应对勒索攻击，这是根本解决之道。

腾讯安全安全技术中心专家 李铁军

由于经济利益的诱惑，勒索软件攻击短期内仍会愈演愈烈。勒索软件攻击其实就是普通病毒的入侵工具，但勒索攻击能够让企业的业务完全中断，迫使企业必须就范。应对勒索病毒其实是就是如何应对恶意软件，要靠安全厂商不断提升技术、把产品做的更完善。

目前勒索攻击非常明显的趋势是APT化，越来越瞄准高价值目标，针对特大型企业，即高价值的企业。公有云上的勒索案件要明显少于私有云，一是绝大部分的勒索病毒攻击的都是Windows系统，而公有云上的系统是以Linux为主。其次，公有云的系统一般有专业的工程师来做维护，而私有云的系统很多是靠企业自己的工程师来管理，专业能力不足。云上的组件种类多更新快，带来的漏洞问题层出不穷，给勒索软件的防范带来很大压力。

解密产品的成功概率仍比较低，防范勒索软件一是要扫描检查系统是不是存在漏洞，然后去修复漏洞，这是最关键的。此外当主机被入侵之后，会有主动向外扩散的行为，这时要把传播给及时阻断，这样即使发生了意外，也能控制在一个极小的范围。针对大型企业私有云的环境，防范勒索软件攻击有两个核心要点，一个是零信任解决方案，一个是XDR的方式，让企业所有的产品尽可能具备检测和处置的能力。对中小企业，重点要做漏洞的修复，员工安全意识的培训，及时上云以提升防护能力，以及做好数据备份工作。

腾讯研究院产业安全中心主任 翟尤

当前勒索软件攻击态势频繁，给各行各业都带来了很大的影响。为此，腾讯研究院和腾讯安全联合撰写了2021年勒索攻击态势白皮书，重点分析了当前勒索攻击的4个态势，梳理了未来勒索攻击发展的7个趋势，希望通过能够帮助大家认识勒索攻击的特点，同时针对个人用户以及企业用户给出了相应的解决方案。

勒索软件的一个明显特点，是有一定的潜伏期，好让人们去降低安全防范的意识。勒索攻击过去可能是无差别攻击，但现阶段开始针对拥有高质量数据的企业，企业的数据质量越高，被攻击的可能性就会越大。

SaaS化的服务把勒索攻击的门槛进一步的降低，对整个行业的安全防御能力带来更大的挑战。防范勒索攻击没有特效药，对内部人员的安全意识培训是成本最低的防范方式，另外要做好备份工作，以及将安全技术能力前置，在信息系统建设或者规划的前期，就把安全理念放在前边。监管的日益加强也是在保护企业，通过立法倒逼企业去提高数据安全和网络安全的意识，让企业能够提升面对网络攻击的免疫力。