应对勒索攻击应该怎么办，妥协是最优解，还是下下策？

自1989年首次出现以来，勒索软件经历了三十多年的发展，已经成为全球网络空间安全面临的重大威胁和挑战。在今年，其攻击声势和复杂程度都在进一步变严峻。

根据全球各机构发布的相关调研报告，VMware ESXi、GoAnywhere MFT、MOVEIT等漏洞的曝出导致了广泛的供应链威胁，全球的政府公共部门、教育医疗机构、金融机构、关基单位、商业组织等重点行业都惨遭勒索组织的毒手。除了重大软件漏洞的利用，勒索软件攻击过程正变得越来越复杂，比如结合了人工智能等数字化新技术不断增强了新的攻击面，比如采用新的编程语言逐渐具备了覆盖Linux、VMwareESXi、MacOS等跨平台攻击能力，比如多重勒索模式盛行让受害者陷入被勒索攻击、数据遭窃取、进而更易被攻击的恶性循环。

遗憾的是，虽然攻击愈加“高端”，但勒索软件即服务RaaS在暗网已成规模，被快速出售的工具和服务，甚至被公开流转的源码和构建器，吸纳衍生出更多的新型犯罪团伙，让勒索组织/家族的生态更加庞大、猖獗。从结果来看，便是勒索攻击事件爆发的数量和索要/支付的赎金都呈现明显上升趋势。仅2023年上半年，全球披露的勒索攻击事件达2000多次，同比去年有较大增长。有机构通过监测近150个网络犯罪集团发现，平均每天至少有10家企业遭受勒索软件攻击。

遭遇勒索攻击后，与绑匪硬刚到底同样需要花费巨大的精力和财力来恢复运营，选择支付赎金自然成为部分受害机构的“便利”选择。虽然监管机构和舆论环境一直不支持花钱消灾，但在实际实施中，选择支付赎金的机构仍不在少数，知名机构的妥协也容易让更多的潜在受害者效仿。

但是，一票的损失就可以换来确切的、长久的安稳了吗？

调查数据显示，首先，付费并不能保证运营会恢复正常，46% 的人在付款后重新访问了他们的数据，但部分或全部数据已损坏，25%的受访者表示，勒索软件攻击导致他们的组织关闭。更令人不安的是，大约80%选择支付赎金的组织会遭到第二次攻击，近一半的人表示他们认为是同一个团伙所为。

对于勒索组织来说，付费传递出商业模式的可行性，只会鼓励更多攻击从而加剧问题。而且盈利将帮助其提升技术和运营，后续的攻击不仅更多而且更难以抗衡，无疑是助长勒索市场的进一步扩大，而往往正是这些选择支付赎金的机构，以及同行业或同地区的机构，会成为首当其冲的受害者。

此外，赎金只是勒索攻击事件成本中最为直观外显的一部分而已，无论是否选择付款，更多的隐藏成本和影响都是巨大、持久、必然的。包括但不限于：

一、攻击期间和之后的停机成本

勒索软件攻击会直接影响业务的正常运营。而机构用于应对攻击所花费的时间和精力，比如查找问题来源、溯源攻击、应对监管等等，势必会耽误原本计划要完成的工作任务，造成其他业务和生产力的损失成本，同时极有可能导致失去商业机会。

二、响应、恢复和重新运营成本

很少有机构在日常配备足够庞大专业的安全运营团队，遭遇攻击后，往往需要聘请外部专家和顾问来帮助恢复生产。根据恶意软件类型的不同，可能还需要升级或更换技术，此举也将产生相应的成本。此外，数据备份的质量也是非常重要的因素，亦或者攻击者有能力删除或加密备份文件，那么成本将会更多。总的来说，系统瘫痪的时间越长，造成的损失就会越大。

三、数据泄露成本

双重及多重勒索的流行，让受害机构不仅面临系统被锁，还面临敏感数据被窃取外泄的风险。这就意味着，又将增添一项有关泄露通知、危机公关以及潜在监管或法律制裁的成本。此外，数据泄露还可能会引发与法律和诉讼相关的费用，以及接受监管审查和完成法律合规性要求相关的成本等。

四、供应链成本

最容易忽视的一项成本是勒索软件攻击可能会对供应商和其他第三方造成负面影响。在这些与直接受害机构存在合作和供应关系的企业中，有些遭受了生产力损失，而有些遭受了财务损失。

五、声誉成本

声誉损失是最难衡量和评估的，被勒索被曝光塑造的是该机构没有承担起安全保障义务的形象，无论是安全意愿不足或能力不足，都是非常负面的印象，客户可能会很难再次信任并选择该机构，对品牌和未来业务都将产生难以挽回的深远影响。

所以，最好的办法是建设安全，而不是牺牲安全，赎金本身是损失的同时，支付赎金并不意味着不会造成其他损失。防御勒索软件攻击，贯穿事前、事中、事后不同时间段，机构既需要能够自救和及时响应，也需要重视日常的安全建设和运营。以下几点实用建议可以参考下：

一、重视常态化安全运营

1）系统、应用相关的用户杜绝使用弱口令，同时，应该使用高复杂强度的密码；

2）定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患；

渗透测试是模拟黑客攻击对业务系统进行安全性测试，比黑客更早发现可导致企业数据泄露、资产受损、数据被篡改等漏洞，并协助企业进行修复。主要的服务内容在于：

①安全性漏洞挖掘：找出应用中存在的安全漏洞。安全应用检测是对传统安全弱点的串联并形成路径，最终通过路径式的利用而达到模拟入侵的效果。发掘应用中影响业务正常运行、导致敏感信息泄露、造成现金和信誉损失的等的漏洞。

②漏洞修复方案：渗透测试目的是防御，故发现漏洞后，修复是关键。安全专家针对漏洞产生的原因进行分析，提出修复建议，以防御恶意攻击者的攻击。

③回归测试：漏洞修复后，对修复方案和结果进行有效性评估，分析修复方案的有损打击和误打击风险，验证漏洞修复结果。汇总漏洞修复方案评估结果，标注漏洞修复结果，更新并发送测试报告。

3）加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作。

二、打造体系化与细粒度的安全防护，加强溯源能力

1）部署全流量监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据；

2）部署高级威胁监测设备；比如说使用德迅云图（威胁检测与分析）

依赖云端强大的基础数据收集系统 ，结合自主研发的多款、累计数十种提取方法的核心情报提取系统 ，快速且自动化的生产高覆盖度、高准确度、上下文丰富的情报数据。为各种不同类型的业务提供独特的价值。主要的业务价值在于：

①办公网终端/生产网及DMZ区服务器的威胁发现和失陷检测：精准发现内网的被控主机，包括挖矿、勒索、后门、APT等，并提供佐证失陷的样本取证信息、处置建议等，促进企业快速响应处置风险

②SOC/SIEM等系统威胁检测能力增强：将日志中的域名/IP提取出来通过分析，发现可疑时间，并结合人工分析通过内部工单系统进行日常运营，增强威胁发现和检测能力

③Web/邮件/SSH等公网开放的应用或者服务的外放访问IP的风险识别：精准发现相关IP是否属于扫描、撞库、漏洞利用、僵尸网络等风险，同时进一步提供该IP的基础信息，如代理、网关出口、CDN、移动基站等

④企业资产发现：通过高级查询，快速发现企业的域名、子域名、IP等资产的信息变动情况，管控资产暴露产生的数据泄露、服务暴露等相关风险

⑤内外部安全事件的关联拓线及溯源追踪：对内外部安全事件中的域名/IP/Hash进行关联分析，通过域名的PassiveDNS以及Whois等数据，发现背后攻击者的姓名、邮箱、手机号码等真实或者虚拟身份

3）禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用白名单的方式，在出口防火墙加入相关策略，对主动连接IP范围进行限制；

4）有效加强访问控制ACL策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口；

5）配置并开启相关关键系统、应用日志，对系统日志进行定期异地归档、备份，避免在攻击行为发生时，导致无法对攻击途径、行为进行溯源等；

6）重点建议在服务器上部署安全加固软件，并安装相应的防病毒软件或部署防病毒网关，及时对病毒库进行更新，并且定期进行全面扫描。

三、提升勒索攻击发生后的快速响应、处置能力

1）对于已中招的服务器应下线隔离，使用杀毒软件对中毒服务器进行全盘查杀，避免病毒的残留；

2）对于未中招的服务器，在网络边界防火墙上全局关闭端口只对特定IP开放，远程连接类访问只允许白名单内IP连接；

3）每台服务器设置唯一口令，且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构。

在强实操性的安全运维工作之外，安全供应商也一直致力于构建更全面更智能的产品以应对勒索攻击。不同于传统的反病毒工具，基于如今勒索攻击起点及过程的百变花招，勒索家族衍生的复杂变种，以及与数据资产泄露危害的强绑定，反勒索攻击工具也在进化升级。