勒索病毒猛于虎！

2022年，哥斯达黎加国家财政部受到勒索软件攻击，800多台服务器受影响，导致海关控制IT系统瘫痪。为此，哥斯达黎加政府宣布进入紧急状态。

2023年2月，HardBit家族勒索软件2.0版运营者将直接勒索受害者转换为从受害者的保险公司获得勒索赎金，让保险公司承担所有赎金费用。这被称为迄今最诡异的勒索方式。

(资料图片)

2023年3月，英国外包巨头Capita披露，为处理遭遇的勒索软件攻击，预计将花费1500万～2000万英镑。

有分析指出，在勒索病毒的攻击下，超过80%的数据会受到不同程度的影响，相当一部分企业即使支付了赎金，仍会丢失一半数据。有观点认为，只要做好数据备份，即使遭遇攻击也能在事后恢复，从而避免数据损失。但最新的调查显示，93%的网络攻击就是以备份存储为目标，其中75%的攻击成功削弱了受害者的恢复能力。

勒索病毒攻击防不胜防，而且似乎越来越“聪明”，企业能否建立起有效的免疫屏障，守住数据安全的底线呢？

勒索病毒“不讲理”

2017年勒索软件WannaCry在全球范围内的大规模爆发，至今让人记忆犹新。据统计，WannaCry至少造成了约10亿美元的损失，其中工程建设、制造、能源等行业遭受的危害最为严重。也就是从那时起，勒索软件成了网络安全防御的又一个重点。

与其他网络攻击不同，有人将勒索软件攻击形容为“简单粗暴”，虽然技术含量不高，经常以人们常见的邮件、程序木马、网页挂马、服务器入侵等方式传播,目的就是对受害者的文件进行加密，使之无法读取或计算机被锁死而无法正常使用，然后攻击者就可以坐等赎金、坐享其成。

面对勒索病毒这种直接对文件加密的“不讲理”的方式，传统的网络安全防护措施反而有些束手无策，导致受害者往往连讨价还价的余地都没有，只能交付不菲的赎金。

随着勒索病毒攻击常态化，人们在反复的对抗防御实践中不断总结经验，针对勒索病毒攻击，梳理出了一些常规的防御措施，包括不断提升网络安全能力，及时安装病毒库和补丁，并定期进行病毒查杀；合规使用邮件和文件，不要轻易打开未知的邮件和文件；加强对网络流量的监控和漏洞扫描，做好安全审计、日志管理等工作；养成定期备份数据的良好习惯等。

这些准备和防御手段固然能够在一定程度上减少勒索病毒攻击造成的损害。但是随着勒索病毒攻击日益频繁和广泛，并且针对性和破坏力有增无减，企业不能再像以前那样被动地弥补漏洞，而应该站在网络安全与数据安全叠加的高度，根据勒索病毒的特征，结合创新的技术手段，建立全面、立体、多层次的防御体系，有效应对勒索病毒的攻击，减少不必要的损失。

坚守存储这道最后防线

传统的网络安全防御，核心就一个字——“防”，希望通过建立一张密不透风的企业防护“网”，对一切来自外部的攻击进行屏蔽。网络的作用是防止勒索软件入侵，阻断勒索软件扩散，查杀勒索软件。但是在勒索软件入侵后，网络显然对于阻止勒索软件对数据的破坏已经无能为力。

因此，建立一个全方位的数据安全防护体系，守住“存储”这最后一道关卡就显得至关重要。

首先我们要明确，勒索病毒的目标是让数据不可用，进而导致企业应用停摆。从这个角度说，确保数据安全是重中之重。众所周知，数据兼具资源与资产双重属性。在数实融合的大趋势下，数据已经成为企业重要的战略资产。从最外层的网络边界安全防护开始逐层递进，经过网络安全防护、应用安全防护、存储安全防护等的多层加持，这种多层防护体系的目的就是确保最核心的数据安全。

其次，企业应对拥有的数据资产进行摸底，了解哪些是一般性数据，哪些是关乎业务发展的关键数据，并根据数据的价值和重要性等级，实施不同的安全保护措施，既要做到应防尽防，又要随需应变。比如，企业所有的数据都应该做好备份，有备无患；重要的数据要做好容灾，在遭遇攻击或灾难时能够及时恢复；针对最关键、最核心的数据，要采取最高等级的安全保护措施，包括存储到安全的硬件设备上，实现完全隔离等。

最后，从表面看，防御勒索病毒攻击是网络安全的范畴，但实际上，数据安全扮演的是“托底”的角色。正因为如此，不仅传统的安全厂商热衷于探讨如何有效防御勒索病毒，而且许多存储厂商、数据保护厂商也纷纷加入防御勒索病毒的阵营，并且发挥着越来越重要的作用。

存储作为数据的最终载体，可通过机器学习等技术进行勒索识别，并借助安全快照、数据隔离、数据恢复等数据安全能力，实现数据的逻辑和物理防护，对勒索攻击进行精准检测和快速响应，并在遭遇勒索后尽快恢复。存储是夯实数据安全的最后一道防线，也是构建全面防勒索解决方案的不可或缺的一环。

具体来看，在主存储层面，当数据进入生产存储后，凭借存储本身的安全快照、WORM等能力，能够在存储设备内部开辟出一块“干净”区域，确保数据不能被篡改或非法删除；还可以建立一个单独的物理隔离区域，通过Air Gap自动关断控制，将数据复制到隔离区，从而形成更佳的安全保护效果。

在备份层面，备份存储的加密、安全快照、WORM等功能，可以保证存储内部数据的洁净，通过建立隔离区，增强数据的安全性，即使遭受勒索攻击也能快速恢复数据。

有效防范勒索病毒攻击，不仅要有网络层面主动的检测和防御，更要有存储层面固若金汤的数据保护。举例来说，华为存储能够帮助用户打造包括主存储和备份在内的安全防护体系:通过侦测分析识别勒索软件攻击，对生产存储与备份存储进行事前、事中、事后全方位侦测，识别准确率高达99.9%，让病毒“藏不住”；广泛使用WORM文件系统和安全快照技术，防止文件被篡改，让病毒“改不了”；采用Air Gap技术建立单独的物理隔离区域，将生产存储与备份存储的数据复制到隔离区，让数据“看不到”；通过协议加密、生产和备份存储加密、Air Gap复制链路加密、数据和备份副本远程复制传输加密等，保障数据在存储和传输中不发生泄露，让数据“带不走”。

一句话，存储是抵御勒索病毒的最后一道防线。

让安全威胁无所遁形

《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》、《个人信息保护法》等法律法规的陆续出台凸显了数据安全的重要性。毫无疑问，数据安全是企业业务可持续发展的驱动力，同时又是基本保障。

对于企业来说，建立事前防护、事中持续监测、事后快速响应，以及安全加固的全流程安全防护体系，是成功防御勒索病毒攻击的关键所在。

抵御御勒索病毒攻击，是一项系统工程。作为防御主体的企业，需不断增强内部安全管理意识，创新思维和技术，构建全面立体的安全保护体系，从容应对勒索病毒的攻击；其次，个人也要提升数据安全意识，严格执行安全合规的相关规定，避免成为勒索病毒的受害者。

不管包括勒索病毒在内的各种安全威胁如何猖狂肆虐，只要企业的安全意识不松懈，安全防御体系滴水不漏，存储备份稳固可靠，安全威胁就会无所遁形。

原文标题 : “存”之有道，勒索病毒不是事儿