思科（CISCO）前首席执行官Chambers曾经说过：“企业分为两类：一类是已经深受黑客之苦的企业，另一类是还不知道自己已经受到黑客攻击的企业。”在网络威胁愈发猖獗的当下，勒索病毒攻击事件频发，严重危害全球制造业、服务业、教育、医疗、金融等关键基础设施和高价值行业，直接导致企业业务停滞、网络瘫痪、工厂停摆。根据公开调查数据显示，截至2023年10月，全球勒索软件攻击数量同比增长37.75%。根据预测，2024年全球网络犯罪造成的损失有望首次突破10万亿美元大关达到惊人的10.5万亿美元。

勒索软件作为一种恶意软件，通过加密数据，限制受害者访问关键数据，直至受害者向攻击者支付赎金。面对日益加剧的勒索攻击事件，企业往往需要大量的安全精力和财力投入才能预防和检测勒索软件或其他攻击事件，如何进行威胁检测成为企业风险管理的关键棋。接下来，我们一起思索一下为什么有些技术性保护方法仍会留下隐患。

防病毒软件作为电脑防御系统的重要组成，能够帮助用户防范有害病毒和恶意软件侵害。但是值得注意的是，防病毒软件是可以被绕开的，甚至攻击者可以利用防病毒软件的局限性混淆恶意软件，使得防病毒软件无法扫描识别。此外，防病毒软件只对数据库中存储的已知恶意软件的侵害，在应对新病毒时表现不佳，且无法应对新型安全威胁。

每个企业都应该有自己较为完备的灾难恢复计划，备份软件有助于确保业务连续性。有报告显示，勒索软件团体在实施加密之前，会主动搜索企业的备份系统，通过将备份系统锁住从而在谈判中能够争取更高的赎金。也有网络攻击者将恶意文件植入备份系统中，当企业恢复系统后就会触发恶意文件。此外，新一代的无加密（Encryptionless）勒索攻击相比于传统勒索攻击，不再以加密受害者文件为主要手段，反而专注于窃取敏感数据作为勒索筹码，传统的文件恢复已不再适用于无加密勒索攻击的防护。

向攻击者支付赎金有可能会取回加密的数据，但这不是解决问题的根本办法。支付赎金并不能保证能获取完整的密钥，并且解密大量数据所花费的时间会使得企业在一段时间内陷入停摆，严重影响企业的正常运行。即使后续数据系统正常运行，也可能存在尚未解决的漏洞和后门敞开，给网络攻击者提供了再次发动网络攻击的可能性。此外，如果支付一次赎金，攻击者便会知道我们在遇到类似勒索时可能会再次支付，这会将自己确立为未来攻击的潜在有利可图的目标。

面对愈演愈烈的勒索攻击，监管部门也是一剑封喉地指出了问题的本质，即大部分的勒索攻击是利用了高危漏洞、高危端口、弱口令（即“两高一弱”）渗透到企业并进行勒索攻击结果的达成。

那么，如何有效减轻勒索事件的发生？

1、提高使用者的防勒索安全意识。勒索病毒的攻击通常是从恶意邮件开始，应当提高使用者的安全意识，通过定期培训等方式引导使用者学会如何分辨诸如勒索病毒、钓鱼等网络威胁手段。

2、定期更新。保持程序及操作系统最新有助于防御恶意软件，让勒索团体更难利用系统中的漏洞。

3、备份。备份虽然不能完全消灭勒索带来的损失，但是可以极大减少被勒索带来的损失，减少由于勒索病毒加密数据、窃取数据引发的业务中断影响。

4、有效地检测勒索病毒。未来智安针对“两高一弱”问题，推出了未来智安XDR专项场景功能，并且引入腾讯安全玄武实验室的攻防实战经验和技术，能实现对WannaCry、Petya/NotPetya等传统勒索软件，以及如Lockbit、Darkside等Top20流行勒索软件做到接近100%防护率。同时，平台配备未来智安自研的智能化威胁综合分析引擎，能有效提取上下文数据，对攻击事件进行挖掘和梳理，完整溯源攻击事件，整体提升检出效率，最终通过自动化编排技术（SOAR）对研判得出的威胁事件进行快速、自动化的响应、处置。

很多拥有严谨网络安全计划的企业可能也会因为一些容易忽视的风险点而成为勒索事件中的受害者，当应对勒索软件时，保持谨慎和使用优秀的安全软件永远是正确步骤。未来智安在威胁检测与分析、自动化响应和处置等方面有着丰富的经验，同时还拥有具备深厚网络安全技术知识的专家，提供全天候的技术支持和咨询服务，帮助企业构建持续监测和高效处置的勒索病毒防护体系，实现统一、高效的安全运营。

注：本文涉及的报告及数据来源于网络，如有侵权，请联系删除，谢谢。