关于勒索攻击，绝大多数企业存在的三个认知误区

网络空间，有一个挥之不去的“幽灵”，它的名字就叫勒索攻击。

近年来，企业遭受勒索攻击的事件被频频曝光。就在不久前，国家安全部曝光了一起境外黑客组织对我国某高新科技企业实施勒索攻击的案例，该企业的相关信息化系统及数据被加密锁定，生产经营活动被迫停止。国家安全部称，日益猖獗的境外网络勒索攻击，已成为我国网络安全“公害”。而国内外各种报告也显示，勒索攻击日益泛滥，已经成为数字时代的流行病。

勒索攻击的三大认知误区

然而，对于国内绝大多数的中小企业而言，对勒索攻击仍然是知之甚少，普遍存在着几个常见认知误区：

误区1：勒索攻击只爱“吃大户”，不屑去勒索中小企业

真相：被勒索攻击企业中，中小企业占比达75%

很多人对于勒索攻击的了解来自于媒体报道，这就形成一个假象：中招勒索攻击的多是大型企业机构，中小企业似乎不是攻击者的青睐对象。这其实是一个典型的幸存者偏差误区，因为中小企业基数庞大，被勒索攻击的频次更高，但媒体往往优先选择大型企业遭到勒索攻击作为报道对象。

美国司法部的报告中显示，2021年被勒索病毒攻击的企业中，中小企业占比达到了惊人的75%。可见，随着勒索服务的成熟，攻击者不再只盯着大企业，形成了追求大企业的高赎金，追究小企业的高数量、大小通吃的局面。

误区2：勒索攻击只是偶发性事件，自己能侥幸躲过去

真相：2031年每2秒将发生一次勒索攻击

这种认知误区主要是典型侥幸心理，对于勒索攻击寄希望于亡羊补牢、事后补救。而真相则是：勒索团伙已经形成规模经济，频次越来越高，范围越来越广。

研究表明，勒索团伙采用撒网式攻击，中小企业更容易中招。从数量上看，勒索软件攻击2022 年同比增长13%，增幅超过过去五年的总和；从频率来看：2022年每11秒发生一次勒索攻击；2031 年，每2秒将发生一次勒索攻击；而从赎金角度：2023 年全球支付赎金达 11 亿美元，同比增长约100%，平均勒索赎金达154 万美元，同比激增接近100%。

误区3：勒索攻击只要交赎金，就能息事宁人了

真相：交赎金如同抱薪救火，薪不尽，火不灭

很多中小企业因为缺少专门安全人员，遇到勒索攻击之后大都束手无策，只能选择乖乖交钱。而且九成以上的企业因为害怕对自己的品牌造成伤害，都在支付赎金以后选择了静默。

然而，支付了巨额赎金，就能够息事宁人、花钱买平安么？答案是No！

根据市场调查机构 Censuswide 公布的数据，大约 80%选择支付赎金的组织会遭到第二次攻击，其中 46% 被认为是来自同一个团伙。一家在勒索软件事件后支付了数百万美元的公司，在交出加密货币后的两周内，又被同一黑客攻击了。

而且，即使受害者支付了赎金以重新获得其加密文件的访问权，也经常出现问题。46%的支付者发现一些数据被破坏，3%的人根本没有拿回他们的数据。

正如《六国论》中所言，“以地事秦，犹抱薪救火，薪不尽，火不灭。”给勒索团伙缴纳赎金也是这个道理，只会助长对方的嚣张气焰，引来频次和烈度更高的勒索攻击。

勒索常见攻击10大手段

恶意电子邮件附件：攻击者通过发送看似合法的电子邮件，附件中包含勒索软件。这些邮件可能会伪装成发票、快递通知、简历、办公文档等，诱导用户打开附件。

恶意网站和广告：用户访问被感染的网站或点击恶意广告后，可能会触发勒索软件的下载。这种攻击通常利用浏览器或插件的漏洞来安装恶意软件。

软件漏洞利用：攻击者利用未打补丁的软件或操作系统中的安全漏洞来安装勒索软件。这些漏洞可能存在于广泛使用的软件中，如Java、Flash Player、Adobe Reader等。

社会工程：通过欺骗用户下载或执行文件来传播勒索软件。社会工程攻击可能包括假冒技术支持、诱使用户点击链接或下载文件等。

远程桌面协议（RDP）攻击：攻击者通过暴力破解或利用弱密码远程登录受害者的计算机，然后手动安装勒索软件。

僵尸网络和恶意下载器：勒索软件通过其他恶意软件（如僵尸网络或下载器）传播，这些恶意软件已经在受害者的系统上占有一席之地。

受损的或假冒的软件更新：用户下载并安装看似合法的软件更新，实际上是勒索软件。这些更新可能会通过假冒的软件更新程序或通过破解软件的非法渠道传播。

网络钓鱼：通过发送看似来自可信来源的电子邮件，诱导用户点击链接或打开附件，从而下载勒索软件。

USB驱动器和外部设备：受感染的USB驱动器或其他外部存储设备可以在插入新系统时自动执行勒索软件。

供应链攻击：攻击者通过破坏软件供应链中的某个环节来传播勒索软件，例如感染合法软件的分发服务器。

“德迅云安全”解决中小企业难题

勒索攻击迅猛，是毋庸置疑的事实，然而中小企业普遍存在两大痛点：一没钱，安全投入少，基础的终端和边界防护能力都不足；二没人，也就不知道该如何构建和提高安全防护能力，更不知道该如何解决出现的安全问题。

一、网络安全方面的措施

强化网络安全防护，实施防火墙、入侵检测和入侵防御系统等，阻止未经授权的访问和恶意攻击。

加密通信，使用加密协议和虚拟专用网络（VPN）等方式，确保数据在传输过程中的安全性和完整性。

强化访问控制，采用身份验证、多因素身份验证和访问权限管理等措施，限制数据的访问权限。

以上建议客户考虑高防服务器搭配德迅卫士使用，有效解决传统专注防御手段的被动处境，为系统添加强大的实时监控和响应能力，帮助企业有效预测风险，精准感知威胁，提升响应效率，保障企业安全的最后一公里。

二、存储安全方面的措施

数据备份和恢复，定期备份重要数据，并确保备份数据的完整性和可用性，以便在遭受勒索软件攻击时能够及时恢复数据。

存储加密，对存储在系统中的敏感数据进行加密保护，以防止未经授权的访问。

强化身份认证和访问控制，限制对存储设备的物理和逻辑访问，并确保只有授权人员可以进行操作。

设置安全策略，快照可防范数据误删和修改，以及防止勒索病毒篡改数据，若文件发生删除或修改时将自动产生快照文件，可从快照恢复原有文件。

设置容灾策略，建立容灾环境，设置双中心数据复制备份策略，主机房端处于可读可写状态，备机房端处于不可读写不可见状态。

以上建议客户考虑德迅云服务器，提供自动快照策略，实现无人值守的自动化数据备份，减轻运维部门工作负担，同时快照灵活易用，性能影响小，用户业务无感知，随时支持数据快照备份。支持秒级创建/回滚的极速快照和快照一致性组，以及云盘有多个快照额度，为客户数据提供更长的保护周期和更细的保护粒度。

三、应用安全方面的措施

安全审计和访问控制，实施严格的访问控制机制，限制用户对系统和数据的访问权限，并监测和审计用户的行为。确保只有授权的用户可以访问敏感数据，并及时发现异常活动。

强化身份认证，采用强密码策略，鼓励用户使用复杂的密码，并定期更换密码。可以考虑使用多因素身份验证，如指纹识别、令牌或短信验证码等，以增加身份认证的安全性。

安全漏洞管理，定期进行漏洞扫描和安全评估，及时修补和更新应用系统中的漏洞。确保应用程序和相关组件的安全性，减少攻击者利用已知漏洞进行入侵的机会。

强化数据加密，对敏感数据进行加密保护，包括数据在传输过程中和存储过程中的加密。使用强加密算法和安全协议，防止未经授权的访问和数据泄露。

定期备份和灾难恢复：建立完善的数据备份和恢复机制，定期备份应用系统和数据，并将备份数据存储在离线和安全的地方。确保备份数据的完整性和可用性，以便在遭受勒索病毒攻击时能够及时恢复数据。

保持应用系统的更新和升级：及时安装应用程序和操作系统的安全补丁和更新，修复已知的漏洞和弱点，以减少遭受勒索病毒攻击的风险。

以上建议用户考虑漏洞扫描服务 VSS（自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形）以及搭配日记审计（对网络日志、安全日志、主机日志和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件；为运维提供全局的视角，一站式提供数据收集、清洗、分析、可视化和告警功能）