Sophos的 “2024 年勒索软件状况”调查报告显示，2024 年勒索软件攻击要求的平均赎金已飙升至约 273 万美元，比上一年增加了近 100 万美元。另据ENISA  2024 年威胁态势报告，勒索软件占网络安全事件的很大一部分，已报告事件超过 1.1 万起。更大的目标、更多的赎金、更复杂的攻击手段，勒索攻击威胁日益严峻复杂。然而，勒索攻击防不甚防。企业在构筑网络安全城堡的同时，恐怕还要改变原有的防护思维。那么，企业究竟该如何在这片波涛汹涌的网络海洋中筑牢防线，抵御勒索软件攻击的惊涛骇浪呢？

本期《牛人访谈》邀请到瑞数信息CTO马蔚彦，围绕我国勒索攻击的现状、面临的挑战，以及如何构建新一代反勒索防御体系进行了深入的讨论，期望能够帮助企业更好地应对愈演愈烈的勒索攻击安全威胁。

马蔚彦  瑞数信息 CTO

负责管理瑞数信息公司技术支持团队，规划并制定公司产品技术发展策略和公司经营战略。马蔚彦女士在信息安全技术领域有着超过20年的丰富经验，是最早从事信息安全领域技术开发及管理的专家之一，主导并负责国内多个大型企业的信息安全架构设计、规划及解决方案的顾问咨询工作，参与设计、开发了若干国家重大IT工程项目，广泛涉猎运营商、能源、金融、政府等行业。

01

安全牛

当前，勒索攻击威胁日益复杂，特别是勒索即服务的出现大大降低了勒索软件的使用门槛。在您看来，现在勒索软件攻击呈现什么样的新特点?

马蔚彦

现在勒索攻击呈现出一些新特征，具体表现在以下几点：

勒索攻击日益呈现出定制化的趋势。攻击者的目标直指资金雄厚、防御手段完备的大型企业。攻击者为达成目的，无所不用其极，致使企业原有的防御措施失效。这种定制化攻击使得传统的查杀工具难以奏效，就像早期的新冠病毒一般，没有有效的应对手段，只能通过及时检测、阻断传播路径来降低损失。

攻击手段更加多样化。除传统的邮件感染终端等方式外，勒索攻击的供给路径愈发多样。外部服务器、API 等都可能成为新的攻击入口，企业边界防御和端点安全面临严峻挑战。此外，社会工程学手段也被广泛应用。攻击者通过策反内部人员或外包厂商，提供定制勒索病毒让内部人员带入企业内部传播，由外围的专业黑客团队负责其他技术工作。以前我们认为勒索攻击主要是外部入侵，但对大型企业来说，现在更需要防范内部人员被策反。

攻击深度不断逼近核心数据。以前攻击范围多在企业边界，而现在在众多案例中发现，攻击深度已逼近核心数据区域。企业核心数据遭受加密或窃取的风险不断增加，不仅对企业业务连续性造成严重影响，还可能因数据泄露导致企业声誉受损、经济利益遭受巨大损失。大型企业在面对此类攻击时，即便拥有丰富的资源和技术储备，也往往陷入困境。这也解释了为什么一些大企业遭受攻击后会很快支付赎金。

02

安全牛

这对企业的安全防护带来了哪些挑战? 您认为企业在勒索防护方面还存在哪些误区?

马蔚彦

勒索攻击的变化就像现代战争的变化：以前是从边界不断进攻，现在更像特种部队直接空降到核心区域。

这就要求企业必须改变传统的边界防护思维。

我们过去的防护主要集中在边界，如端点、网络层、互联网出口等，目的是减少暴露面、提高边界防护能力。但是针对勒索攻击，如果我们仍然主要还是从外部攻击角度来防护是不够的，需要强化围绕核心数据的防护体系建设，但企业针对核心数据的防护普遍缺失。

因此，企业要建立新的防护体系，新的防护体系要同时考虑边界防护和内部核心区域的防护。

目前，多数企业在遭受勒索攻击后才开始重视安全防护，采取亡羊补牢式的措施，但往往局限于单一攻击路径的加固，缺乏整体规划。所以说，虽然现在部分企业已开始关注数据安全，但在实际操作中，仍面临诸多问题。这些问题主要包括以下几点：

责任划分不清：很多企业缺乏针对勒索攻击的跨部门协作机制。传统的网络安全主要关注网络层面，而勒索攻击本质是数据安全问题，而数据的安全防护往往不在安全部门职责范围内，系统部门认为这是安全事件也不会考虑，由此形成了一个管理空白。此外，在攻击发生后，还需要有公关、合规等更多的部门加入才能更好地应对。

观念意识滞后：许多企业仍将勒索攻击视为单纯的外部攻击，忽视内部威胁。同时，企业往往缺乏底线思维，未制定有效的应对预案，一旦攻击发生，只能手足无措，坐以待毙。因此要从“防勒索”的观念转向“反勒索”。

缺乏反制措施：多数企业在勒索软件防护体系建设中重防御而轻反制，因此在系统被加密、业务停摆、数据被盗时，往往束手无策，似乎除了支付赎金别无选择。即便采用常规手段恢复系统，耗时也往往超出企业承受范围。

低估威胁风险：部分企业未意识到自身面临的勒索风险，对威胁情报感知不足，甚至在攻击发生后仍浑然不知，导致无法及时采取措施，损失扩大。

03

安全牛

那么针对这些误区，企业在制定勒索软件防护规划时，要重点考虑哪些因素，避开这些误区？ 

马蔚彦

我们长期在服务企业用户的过程中，已经与用户达成了一个共识，那就是“没有绝对的安全”，单纯靠防勒索是无法真正意义上避免勒索攻击的，要考虑在攻击没有被拦下的时候，直面勒索攻击者时能不能击退它。

因此，瑞数信息强调勒索防护应秉持 “防”与“反”相结合的理念；”防”就是提高门槛，包括端点防护、API安全等；”反”是指建立有效的反制能力，如构建勒索事件管理体系、备份恢复、快速检测等。

我们建议用户在加强基础防护能力的同时，优先构建反制能力，如勒索事件管理体系、系统备份、恢复能力、威胁检测等，在预算允许的情况下，进一步提升防护能力，形成完整的防护闭环，确保在遭受勒索攻击时能够守住底线，减少损失。

我们有客户做了一个很好的总结，那就是针对勒索攻击需要”守住底线、推进防线”。也就是说，通过及时发现攻击、精准定位受损数据、快速恢复系统，保证业务系统正常运行，或者在可接受的时间内恢复。在此基础上，再把防护能力往前推进。

所以说，企业在制定勒索软件防护规划时，不但要考虑技术，还要关注流程、制度、培训、演练等方面。在当前情况下，我们建议企业重点做好以下四点：

明确部门职责分工：清晰界定安全部门与系统部门在勒索攻击防护中的职责，加强跨部门协作，形成有效的应急响应机制，确保在攻击发生时能够迅速协同应对。我们有个客户是某省电力公司，他们将勒索事件纳入业务连续性管理，实现跨部门协作。安全部门负责事件发现与数据检测，提供恢复建议；系统部门根据建议进行针对性恢复；公关部门负责对外公告。

构建全面防护体系：企业应建立涵盖边界防护、内部核心防护的多层次防护体系，加强对各类攻击路径的监控与防御，提高系统的安全性和稳定性。

强化反制能力建设：制定反制策略，建立数据备份与恢复机制，提升系统在遭受攻击后的快速恢复能力，确保业务连续性，同时降低对赎金的依赖。

加强员工安全意识培训：定期组织安全培训和演练，提高员工对勒索攻击的认识和防范意识，减少因人为因素导致的安全漏洞。

为了帮助用户更好地应对勒索攻击，我们不断升级、优化瑞数反勒索解决方案，以 API 应用数据全景安全体系补足了应用勒索防护的新途径；以动态安全防护收敛资产风险暴露面的同时，建立对各类应用接入渠道的风险主动防御。以数据安全检测与响应系统，建立和完善针对数据的事前体检、事中检测、事后快速恢复的完整数据保护链条和攻防演练体系。

04安全牛

勒索软件防护方案是企业做好防护的重要抓手。那么企业选择评估勒索软件防护方案时，要重点考核哪些指标?

马蔚彦

每个厂商勒索攻击防护解决方案各不相同，传统防勒索解决方案大多从勒索软件特征识别、恶意代码识别和攻击行为分析角度实现防护；或是从传统备份恢复角度进行数据保护。

企业选择评估勒索软件防护方案时，检测率、误报率、响应时间、可扩展性这几个指标都非常重要：

1.检测率。作为反勒索攻击的最后一道防线，检测率至关重要。我们需要应对所有类型的勒索攻击，理论上要覆盖到100%的勒索软件，确保及时发现勒索加密行为，避免数据损失扩大。软件要有针对各种复杂攻击手法的检测能力，包括低频慢速加密、跳跃式加密等高级、隐秘的攻击手段。其中，低频慢速加密中，攻击者可能对100万个文件每天只加密100个。这种悄悄污染生产数据和备份数据的方式很难被检测到。

2. 误报率。误报率直接影响运维效率和企业对防护系统的信心。在日常运营中，应确保防护系统准确判断攻击行为，避免因误报导致资源浪费和不必要的干扰。因为勒索攻击不是每天都发生，过多误报会影响运维团队的信心。

3. 检测速度。面对海量数据和快速演变的攻击手段，防护系统需具备快速响应能力，及时检测数据变化，缩短从发现攻击到采取措施的时间间隔，降低攻击造成的损害。

4.可拓展性。随着企业数据量的不断增长和业务环境的变化，防护系统应具备良好的可扩展性，能够适应不同规模企业的需求，灵活应对未来可能出现的新挑战。

瑞数应用数据反勒索解决方案从补足现有防勒索方案的角度出发，覆盖现有防护手段的盲点，通过“防“”反” 相结合的思路，以底线思维的态度，助力客户建立更具网络韧性的勒索防护体系。

05安全牛

恶意软件的快速演变是勒索软件检测和防护面临的一大挑战。您认为该如何应对?

马蔚彦

勒索软件的快速演变确实是一个长期的挑战。我们主要从跟踪加密手法变化和优化检测技术来应对这一挑战：

一方面，密切关注勒索组织加密手法的变化。我们通过多种渠道获取相关信息，如外网公开分析、勒索加密样本研究等，及时掌握攻击手段的动态；

另一方面，持续改进检测算法，适应加密手法的变化，确保检测的准确性和有效性。现在，我们已经不再依赖病毒特征库进行检测，而是基于数据本身特征，通过分析数据混乱度等方式，判断是否被勒索加密。

比如说今年9月，某银行伦敦分行被Hunters International勒索组织攻击后，我们第二天就获取了样本并验证检测能力。

06安全牛

您怎么看接下来的勒索软件防护市场？

马蔚彦

随着勒索攻击威胁的不断增加，企业对勒索软件防护的需求日益迫切，市场空间广阔。然而，当前市场仍处于发展阶段，需要加强市场培育，提高企业对勒索攻击的认识和重视程度，推动防护产品和解决方案的广泛应用。

未来的防护体系需要更全面、更智能，能够适应各种复杂的攻击场景。为此，瑞数信息将重点做好两项工作：

1. 强化环境适配扩展，包括支持公有云环境，对接各类数据库系统并将检测能力集成到数据库安全功能中，适配不同存储系统。

2．进一步提升检测能力，旨在更好地检测长期、低频的数据窃取行为，提高检测精准度，使用AI技术等技术提升自动化检测和响应能力。

07安全牛

AI对勒索检测防护带来了哪些影响？应该如何应对？

马蔚彦

AI 的发展使勒索攻击更加频繁、多样化且难以检测。病毒生成变得更加容易，攻击手法迭代加速，黑客可利用 AI 定制个性化攻击策略，通过搜索企业信息实现精准打击，同时采用更隐蔽的攻击方式，如慢速低调加密，以躲避检测。

我们认为，我们应该充分利用AI来提升对勒索软件攻击的防护能力：

一是以 AI 对抗 AI：在防护端建立针对企业环境的AI模型，实现更精确、局部化和针对性的检测与反制，有效应对黑客的 AI 技术攻击。

二是提升自适应与自我进化能力：企业 AI 应具备自适应环境变化的能力，及时发现并应对新的攻击形式，减少对安全厂商更新的依赖，提高响应时效。

三是自动化响应与恢复：利用 AI 实现自动化的分析、响应和恢复流程，包括备份数据验证、系统恢复和取证等环节，确保系统在遭受攻击时能够快速恢复运营，降低损失。

编者的话

面对愈演愈烈的勒索软件威胁，企业安全防护已经到了必须转型升级的关键时刻。正如马蔚彦所言，传统的被动防御思维已经难以应对当前的安全态势，企业需要建立”防反并重”的新型防护体系。在AI技术推动攻防手段快速进化的背景下，企业只有主动拥抱变革，构建从边界到核心、从预防到恢复的全方位防护体系，才能在这场没有硝烟的数字战争中立于不败之地。