近年來，惡意網(wǎng)絡攻擊襲擊了眾多企業(yè)和組織，其危害之深、造成的經(jīng)濟之大，難以度量�！�2022 年SonicWall網(wǎng)絡威脅報告》顯示，每秒鐘就有 19 次網(wǎng)絡攻擊在發(fā)生，一年內(nèi)全球攻擊次數(shù)達 6.233 億次。業(yè)界一直高度關注勒索軟件相關話題，而就目前形式來說勒索軟件威脅依然有增無減，并無消失殆盡之勢。

　　勒索攻擊直接導致的業(yè)務停滯不但影響金融機構(gòu)和企業(yè)，還危及到醫(yī)療機構(gòu)和電力公司，甚至威脅公眾的生命安全和國家安全。根據(jù)Veritas企業(yè)IT安全脆弱性報告，85%的中國公司在一年中經(jīng)歷過停工，平均每家公司受到了1.33次勒索軟件的攻擊。

　　在這樣的勢頭下，攻擊者正無休無止地想盡各種辦法開發(fā)新方式滲透企業(yè)網(wǎng)絡和 IT 環(huán)境，攫取數(shù)據(jù)并以此為要挾。攻擊者現(xiàn)在已在網(wǎng)絡釣魚的基礎上進一步升級復雜的新攻擊方法，可能包括社會工程學攻擊，以及利用混合辦公模式中的漏洞(比如在工作時使用多種網(wǎng)絡設備和家庭物聯(lián)網(wǎng))。此外，犯罪開發(fā)者還緊跟軟件即服務的趨勢，在暗網(wǎng)上提供勒索軟件即服務(RaaS)。加密貨幣的支付形式足以說明，RaaS是一種“成功的商業(yè)模式”，勒索攻擊的門檻也隨著它的日漸成熟越來越低，就算不懂技術，也可以加入到勒索攻擊行業(yè)中， 并且攻擊成功的概率越來越高。

　　在中國，針對大型企業(yè)的網(wǎng)絡攻擊事件層出不窮，勒索金額高達千萬人民幣不等，并且造成數(shù)據(jù)泄露，甚至有包括用戶名、密碼、電話號碼、身份證等數(shù)據(jù)在暗網(wǎng)流通。

　　法規(guī)不斷完善

　　在此背景下，我國出臺和施行了《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等安全法規(guī)，對網(wǎng)絡安全違規(guī)事件的處罰力度也不斷提升，最高處罰為5000萬元(加5%的企業(yè)營收)。此前，一些企業(yè)因數(shù)據(jù)安全問題交出了高昂的罰款。今年以來，數(shù)家銀行因敏感數(shù)據(jù)信息存在泄露風險、瞞報信息系統(tǒng)突發(fā)事件等違法違規(guī)行為被罰款。

　　全球不同的國家和地區(qū)針對隱私的立法各不相同，但皆在重審隱私法規(guī)并加快完善步伐。我國2021年底正式實施的《個人信息保護法》專門針對個人信息保護的統(tǒng)領性法律，其與《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》等法律一起構(gòu)成規(guī)范性、系統(tǒng)性、完整性的保護體系，致力于共同為公民個人信息權益保護提供切實有力的法律保障。Gartner預測，到 2024 年底，全球 75% 人口的個人信息與數(shù)據(jù)將受到最新隱私法規(guī)的保護。

　　數(shù)據(jù)保護仍任重而道遠

　　我們觀察到，許多企業(yè)在數(shù)據(jù)安全問題上持“既要又要”自相矛盾的態(tài)度:既想要享受個性化的在線和數(shù)字化服務，又要求自己的數(shù)據(jù)是安全私密的。與此同時，盡管數(shù)據(jù)安全問題可能會造成巨額經(jīng)濟損失與罰款，會對客戶信任和品牌聲譽造成不可逆的損害，但仍有企業(yè)沒有認真對待與重視數(shù)據(jù)風險和合規(guī)問題。

　　Veritas的《2022 守護企業(yè)多云環(huán)境》研究報告發(fā)現(xiàn)，只有11%的中國受訪者表示他們的企業(yè)會持續(xù)備份數(shù)據(jù)，46%的企業(yè)表示他們備份數(shù)據(jù)的頻率小于每 12小時一次。這個比例令人擔憂，這意味著，一旦遭遇勒索攻擊或服務器故障，企業(yè)將會面臨數(shù)據(jù)永久丟失的風險。此外，許多IT專家對公司已經(jīng)引入的云計算解決方案缺乏明確的認識。只有58%的人能夠準確說出公司現(xiàn)在使用的云服務的數(shù)量，并且也不清楚可能需要保護的數(shù)據(jù)。

　　給企業(yè)的建議

　　盡管勒索軟件的技術和方法在不斷更新演變，但勒索攻擊也并非不可戰(zhàn)勝。建議企業(yè)采取行之有效的措施來降低成為攻擊目標并導致業(yè)務運營停滯的風險。需要明確的是，一個企業(yè)的網(wǎng)絡防御能力取決于它的短板，因此IT團隊需要加強最薄弱的環(huán)節(jié)，不能僅僅通過端點安全來避免勒索軟件攻擊，而是應當部署一個多層次的應對戰(zhàn)略。

　　面對破壞力巨大且代價高昂的勒索攻擊，各種規(guī)模的企業(yè)都要對此有所防備。Veritas建議企業(yè)部署多層防護體系來抵御勒索攻擊，重點聚焦于圍繞保護、檢測和恢復三方面構(gòu)建多層防御體系，確保客戶的網(wǎng)絡韌性。這種長期框架戰(zhàn)略不僅是與可信賴的合作伙伴建立長期關系的必不可少的一部分，也是降低風險和抵御威脅的明智之舉。

　　勒索軟件威脅當下，企業(yè)雖不必談虎色變，但也需要嚴陣以待，通過不斷提高、完善數(shù)據(jù)管理和保護水平增強抵御風險的韌性。企業(yè)需要意識到，數(shù)據(jù)已不僅僅是成功的點金石，還是損失的任意門。只有有所防備，才能無所畏懼。

　　關于 Veritas

　　Veritas Technologies是安全多云數(shù)據(jù)管理領域的領導者。超過八萬家企業(yè)級客戶，包括95%的全球財富100強企業(yè)，均依靠Veritas確保其數(shù)據(jù)的保護、可恢復性和合規(guī)性。Veritas在規(guī)�；�的可靠性方面享有盛譽，可為企業(yè)提供抵御勒索軟件等網(wǎng)絡攻擊威脅所需的彈性。Veritas通過統(tǒng)一的平臺，支持超過800種數(shù)據(jù)源，100多種操作系統(tǒng)以及1400多種存儲設備。在云級技術的支持下，Veritas現(xiàn)正在實踐其數(shù)據(jù)自治戰(zhàn)略，在降低運營成本的同時，實現(xiàn)更大價值。

　　Veritas中國官方網(wǎng)站 https://www.veritas.com/zh/cn/

　　Veritas官方微信平臺:VERITAS_CHINA(VERITAS中文社區(qū))