勒索病毒是什么？

通常指黑客通过锁屏、加密文件等方式劫持用户文件并以此敲诈用户钱财的恶意软件。黑客往往利用系统漏洞或通过网络钓鱼等方式，向受害电脑或服务器植入病毒，进而以加密硬盘上的关键文档（如ERP数据库文件）乃至整个硬盘，然后向受害者索要数额不等的赎金后才予以解密。

勒索病毒性质恶劣、危害极大，一旦感染将给企业用户带来无法估量的损失。

自2020年开始，勒索病毒大有愈演愈烈之势。来自互联网的公开资料显示：

·2020年2月25日，港股上市公司微盟集团在港交所公告称，SaaS业务数据遭到一名员工“人为破坏”，故障发生后排查发现大面积服务集群无法响应，生产环境及数据遭受严重破坏。

·2020年3月，美国精密零件行业巨头ABC遭受勒索，泄漏ABC与TSL签署的保密协议。

·2020年4月，葡萄牙跨国能源公司EDP(Energias de Portugal)遭到勒索软件攻击，赎金高达1090万美元。

·2020年6月，日本汽车制造商本田全球网络遭受到勒索软件攻击，直接重创其工业生产核心，导致其日本总部以外多个工厂出现了生产停顿问题。

·2020年7月，健身追踪器、智能手表和GPS产品制造商Garmin遭受了勒索软件的全面攻击，主要产品服务和网站均瘫痪，攻击者向Garmin索要高达1000万美元赎金以恢复数据和业务。

·2020年10月，物联网芯片制造商研华科技遭遇攻击，要求支付750个比特币的赎金解密数据（约合1300万美元）。

·2020年11月，位于墨西哥的富士康工厂遭勒索软件攻击，导致1200台服务器被加密。删除了20-30 TB的备份内容，并要求支付1804比特币作为赎金（约3486万美元）以获取解密工具。

·2021年2月，起亚汽车美国分公司遭勒索软件攻击，被开出2000万美元天价赎金。有报告指出，起亚汽车美国分公司遭受全面IT服务中断影响。

·2021年3月，台湾PC制造商宏基遭受勒索软件攻击，攻击者获得了宏基网络的访问权限，被要求支付5000万美元的赎金。

·2021年4月，苹果MacBook等产品的生产商台湾广达电脑（Quanta）遭到勒索攻击，大量产品的工程和制造原理图被盗， 并遭索要赎金5000万美元。

……

数据显示，2020年初全球每39秒就会发生1起网络攻击恶性事件，到如今这个数据已经变为每11秒1起。一时间，全球闻“勒索病毒”而色变。

面对勒索病毒应该怎么办？

不可否认，勒索病毒的灾害大有不可抵抗之势，各行各业都面临着前所未有的网络威胁。那该如何面对呢？

戴尔科技集团大中华区数据保护产品技术总监李岩在接受《计算机世界》采访时表示：“面对勒索病毒，协商与妥协并不是解决之道。“

据不完全统计，遭受勒索病毒攻击的企业，只有18%成功恢复了被锁的文件；35%的企业丢失了大量数据；55%的企业成功部分恢复了文件；13%的企业丢失了几乎所有数据。而遭遇勒索病毒攻击后，企业损失的不仅仅是赎金，还要面临诸如业务停顿损失、法律诉讼损失、商誉和商业机会损失、人力和时间成本增加，甚至于企业的CIO还将面临职业风险。

那么企业该如何防范和抵御勒索病毒的侵害呢？李岩指出，仅靠数据备份和备份容灾是不够的，因为备份数据往往也是攻击的主要目标，而容灾（DR）并不等同于网络弹性恢复（CR），只有“充分的防御”加上“完善的保护”建立起两全其美的防御策略才能有效保护企业数据安全。李岩建议企业的CIO要将备份、容灾、防勒索同时纳入DRP战略中。

最完善的数据保护是什么？

李岩在采访中表示，最完善的数据保护要实现三位一体。参考数据量的多寡、数据价值的高低，每个企业都应该建立一个数据保护的金字塔。金字塔的最底层，就是覆盖边缘、核心、多云的数据备份；中间层是容灾；金字塔尖的数据，也是企业最具价值且最应该得到最高等级保护的数据，建议采用Dell EMC PowerProtect Cyber Recovery解决方案进行保护，也就是俗称的“数据避风港”解决方案，实现弹性网络隔离。

据了解，Dell EMC PowerProtect Cyber Recovery是一种最有效的应对黑客攻击和勒索病毒的解决方案，它实现了安全加锁，可以防止内部攻击；通过网络隔离防止外部入侵，并借助智能扫描分析识别潜在风险；还能进行恢复验证，确保数据完整可恢复。

早在2015年，DELL EMC首先提出定制部署服务的数据“隔离”恢复解决方案；2018年推出了PowerProtect Cyber Recovery解决方案 ；2019年参与到美国金融行业的Sheltered Harbor项目；2020年成为第一家Sheltered Harbor解决方案的提供商，帮助企业筑起“数据避风港”。

简单讲，数据避风港可以直接帮助企业在面对勒索病毒攻击、外部恶意攻击、内部恶意删库跑路等情况下恢复关键业务数据，从而间接帮助企业避免支付赎金、减少停业损失、商誉损失、机会损失、时间成本损失，以及避免法律诉讼风险等。

对于如何有效建立企业的数据避风港，李岩指出，首先，企业要明确哪些数据才是企业最关键的数据，在遭受灾难性网络攻击后，必须及时进行恢复，这部分数据量通常占企业总数据量的10%-15%；其次，评估需要存放在“Vault区”的数据容量，当灾难发生时，Vault区的数据可以迅速恢复到生产状态；再次，定义恢复时间，企业的业务部门需要定义在灾难性攻击后进行恢复的端到端恢复时间表；最后，企业的数据保护策略应与企业的数字化转型和云化策略保持一致，比如了解云中的数据集是什么，如何保护，以及在发生网络攻击时是否需要云中的数据或服务等。

谈及数据避风港的关键，李岩表示这离不开“断舍离锁侦”五个字。

断：断开备份主机及备份存储媒体，避免备份主机及备份数据同时遭勒索；

舍：舍去大量数据，透过专利去重技术，腾出更多空间存放最关键的数据；

离：远离风险，建构安全备份平台；

锁：锁住备份数据，避免恶意窜改；

侦：使用AI/ML技术对恶意软件（包括勒索软件）进行扫描、分析、侦测，并提供即时报警。

通过这五个字，数据避风港解决方案实现了有效的隔离，对数据进行清洗、扫描，并将最需要保护的安全数据存放到“保险箱”中，确保在灾难性事件发生后，这些直接关系到业务正常运行的数据可以得到有效恢复。目前，Dell EMC的数据避风港解决方案服务着全球700多家客户，其中仅2020年一年就新增了500多家客户。

最后，李岩强调：“建立数据避风港，需要一种全面的方法和能力，人、流程、技术和生态，一个也不能少。”

责任编辑：焦旭