近来，国内某知名财务软件0day缝隙或被大规模勒索运用。短短一天时刻，确认来自于同个勒索病毒的进犯事例已超2000余例，且数量正呈不断上升趋势。受灾企业被要求向进犯者付出0.2BTC(约合人民币2.8万元)，虽然赎金与“传统”的勒索病毒赎金比较金额较低，可是足以影响到受灾企业的正常运营状态。

如此大规模的勒索病毒进犯，瞬间在安全业界激起千层浪，引发了广泛的社会重视。自2017年“WannaCry”勒索事情迸发以来，全球各国都已极大进步了群众对勒索病毒的重视程度，但勒索病毒仍旧防不胜防，典型勒索事情频发。

为什么防护勒索病毒这么难?勒索进犯能不能被提前发现?如果企业不幸遭遇了勒索进犯，该怎么应对?根据这些问题，瑞数信息对勒索进犯的发展态势、进犯手法、应对战略进行了深度剖析。

勒索进犯愈演愈烈 出现五大新趋势

近年来，勒索病毒进犯席卷全球，有互联网的当地就存在勒索进犯。跟着数字化进程的加快，勒索进犯已经成为当下网络安全的首要要挟，有组织性的黑客进犯方针不再仅是中心数据盗取，医疗、政府、工业制作、金融、动力、通讯等职业的要害信息基础设施成为黑客进犯新方针，影响规模仍在不断扩大。与此一起，全球网络攻防对立的强度、频率、规模和影响力不断晋级。

勒索病毒进犯经过数年的演变晋级，如今的勒索进犯手法日趋老练，进犯方针越发清晰，形式多种多样，进犯益发荫蔽，更加难以防范，损害也日益增大。跟着勒索进犯专业化、团队化运作，勒索进犯逐渐发展出五大新趋势。

趋势一：供应链成为勒索进犯重要的切入点

一个基础性缝隙很或许将整个供应链的程序暴露在危险中，当供应链进犯和勒索软件进犯被一起运用时，会形成更大的损害，勒索方针正在从供货商延伸到其客户群体。

趋势二：多重勒索形式引发数据走漏危险

进犯者不止是对数据进行加密后勒索受害企业，还会盗取数据再次勒索企业，经过两层勒索、多重勒索的形式，使勒索的利益最大化。

趋势三：新一代勒索进犯采用low and slow（高荫蔽且高持久化）的进犯方法

进犯者在盗取数据过程中缓慢加密数据，进犯隐藏性加强，进犯行为不易发现，使得发现要挟和康复数据的难度大幅提升。

趋势四：勒索软件与“挖矿”木马相结合

进犯者会在进犯过程中将二者一起实施，受害企业的设备不只会遭受勒索进犯，还会被进犯者用来挖矿，除了电力能耗增大、设备老化加快、经济损失严重之外，进犯者还会留下后门歹意盗取机密信息，直接引发或变相滋生各种网络犯罪。

趋势五：勒索病毒扩散渠道转向web运用缝隙

跟着进犯技能迭代晋级，进犯者开始从体系缝隙转向运用缝隙挖掘，针对特定运用定制高级进犯东西，定向实施运用缝隙进犯，成为新式勒索进犯手法。

传统技能瓶颈凸显 反勒索亟需新思路

为了对立勒索进犯，市面上出现了很多反勒索安全防护产品或数据备份产品比方iis 防盗链。即便如此，当新式的勒索进犯手法出现时，依然无法维护企业的数据安全。那么，现有的安全防护技能究竟存在哪些不足?

瑞数信息表明，现有反勒索安全技能面临新式勒索进犯最大的两个防护弱点分别是运用缝隙与呼应速度。这可以从运用安全和数据康复两个视点来看，前者是作为运用进犯检测和呼应的防护手法，后者是作为数据备份、事务康复的手法，但这两种技能不能停留在传统技能思路上，否则无法对立不断晋级的勒索进犯。

传统WAF

以传统WAF为代表的运用进犯防护产品，是根据固定的规矩和特征库，无法防护运用自动化进犯技能荫蔽歹意进犯特征并不断变形的勒索软件，更无法防护运用0day缝隙的勒索进犯。

传统灾备体系

传统备份体系是定时做全量数据备份，但并不能彻底辨认备份数据是否健康、是否可康复、是否完整，一旦原始数据被感染，备份数据相同会被感染，导致数据无法运用。传统容灾体系相同没有办法应对勒索软件的进犯，一旦主体系被病毒感染损坏，备用体系数据同步仿制，一切的容灾体系都会被病毒感染。一起，新式勒索进犯采用low and slow的进犯战略，被加密的数据跨过多个备份时点，运维人员难以确认可以用于康复洁净数据的时点，大幅增加了康复工作的应战与难度。

若企业仅在被勒索进犯后经过灾备体系康复了数据，但未对数据内容的完整性进行验证，被勒索软件加密的“脏数据”将会影响体系的正常工作，形成二次伤害，再度冲击企业的商誉。此外，传统备份体系康复数据时刻较长，从而无法确保事务的连续性。

对立勒索病毒 要害数据备份是“最终的防地”

当现有的安全防护手法不够有用时，企业面临勒索进犯是否就只能“任人拿捏”?

事实上，反勒索安全防护需求全方位考虑，如：做好数据备份与灾难康复计划;定时检查缝隙、及时更新安全补丁;定时替换登录口令;削减互联网暴出面;加强网络鸿沟侵略防范与管理;进步安全意识，都是企业面临勒索进犯要挟需求采纳的必要措施。

勒索与其他病毒和进犯有一个重要的不同点在于，一旦遭受勒索，数据和体系通常难以解锁，因而反勒索除了重视勒索病毒的预防、进犯检测外，更加依靠应急的高效和高安全、高质量的数据康复，成为最要害的最终一道防地。

从技能的视点看，采用立异的运用安全防护技能和数据备份技能，可以为企业打造更坚固的数据反勒索防地。现在，瑞数“动态运用防护体系Botgate”+ “数据安全检测与应急呼应体系DDR”的组合计划，正是反勒索立异技能的典型代表。

（一）动态运用防护体系Botgate

作为新一代WAF明星产品，瑞数Botgate广为业界所熟知，以“动态防护+AI”技能为中心，经过动态封装、动态验证、动态混杂、动态令牌等立异技能，可以实现从用户端到服务器端的全方位自动防护。在高效辨认各类已知与不知道进犯的一起，也弥补了传统WAF和杀毒软件无法对不知道歹意软件特征进行辨认的短板。

由于瑞数Botgate不依靠固定规矩和特征进行防护，而是经过独有的“动态防护+AI”技能，在缝隙发布之前就可以有用辨认0day进犯，提前可以对不知道0day进行拦截，有用防护运用0day缝隙的勒索进犯。针对0day迸发后的Webshell东西进犯，瑞数Botgate也可以经过动态技能对Webshell的拜访进行阻断，不管Webshell怎么晋级，都可以有用一招制敌，防止进犯者经过Webshell植入勒索进犯代码。

（二）数据安全检测与应急呼应体系DDR

一旦企业运用或体系被勒索软件破防，快速康复企业中心数据，坚持事务的正常工作，是企业反勒索的要害。瑞数DDR体系定位于企业中心数据备份、快速康复备份数据，正是数据反勒索“最终的防地”。

在新安全形势下，需求支撑原始格局的数据安全底座，瑞数DDR体系作为新一代数据安全底座，可以有用实现数据反勒索的三大方针：健康体检、勒索监测、快速康复。

方针一：健康体检，事前数据危险管理

盘点数据财物与排查体系危险是做好数据安全的第一步。瑞数DDR根据立异的“深度文件内容检测”技能，可以高效辨认企业中心备份数据的数据类型，生成数据完整性、敏感数据散布及权限审计等陈述，从而全面掌控企业中心备份数据财物的管控现状。此外，更经过缝隙检测与配置核对等机制，排查体系危险，维护备份数据财物的安全。

方针二：勒索监测，事中智能要挟感知

瑞数DDR体系根据首创的“离线智能深度检测引擎”，可以对进犯过程中损毁的文件进行安全检测，检测出被勒索软件加密的文件，找出洁净可用的数据，帮助企业快速康复IT体系。

传统备份体系并不会对备份数据的好坏进行检测，以至于备份数据中或许因勒索软件的进犯，存在大量被损毁的文件，康复后的体系仍无法正常运用。瑞数信息可以在备份过程中发现损毁或异常的文件或数据，找到被勒索病毒感染的文件及感染时刻点，帮忙安全管理人员快速移除勒索软件并对体系进行加固。

这种技能来源于瑞数信息首创的文件与数据库动态改变追踪技能，经过比照文件名、文件类型、文件巨细、文件信息熵、文件类似度等方针的改变，从而辨认出被勒索软件加密的可疑文件。运用信息熵+AI技能进行安全检测，正是瑞数信息的独门绝技，检测准确性可高达98%以上。

方针三：快速康复，过后快速呼应康复

根据传统备份体系，数据合并费时必须将备份格局转化出产数据格局，数据必须移动拷贝才能康复，康复时刻往往需求数天乃至数周。根据瑞数首创的智能快速康复引擎，不管多大数据量，瑞数DDR体系都可以自动生成可直接挂载的洁净磁盘镜像，达到分钟级的数据康复，将事务中断的时刻降到最低。

此外，瑞数DDR还可以评价评价进犯形成的损害，如：哪些数据被进犯了?受影响的数据是怎么散布的?哪些用户受到影响?何时发生的?形成的损害和影响有多大?最新的洁净备份是哪个版别?从而可以快速用最新的洁净备份康复受损的数据，并自动移除勒索软件产生的勒索说明文件。

比较传统数据康复计划，一旦出产数据被加密，备份数据也很大或许被加密，瑞数DDR最大的优势在于防批量数据损坏、安全阻隔备份数据、分钟级快速康复、出产环境低干扰、自动化可编列运维，可以很好地突破传统灾备体系面临勒索进犯要挟时的瓶颈。一旦被勒索病毒感染，瑞数DDR可以第一时刻对备份增量数据进行分析，发现被加密的数据，从体系中找到未加密的数据进行康复，最大的数据丢失危险仅为当日增量数据中被加密的部分，对企业事务连续性影响较小。

结语

在勒索进犯愈演愈烈的今天，传统安全、备份与灾备机制面临新兴的数据安全要挟已显得捉襟见肘，新一代数据反勒索机制的建造已刻不容缓。以瑞数“动态运用防护体系Botgate”+ “数据安全检测与应急呼应体系DDR”为代表的数据反勒索计划，将根据立异的动态安全+AI技能，交融存储技能，为各职业用户筑起坚固的安全防地。