在美劇《傲骨賢妻》中，有一個關于律師事務所遭受勒索軟件攻擊的場景。當律師事務所遭受攻擊后，他們無法訪問任何文件，不得不停止一切工作，甚至將無法出席法庭為客戶辯護，并且還面臨企業(yè)和客戶保密信息泄露的風險。然而，他們所面臨的不僅僅是支付巨額贖金的威脅，甚至將面臨法律制裁?？上攵?，律師事務所面臨著前所未有的危機。

這不僅僅是電視劇中的場景，更是現(xiàn)實生活中企業(yè)和個人面臨的攻擊事件。就在前不久，記者的朋友就遭遇了勒索軟件攻擊，攻擊者放話交付比特幣即可放過她。最終，朋友無奈放棄了電腦中的所有數(shù)據(jù)，拒繳贖金。值得慶幸的是電腦剛剛使用不久，基本沒有機密文件。朋友中招勒索軟件后的頁面，如下：

當企業(yè)遭受攻擊后，所面臨的后果不僅僅是數(shù)據(jù)被加密，還要面臨企業(yè)運營活動中斷、商業(yè)機密泄露、客戶信息泄露等無法挽回的風險。對于中小企業(yè)而言，在缺乏安全防護的情況下，一次勒索軟件攻擊或許是致命的。那么勒索軟件造成的后果如此嚴重，其發(fā)展趨勢是怎樣的呢?有什么特點呢？有應對對策么?帶著這些疑問，記者采訪了賽門鐵克公司大中華區(qū)總裁陳毅威先生和賽門鐵克公司大中華區(qū)首席運營官羅少輝先生。

[[170768]]

賽門鐵克公司大中華區(qū)總裁陳毅威先生（左）和賽門鐵克公司大中華區(qū)首席運營官羅少輝先生（右）

勒索軟件成為當下發(fā)展最快的網絡安全威脅之一

近日，賽門鐵克正式發(fā)布了《勒索軟件與企業(yè)2016》調查報告。通過賽門鐵克對全球勒索軟件攻擊數(shù)量的監(jiān)測顯示，2015年10月至11月，全球勒索軟件的感染數(shù)量出現(xiàn)激增，隨后出現(xiàn)回落;直至2016年3月，全球勒索軟件感染數(shù)量再次激增。賽門鐵克發(fā)現(xiàn)，這一增長與全球同期爆發(fā)的勒索軟件Locky時間相一致。

對此，陳毅威認為：“目前，勒索軟件正呈現(xiàn)出快速增長的態(tài)勢的主要原因有三點：第一，黑客發(fā)現(xiàn)使用勒索軟件進行攻擊具有高回報率，能夠輕松獲得較好的金錢利潤。第二，企業(yè)遭遇勒索后，由于擔心數(shù)據(jù)受到損害，受害企業(yè)通常會具有較為急迫的心態(tài)，希望通過交付贖金盡快贖回企業(yè)信息。第三，黑客不僅對PC，筆記本電腦等一般終端實施攻擊，更是對企業(yè)的服務器端進行攻擊。因此，企業(yè)如果感染勒索軟件文件，文件服務器中的內容也會面臨加密風險。”

另外，從攻擊者的角度來講，影響勒索軟件增長的主要因素有以下四點：

第一，攻擊者能夠相對容易地實現(xiàn)文件加密。

第二，更多攻擊者會采用垃圾郵件和攻擊工具包等有效載體進行勒索軟件感染。

第三，部分攻擊者會采用APT等高級攻擊手段對重要目標進行攻擊，以確保能夠成功侵入目標企業(yè)的網絡，這些采用APT手段進行的勒索軟件攻擊往往會對金融機構以及政府相關機關進行攻擊。

第四，勒索軟件攻擊已形成“勒索軟件即服務”模式，黑客會將從黑市中獲取的鏈接和論壇中分享的惡意程序相關服務發(fā)布到云中，從而擴大惡意程序的傳播面積。

今天，勒索軟件呈現(xiàn)出了哪些新特點?

勒索軟件在發(fā)展的同時，也呈現(xiàn)出新特點。

特點一：使用腳本語言躲避檢測。為了應對安全廠商不斷更新升級的安全防護手段，部分勒索軟件家族會利用電子郵件下載等方式，通過JavaScript、PHP、PowerShell和Python等腳本語言發(fā)動下載程序以躲避檢測。郵件網關以及其他終端防御的防毒軟件通常不會偵察到這些腳本語言的問題。在成功躲避檢測后，攻擊者會通過腳本語言中的惡意鏈接或利用其啟動下載程序，從而令終端受到感染。

特點二：很多勒索軟件除加密終端外，還會執(zhí)行其他附加功能。CryptXXX勒索軟件會在加密終端的同時，竊取終端內的比特幣錢包數(shù)據(jù)。Cerber勒索軟件同樣會在加密終端數(shù)據(jù)時，將終端加入僵尸網絡并執(zhí)行DDoS攻擊。

特點三：某些勒索軟件會在勒索信中加入新型威脅。除了對數(shù)據(jù)進行加密外，Chimera勒索軟件會告知受害者加密文件將每隔數(shù)小時便公布于網絡中，迫使用戶盡快支付贖金。

為什么個人是勒索軟件攻擊的主要目標?

最新發(fā)布的《勒索軟件與企業(yè)2016》調查報告顯示，現(xiàn)在個人消費者仍然是勒索軟件的主要攻擊目標(57%)。為什么會出現(xiàn)這種現(xiàn)象?為什么個人是主要的攻擊目標呢?企業(yè)對于自身信息更為看重，應該也更愿意支付贖金。為什么企業(yè)不是主要的目標?

對此，羅少輝認為，不同的黑客發(fā)動攻擊時，所選擇的目標也不盡相同。有些黑客僅針對消費者進行攻擊，因為消費者的安全意識較低、防護措施較差等特點，黑客通過簡單的勒索攻擊就能夠輕易的進行攻擊。同時，由于勒索金額較小，消費者為了盡快獲得密鑰會更加傾向于支付贖金。所以，我們會看到，現(xiàn)在的勒索軟件大部分針對消費者用戶。

而針對企業(yè)的攻擊，由于攻擊規(guī)模相對大，需要黑客采用一些專業(yè)攻擊工具，但是所獲得的利潤是可觀的。也正是由于勒索軟件針對企業(yè)的攻擊數(shù)量上升，才會迫使企業(yè)更加重視安全防護。因此攻擊企業(yè)是黑客投資更高，對黑客的技術要求也高。

企業(yè)該如何對抗勒索軟件攻擊?

雖然目前攻擊者的主要目標是個人，但是從長期趨勢來看，以企業(yè)為攻擊目標的勒索軟件正在緩慢且穩(wěn)步地增長。在這樣的增長趨勢下，企業(yè)該如何對抗勒索軟件呢?對此，賽門鐵克建議，無論企業(yè)大小，企業(yè)應該主動從源頭抵御惡意攻擊，采取必要的安全手段和防御措施，降低自身受到網絡安全威脅攻擊的風險。

針對勒索軟件的攻擊手法，羅少輝向企業(yè)用戶提供三點建議：

第一，預防。電子郵件是大多數(shù)惡意程序的主要入侵方式。賽門鐵克建議用戶加強電子郵件網關的防御能力;同時，企業(yè)需要主動防御漏洞攻擊，降低惡意程序的入侵難度。此外，企業(yè)服務器端同樣需要實現(xiàn)漏洞發(fā)現(xiàn)與管理等相關安全防護，同時應保持OS系統(tǒng)的定期更新，以此降低黑客利用漏洞入侵系統(tǒng)的概率。

第二，遏制。賽門鐵克能夠提供相應的安全防御工具，SONAR行為引擎能夠對用戶行文進行監(jiān)測，如果看到用戶存在異常行為，賽門鐵克就會及時對用戶行為進行攔截，確保黑客不會實現(xiàn)全盤加密。此外，賽門鐵克所擁有的AI人工智能功能，能夠增強整個服務器終端的安全防御。

第三，響應。如果客戶不幸感染勒索軟件，賽門鐵克建議用戶不要支付贖金。支付贖金的做法會促使黑客的勒索產業(yè)更加猖獗，從而導致更多的企業(yè)與個人受到勒索軟件的威脅。賽門鐵克能夠為客戶提供安全事件響應服務，賽門鐵克的安全專家能夠遠程協(xié)助客戶進行現(xiàn)場處置，同時將整個安全事件的入侵途徑，以及網絡防御方法進行整合。

賽門鐵克勒索軟件整體防護架構助力企業(yè)安全防護

在應對勒索軟件方面，賽門鐵克能夠提供整體防護架構。賽門鐵克SEP解決方案能夠加強不同端點的安全保護功能，從而阻止勒索軟件會通過終端、網關以及Web訪問等方式，入侵企業(yè)系統(tǒng)。同時，賽門鐵克ATP防護能夠結合安全機制響應中心，對企業(yè)內部數(shù)據(jù)進行深層文件監(jiān)測，實現(xiàn)對針對性攻擊的偵查、保護以及相應。另外，針對Critical Server，賽門鐵克ATP DMZ防護，能夠設定應用程序白名單，對關鍵服務器進行安全保護和鎖定，是惡意程序無法成功執(zhí)行或安裝。

不僅如此，賽門鐵克能夠針對終端安全實現(xiàn)縱深防御。

首先，賽門鐵克能夠以網絡為基礎實現(xiàn)保護，我們首先要確保網絡安全，企業(yè)能夠利用賽門鐵克的解決方案，實現(xiàn)IPS入侵防御和瀏覽器防護。

第二，以文件為基礎實現(xiàn)保護。賽門鐵克會對系統(tǒng)內部文件進行偵查與檢測，幫助用戶掃描并清除入侵系統(tǒng)的惡意程序。

第三，以信譽為基礎實現(xiàn)保護，賽門鐵克通過自身的大數(shù)據(jù)平臺，會對文件信譽進行核實。如果某些文件較少人使用，賽門鐵克便會默認這些文件的信譽度非常低。從而會在網關以及終端警示用戶潛在的文件信譽威脅。

最后，以行為為基礎實現(xiàn)保護，賽門鐵克能夠識別大量惡意程序的行為特征，當程序在執(zhí)行惡意行為時，賽門鐵克SONAR行為分析引擎能夠迅速檢測并識別惡意軟件的存在。

寫在最后

采訪最后，羅少輝陳毅威向記者透露，目前，賽門鐵克已經完成對Blue Coat的并購。Blue Coat作為移動及云安全領域的領導者，此次并購將提升賽門鐵克的綜合實力。賽門鐵克針對不同領域的安全防護提供全面的解決方案和服務，我對賽門鐵克的未來充滿信心。

此外，羅少輝還表示，隨著物聯(lián)網時代的到來，未來物聯(lián)網設備將會成為更多勒索軟件的攻擊目標，潛在的威脅更加巨大，甚至危害生命健康。