近年來，云上數(shù)據(jù)安全已經(jīng)成為企業(yè)的又一大難題，尤其是勒索攻擊頻發(fā)，有組織的黑客攻擊目標已經(jīng)從核心數(shù)據(jù)竊取擴展到金融、交通、能源、通信等行業(yè)的關鍵信息基礎設施，對企業(yè)數(shù)據(jù)安全構成了極大的威脅和挑戰(zhàn)。

同時AI時代，犯罪團隊已經(jīng)開始利用AI和機器學習來增強勒索軟件攻擊的能力和效率，勒索攻擊也在不斷升級。

在此背景之下，企業(yè)應當如何應對勒索攻擊？一份滿分答案或許可以從中國信息通信研究院“2024安全守衛(wèi)者計劃”優(yōu)秀案例之中尋找——

它就是瑞數(shù)信息與國網(wǎng)華東某省級電力公司聯(lián)合申報的“勒索智能防護案例”。

據(jù)悉，自2023年5月起，瑞數(shù)信息開始為客戶提供全面的數(shù)據(jù)安全和數(shù)據(jù)檢測服務，并于2023年12月順利完成項目建設。

在項目實施過程中，通過構建全面的數(shù)據(jù)安全預警檢測系統(tǒng)、反勒索快速恢復機制、備份數(shù)據(jù)安全防護體系以及勒索風險信息展示平臺，顯著提升了企業(yè)的數(shù)據(jù)安全防護能力，幫助客戶有效應對了勒索攻擊的威脅。

那這份滿分答案到底是怎么做出來的呢？本文帶你揭曉。

一、AI時代，勒索攻擊更為智能

近年來，云計算的普及使得越來越多的企業(yè)將核心數(shù)據(jù)遷移到云端。然而，這也為勒索攻擊提供了新的戰(zhàn)場。

2021年，美國最大燃油管道運營商Colonial Pipeline遭受勒索攻擊，導致其關鍵管道系統(tǒng)癱瘓，造成大規(guī)模的燃油短缺和經(jīng)濟損失。這次攻擊不僅暴露了云上數(shù)據(jù)的脆弱性，也顯示出勒索攻擊對關鍵基礎設施的巨大威脅。

2024年年初，全球能源管理和工業(yè)自動化巨頭施耐德電氣遭受Cactus勒索軟件攻擊，導致公司數(shù)據(jù)被盜。據(jù)報道，Cactus勒索軟件團伙在網(wǎng)絡攻擊期間竊取了該公司數(shù)TB的公司數(shù)據(jù)，威脅該公司，如果不支付贖金，就會泄露被盜的數(shù)據(jù)。

根據(jù)Group-IB發(fā)布的《2023-2024年高科技犯罪趨勢報告》顯示，勒索軟件保持強勁增長，2023年數(shù)據(jù)泄露網(wǎng)站上的公司數(shù)量同比增長74%。

安全公司Sophos發(fā)布的《2023勒索軟件態(tài)勢報告》也顯示，66%的機構在過去一年中遭受過勒索軟件攻擊。其中，76%的攻擊導致數(shù)據(jù)被加密，受害機構為此而付出的平均成本為182萬美元。

大規(guī)模增加的勒索軟件攻擊正在瞄準所有行業(yè)，金融、交通、能源、通信等行業(yè)的關鍵信息基礎設施尤其成為勒索軟件的攻擊目標。

這些事件再次提醒企業(yè)，勒索攻擊不斷，云上數(shù)據(jù)安全需要引起高度重視。

另外，隨著人工智能技術的快速發(fā)展，網(wǎng)絡安全領域也經(jīng)歷了深刻的變化。AI技術不僅提升了防護能力，同時也被不法分子所利用，進化出更加隱蔽和復雜的勒索攻擊。

傳統(tǒng)的勒索攻擊通常依賴于社會工程學或漏洞利用，而AI技術的引入使得攻擊者能夠更精準地選擇目標并躲避檢測。例如，機器學習算法可以幫助黑客分析目標網(wǎng)絡的漏洞，生成定制化的攻擊路徑；深度學習技術可以用于開發(fā)更難檢測的惡意軟件變種，甚至可以實時調整攻擊策略，以規(guī)避防御系統(tǒng)的攔截。

AI技術還大大提升了勒索攻擊的效率。通過自動化的手段，攻擊者能夠在極短時間內對大量目標發(fā)起攻擊，從而增加成功的概率。此外，AI還可以用于優(yōu)化贖金需求，基于受害者的支付能力和緊急程度，制定出最有可能成功的贖金金額。

可以說，AI時代下的勒索攻擊，已經(jīng)不僅僅是單純的技術對抗，而是智慧與智慧的較量。

二、當智能勒索攻擊“撞上”智能防護

日益復雜和頻繁的勒索攻擊，對企業(yè)的網(wǎng)絡安全防護提出了更高的要求。企業(yè)必須提升自身的防護能力，從早期檢測到數(shù)據(jù)恢復，全方位構建起強有力的防護體系，如早期發(fā)現(xiàn)勒索加密，加強主機防勒索能力，構建勒索應對體系，增加數(shù)據(jù)安全檢測預警能力等，以應對AI時代下的網(wǎng)絡安全挑戰(zhàn)。

作為國家重要的基礎設施企業(yè)，電力公司必須確保在遭遇勒索攻擊時，能夠迅速恢復數(shù)據(jù)，避免業(yè)務系統(tǒng)出現(xiàn)無法恢復、恢復時間不可預期、應對流程不明確的混亂局面，并將勒索攻擊的影響范圍控制在最小。

瑞數(shù)信息推出的數(shù)據(jù)安全檢測與應急響應系統(tǒng)（River DDR），正是這樣一款反勒索的數(shù)據(jù)備份利器。通過事前、事中和事后的數(shù)據(jù)安全閉環(huán)防護體系，River DDR有效解決了傳統(tǒng)終端安全軟件被繞過、備份系統(tǒng)恢復過程冗長等嚴峻的安全問題，讓勒索軟件等新興數(shù)據(jù)安全威脅無處遁形。

該系統(tǒng)可通過多種數(shù)據(jù)接入方式，實現(xiàn)對生產(chǎn)數(shù)據(jù)的在線檢測。數(shù)據(jù)安全底座則主要負責數(shù)據(jù)備份、備份數(shù)據(jù)的安全存放和管理，并為上層的安全檢查功能提供數(shù)據(jù)支持和快速恢復能力。

由于安全攻擊不斷變化，病毒加密數(shù)據(jù)的手法層出不窮。因此，該系統(tǒng)利用AI革新了數(shù)據(jù)安全檢測的方法和流程，創(chuàng)新開發(fā)了“智能深度檢測引擎”，集成了文件健康體檢和數(shù)據(jù)庫健康體檢的功能，從而提供了全方位的數(shù)據(jù)保護措施。

該引擎利用勒索加密樣本庫的機器學習建立熵值規(guī)則庫，并通過熵值計算來判斷數(shù)據(jù)是否被勒索加密。通過深度檢測方法，該引擎能夠每天對備份數(shù)據(jù)的增量部分進行深度檢查，與數(shù)據(jù)安全底座聯(lián)動，實現(xiàn)初次全量的健康檢查、日常數(shù)據(jù)增量部分的深度檢查以及重點表的異動監(jiān)控，并通過實時告警通知服務層。

功能矩陣層面向實際操作和使用，按照勒索攻擊的事前、事中、事后提供文件及數(shù)據(jù)庫檢測報告、事件告警及影響分析等功能。通過快速響應恢復機制，實現(xiàn)數(shù)據(jù)的快速恢復，將勒索攻擊造成的損失降到最低。

可以說，瑞數(shù)數(shù)據(jù)安全檢測與應急響應系統(tǒng)（River DDR）在文件檢測、數(shù)據(jù)庫檢測和響應恢復方面，為該電力公司云上數(shù)據(jù)安全保駕護航：

• 文件檢測方面，系統(tǒng)針對文件的勒索攻擊風險進行全面檢測，包括勒索聲明文件檢測、加密狀況檢測、文件頭不匹配檢測和文件異常檢測等。檢測后，系統(tǒng)會出具文件健康狀況檢測報告，確保所有文件的安全性。
• 在數(shù)據(jù)庫檢測方面，系統(tǒng)會對數(shù)據(jù)表字段和數(shù)據(jù)庫文件進行詳細檢測，確認是否存在加密情況，是否有靜態(tài)表被篡改。檢測后，同樣會出具數(shù)據(jù)庫健康狀況檢測報告，確保數(shù)據(jù)庫的完整性和安全性。
• 在響應恢復方面，系統(tǒng)通過損害評估報告及修補建議，結合行為分析和日志分析等手段，確認需要恢復的時間點。無論數(shù)據(jù)量的大小，數(shù)據(jù)恢復時間都能控制在分鐘級，以確保被加密數(shù)據(jù)的恢復時間在業(yè)務可承受的范圍之內。

瑞數(shù)信息與該電力公司的合作，正是智能防護體系的一次成功實踐，通過全面的數(shù)據(jù)安全能力建設，不僅有效應對了勒索攻擊的威脅，也為行業(yè)提供了寶貴的經(jīng)驗和參考。

三、從預警到快速恢復，全周期保護數(shù)據(jù)安全

智能防護云上數(shù)據(jù)安全，核心在于其數(shù)據(jù)安全檢測與應急響應。系統(tǒng)正是通過事前數(shù)據(jù)健康體檢、事中智能威脅檢測和事后快速響應恢復這三大環(huán)節(jié)，構建了一個全面而高效的數(shù)據(jù)安全防護體系，真正實現(xiàn)了全周期的安全保障。

在事前階段，提供了全面的數(shù)據(jù)健康體檢，通過日常對備份數(shù)據(jù)的安全檢測，確認用于恢復的數(shù)據(jù)的健康性。這種基于表級和字段級的檢測能力，確保每一份用于恢復的數(shù)據(jù)都是原始信息，沒有被加密或污染。通過這樣的預防措施，企業(yè)可以在遭遇勒索攻擊前，已經(jīng)做好了萬全的準備，確保數(shù)據(jù)處于可信任狀態(tài)。

在事中階段，依托其創(chuàng)新的智能數(shù)據(jù)識別引擎和AI智能識別引擎，實施智能威脅檢測?；凇吧疃任募热輽z測”技術和“數(shù)據(jù)訪問行為”智能分析與識別能力，這些引擎能夠有效識別企業(yè)數(shù)據(jù)中心架構與非架構化數(shù)據(jù)的安全性，通過AI熵值檢測技術，改進數(shù)據(jù)安全檢測的速度和準確性，達到領先的安全檢測水平。全鏈路的威脅行為與內容變化追蹤，使得可疑的攻擊行為能夠被即時發(fā)現(xiàn)和響應，從而大大提升了勒索攻擊的防御能力。

在事后階段，智能檢測沙箱與源引擎發(fā)揮了重要作用。它們能夠有效定位攻擊事件的根源，移除勒索軟件后，將最新的干凈備份進行恢復，同時對系統(tǒng)進行加固，確保系統(tǒng)的安全性。自動生成可掛載的干凈數(shù)據(jù)，確保在遭受攻擊后，企業(yè)可以迅速恢復正常運作，減少業(yè)務中斷的時間和經(jīng)濟損失。

通過事前數(shù)據(jù)健康體檢、事中智能威脅檢測和事后快速響應恢復的有機結合，瑞數(shù)信息構建了一個全周期的數(shù)據(jù)安全閉環(huán)，為企業(yè)提供了從預防到恢復的全方位保障。

瑞數(shù)數(shù)據(jù)安全檢測與應急響應系統(tǒng)（River DDR）不僅助力國網(wǎng)華東某省級電力公司構建起了強有力的數(shù)據(jù)安全防線，還提升了其應對勒索攻擊的能力，確保業(yè)務的連續(xù)性和穩(wěn)定性。

正因如此，該案例憑借在客戶應用中的創(chuàng)新技術和高效能力，從眾多案例中脫穎而出，經(jīng)過案例初審、專家復評兩個環(huán)節(jié)，成功斬獲中國信通院第四批“安全守衛(wèi)者計劃”優(yōu)秀案例。未來，瑞數(shù)信息將繼續(xù)在數(shù)據(jù)安全領域深耕，助力更多企業(yè)構建起強有力的安全防護體系，為云上數(shù)據(jù)安全保駕護航！