因此，信息技术防护系统的任务就是监管数据传输，因为非活动数据充其量只能是一种风险或潜在威胁。数据传输过程中的监管难题，就是必需知道它在做什么。

理想情况下，企业希望了解内网传输数据的整个历程，针对性地制定使用规则。这是潜在技术挑战性颇高的一种解决方案，同时也是需要大量存储数据的不够灵活方法。

此外，此类防护系统也会给疫情当中的居家办公人员带来严重隐患，因为这意味着每台设备都需要通过不安全的公共网络进行身份验证，才能访问公司网络。目前大多数企业用于此用途的虚拟专用网络（VPN）采用了提高灵活适用性的设计方案，除了那些被列入黑名单的地址外，会对所有互联网协议地址开放。

这在给予员工自由度的同时，也蕴含了潜在攻击者染指数据的风险。数据可能被盗，可能无法读取甚至被销毁。这就意味着每一家企业都必须在几个安全问题上做出决断，如数据价值、数据传输跟踪能力，以及员工自由度和数据风险之间可以取得的平衡等。

企业数据面临着形形色色的网络威胁，从主要窃取帐户、密码和财务信息的数据泄露到各式各样的网络攻击不胜枚举，比如试图运用垃圾数据流，使网络或计算机系统（多为托管网站的网页服务器）陷入超负荷瘫痪，目标用户一段时间内无法访问对象网站的DDoS攻击等。

媒体报道最多的攻击类型当属勒索病毒了。它在大多数网络犯罪技术的基础上加以改进，已成为利用现代技术成果攫取金钱的最有效途径。投放勒索病毒前，攻击者必需首先设法获得企业网络的访问权，然后再加密企业数据，并胁迫用户缴纳赎金，否则用户便无法访问被加密的数据或设备。

尽管这并非是最新的威胁形式 – 早在二十世纪九十年代，就曾发生过多起愤愤不平的员工故意加密数据，并向雇主索要赎金以获取数据访问权的案例 - 但此类活动的剧增，却是与加密货币和互联网的流行分不开的。二十世纪，赎金还必须以现金或银行转账的形式收取，使敲诈者很容易被捕。如今这种风险已不复存在。

随着攻击规模的不断扩大，企业被迫将针对勒索病毒攻击的应对方案纳入营运规划，从而面临是否缴纳赎金的法律问题。

更大的麻烦是，即使企业缴纳了赎金，往往也无法重获全部数据的访问权。

另一项顾虑是，缴纳赎金不仅是向犯罪份子低头、使其从犯罪行为中安然获利，同时还存在企业声誉方面的问题：首先是企业网络安全性不佳，其次难免会使客户产生企业数据未来可能被盗的担忧。

最后还有缴纳赎金合法性方面的顾虑，因为此类网络犯罪份子往往是被制裁国专业团队，或从被制裁国境内实施攻击，与之发生金钱往来属于违法行为。

2021年11月，这一问题受到了美国财政部海外资产监管办公室（OFAC）的强烈重视。监管办更新了制裁名单，其中给列了参与勒索病毒犯罪活动的相关个人所使用的加密货币钱包。更新后的黑名单又一次纳入了名为Chatex的加密货币交易所；该交易所疑似为黑客提供金融交易便利。

监管环境也发生了变化。美国金融业监管机构 - 美国联邦存款保险公司于2021年11月18日宣布，自2022年4月1日起，金融机构必须在 36 小时内上报计算机安全事件。这一新规很可能会被其他行业相继效仿，从而意味着企业隐匿网络安全事件将变得更加困难。

参议员Elizabeth Warren和Deborah Ross提出的《勒索病毒披露法》草案，可能会让企业缴纳赎金变得更加困难。一旦该法获得通过，受勒索病毒攻击的企业就必需向国土安全部上报赎金支付信息，以便国土安全部向美国政府汇报有关网络犯罪活动的关键信息。该法的出台还可能降低企业及其保险公司的赎金缴纳意愿，因为他们知道在披露付款信息后将面临政府审查，涵盖付款方式、支付金额和支付对象等多项要素。澳大利亚等国也正在提出同类立法草案。 

因此，或许企业制定应对措施的第一步最佳策略就是，寻求勒索病毒保险政策方面的法律建议。

勒索病毒是一门大生意

虽然尚不存在勒索病毒逐年犯罪收益的确切数字，但执法部门逮捕团伙成员和追缴被盗赃款的一类报道，一定程度上揭示了犯罪规模。被警方查扣的赃款包括数百万美元现金和一些价值不菲的资产，另有不少用于犯罪活动的加密货币账户已被冻结。

为了深入洞察问题的严重性，以2022年1月14日的一起热点事件为例，当天俄罗斯联邦安全局（FSB）的特工逮捕了恶名远扬的勒索病毒犯罪团伙之一 - Sodinokibi（又名REvil）的14名成员，罚没了价值660万美元的资产、20辆豪华汽车，以及一揽子用于从事附属犯罪活动的加密货币钱包。

在俄安全局突袭之前，俄执法机构已逮捕了该团伙的7名附属嫌犯，甚至从另一名在逃嫌犯处追回了610万美元。

与计算机犯罪活动所惯用的商业模式如出一辙，Sodinokibi 团伙经营着一个庞大的勒索病毒营销网络，从世界各地附属嫌犯所获得的赎金收入中抽取30%至40%的提成。

美国司法部称，2021年11月Sodinokibi借助勒索病毒营销网络获得赃款愈2亿美元，加密计算机数量高达175,000台。

勒索病毒对全球商业活动及其数据的影响非常严重。这一趋势已被媒体头条反复报道，最引人注目的是 2021 年美国大型油企Colonial Pipeline的数据加密案。该案因人们恐慌性购买燃油和高达440万美元的赎金要求，一度导致美国国内汽油短缺。

2019年欧盟网络安全机构ENISA称，勒索病毒赎金缴纳总额为100亿欧元。2021年上半年，据美国金融犯罪执法网络估算，与勒索病毒有关的比特币支付金额已达到52亿美元。从以上数据不难判断问题的严重程度。

这些数字还掩盖了另一个经常被忽视的要素。那就是勒索病毒之所以大获成功，是因为数据对现代企业的运营至关重要。失去数据访问权，便意味着失去业务。

勒索病毒带来关键数据方面的心理压力

勒索病毒会造成巨大的心理压力，因为企业意识到潜在声誉受损、业务中断、将面临法律和经济处罚，加上失去核心数据控制权后的忐忑不安。正是由于关键数据无法取代的重要性，才使得勒索病毒攻击案件愈演愈烈，网络犯罪份子专门利用企业对计算机网络的深度依赖性实施敲诈并屡屡得手。

2019年11月，勒索病毒团伙Maze首创了一种先窃密后加密的做法（先从受害企业的系统中窃取宝贵或敏感数据后，再进行加密）。除要求受害企业缴纳赎金外，该团伙还会随后勒索一笔附加费，否则便威胁将数据公之于众或出售给其他买主 – 从而构成双重敲诈。

为了加大受害企业的压力，一些勒索病毒团伙还会在受害企业未缴纳赎金的情况下，采取进一步措施，直接联系其业务伙伴或客户。他们会暗示已通过网络攻击获取敏感数据，建议业务伙伴或客户共同向受害企业施加压力以支付赎金，甚至会直接要求业务伙伴或客户付款。

这一犯罪趋势的另一个有趣之处就是，犯罪份子对互联网时代的信息价值和用途有了敏锐的认识。

最近出现的一个无耻转折点就是，他们在公开宣扬勒索病毒攻击活动的同时，已开始提供内幕信息来做空上市公司的股票。勒索病毒团伙DarkSide于2021年4月在暗网上发布通告称，能够提供从纳斯达克和其他证券交易所上市公司窃取的内幕信息。该团伙打的如意算盘是，借助负面宣传、股价下跌和出售内幕信息等手段，给一些公司平添支付赎金的压力。

美国通信业巨头威瑞森电信于2017 年收购雅虎之后，犯罪团伙便开始聚焦市场压力手段的运用。两次泄露数据的消息传出后，威瑞森电信将收购雅虎的原始报盘价调低了3.5亿美元，这一点引起了网络犯罪团伙的关注。美国联邦调查局在2021年11月发布的一份私营企业预警公告中强调，如今勒索病毒攻击者已将攻击活动与企业最新并购议案串联起来，以期最大限度地提高勒索金额。

这些团伙敏锐地意识到企业无法访问数据的价值所在，其作案手法通常是通过一系列其他手段来不断加大压力。此外，一旦受害企业拒绝付款，勒索病毒团伙通常会威胁反复多次追加攻击。攻击范围从针对受害企业官网的DDoS攻击，到利用高管设备上发现的数据，对公司高管进行人身威胁不等。

有时，犯罪份子会利用打印机轰炸等突袭策略来炫耀其网络技术水平，向多台连网打印机下达赎金勒索页面的打印指令 – 从而对企业管理层的当前事件内外部沟通管控能力带来威胁。一些团伙还会利用企业数据库中的联系方式致电企业高管，以进一步强化四面楚歌的感觉。

2020年的一次攻击中，勒索病毒团伙Ragnar Locker甚至运用一名被盗号美国人脸书账户里的资金，利用Facebook Ads发起了诋毁金巴利酒的宣传攻势，试图胁迫酒企支付服务器解密赎金。幸运的是Facebook检测到广告异常后，迅速将广告开支上限设定为35美元，使这一闹剧以失败告终。

勒索病毒攻击和其他数据威胁的预兆

利用勒索病毒攻击企业前，通常要经历两个阶段的预备过程：从最初的网络渗透入手，然后是侦察阶段，并可能伴随着数据窃密。

通常，勒索病毒攻击者需要依赖精通网络入侵技术的中间人，来获取企业网络的初始访问权。为了获得网络访问权，攻击者首先会对企业网络做一番窥探，以查找不安全的系统配置，尤其是使用远程桌面协议（以下简称“RDP”）的远程访问工具（通过网络访问远程设备的工具）中存在的不当配置，或寻找可加以利用的漏洞软件。其他攻击途径包括定向网络钓鱼（假冒大概率会得到用户回复的知名企业邮箱，向个人发送电子邮件）或大量群发钓鱼邮件。这两类电子邮件都含有恶意附件或链接，旨在诱使粗心的收件人不经意间泄露帐号密码或下载和安装恶意软件。

初期负责网络入侵的技术中间人，往往是在暗网上雇用的。对他们来说，新冠肺炎疫情犹如天赐良机，因为太多办公室职员不得不居家工作，大量依赖远程访问工具，使RDP成为居家工作的一项基本要求。该协议不但支持双向操作，还允许技术人员远程管理员工的设备。

不幸的是，RDP可能蕴含重大隐患，将设备大规模地暴露在互联网上，是必需经过深思熟虑后才可以做出的决定。

尽管通过互联网来访问启用RDP的设备，相比利用其他渠道（如电子邮件）投放勒索病毒的步骤更为繁琐，但RDP确实为攻击者提供了显着的优势，如滥用合法访问权限、逃避防毒软件检测，以及企业内部多个系统或全网渗透能力；特别是在攻击者成功将自身权限提升为“管理员”或成功入侵管理员设备的情况下，这些优势尤为突出。与恶意软件不同的是，由于RDP是一项合法服务，因此利用RDP实施的攻击往往可以绕过许多防毒软件的检测。这一领域，无论是文献资料还是人们的防毒意识都相对匮乏。

全面撒网、寻找漏洞

负责网络入侵的技术中间人，对企业网络漏洞的追求是永无止境的。一旦某种途径不奏效，便会转向另一种途径，利用正规系统软件中未修补的漏洞来获得初始访问权限。一旦入侵成功，便会以此为基础取得其他连网系统的访问权。整个过程与动物世界中捕食者捕食猎物极其相似 – 不断寻找弱点，并利用弱点穷追不舍以实现目标。往往只有事发后方才知道，不法份子早已窥探过潜在对象的狩猎价值。

寻找受害者的过程中所运用的另一种攻击方法，就是利用“零日漏洞”。安全漏洞的本质是软件代码编写有误，网络犯罪份子可利用它来实施攻击。当漏洞尚未发布修复补丁时，就会出现所谓的零日漏洞。补丁面向社会公众发布之前，都会存在“零日漏洞”。发掘零日漏洞的代价高昂，往往涉及资金充足、技术先进的始作俑者，如高级持续性威胁（以下简称“APT”）团伙以及有政府背景的网络团队等。

2021年3月份，当微软匆忙发布紧急更新，以修补连续出现的四个零日漏洞（后来被命名为ProxyLogon）时，Microsoft Exchange的某些版本遭遇了一连串攻击。这是一款企业级邮件服务器软件，通过Outlook投递电子邮件。

十几个APT团伙竞相对全球各地的Exchange服务器发起攻击，无论从速度还是规模上看，都是令人震惊的。未及时安装补丁或缺乏充分防护机制的企业难免会遭遇不良境遇，被不法份子访问其Exchange服务器，试图窃取电子邮件、下载数据，并使用隐匿恶意软件感染设备，以获得企业网络的长期访问权。

与勒索病毒结合使用时，漏洞的自动利用便会具有很强的破坏性。WannaCry勒索病毒就是一个很好的例子，2017 年英国国家卫生署曾沦为其受害者之一。该病毒利用了微软公司的服务器信息块（SMB）协议（用于大型企业网络中的文件和打印机共享）中存在的一个高危漏洞。尽管早在2017年5月12日即WannaCry爆发前的两个月，安全补丁就已经发布，但攻击者仍然锁定并加密了超过二十万台未打补丁的设备。

显然勒索病毒团伙已事先做好了功课，对细节的重视程度也不言而喻，因为他们清楚地知道，有些公司拥有数据备份，不会向他们付款。因此，常用于文件共享和数据备份的网络存储设备（NAS）也极有可能沦为攻击目标。这一点已在2021年的一起案例中得到了印证：NAS 设备制造商 QNAP 警告客户，一种名为eCh0raix的勒索病毒正在攻击NAS设备，使用弱密码的设备被恶意加密的概率最大。

2022年1月，DeadBolt团伙针对QNAP NAS连网设备发起了勒索病毒攻击。攻击者声称正在利用一个零日漏洞，并准备以185万美元的价格，向QNAP披露该漏洞。

如有此类设备连接互联网且易受攻击，建议最好立即断开连接。鉴于NAS设备通常用于存储数据备份，以便企业遭遇勒索病毒攻击后还原数据，针对网络存储设备的一类攻击行为破坏性极强。

如前所述，许多犯罪分子仍然利用电邮附件来传播勒索病毒的恶意安装代码，通过此类附件投递下载器，再在收件人的设备上安装恶意程序，或在企业连网设备上建立立足点。

电子邮件是僵尸网络（如Trickbot、Qbot和Dridex）这一互联网祸端的主要传播途径之一。僵尸网络由一系列软件程序构成，将大量染毒计算机通过互联网串联起来，组成通常能够实现自动化协同攻击的“肉鸡网络”，是网络犯罪的一种核心形式。僵尸网络可以按照用量（最短只需15分钟）对外出租，通过自动发送海量信息征询请求，使网站和在线计算机系统超负荷崩溃。僵尸网络为垃圾邮件群发、前面提到的DDoS攻击以及勒索病毒的传播，提供了不可或缺的投放机制。

犯罪份子扫描互联网，寻找易受攻击的计算机，同时散布垃圾邮件，诱使警惕性不高的人群上当。一旦有人安装它所投放的恶意程序，受害者设备上的各类数据就会被秘密采集，发送给攻击者指定的服务器。然后设备便会被攻击者所控制，并与其他染毒设备串联后，形成一个庞大的僵尸网络，用于实施大规模攻击，如散发有毒电子邮件、针对目标网站实施DDoS攻击、传播勒索病毒等。对于用户来说，能够察觉的唯一染毒迹象可能只是计算机运行速度变慢。

Trickbot等僵尸网络通常将含有恶意代码的Microsoft Office文档用作电邮附件，借此实施最初的系统入侵，并很可能将投放勒索病毒作为最终手段。此类案例中，僵尸网络运营者通常充当初始访问代理，将其所控制染毒网络的访问权出售或出租给勒索病毒团伙。正因如此，僵尸网络和勒索病毒之间经常存在着直接的关联。 

犯罪分子还会设法感染正规的软件发布渠道。人们通常会从网站下载软件，再在软件使用过程中，直接从软件公司的更新服务器获取更新。官方服务器会定期推送更新，包括错误修正补丁、安全补丁和新功能安装包等。

2017年间，有勒索病毒团伙在针对乌克兰网络战的行动中，利用乌克兰境内广泛使用的财会软件M.E.Doc来传播恶意程序DiskCoder.C（又名NotPetya）。攻击者先是侵入了软件公司的更新服务器，将恶意代码添加到正规应用程序的更新文件当中。软件用户点击安装更新程序后，便会不知不觉地安装上一款恶意后门程序，为有史以来最具破坏性的网络攻击敞开了大门。

2021年7月，Kaseya VSA成为了软件发布渠道遭受攻击的另一个对象。Kaseya是一家IT 管理软件开发企业，其主要客户是加盟运营商（MSP）。其所开发的VSA产品提供自动打补丁、远程监控及其他功能，方便加盟运营商管理客户端软件。

攻击者利用VSA入侵了数十家加盟运营商的系统，并向加盟运营商的客户发送了含有勒索病毒Sodinokibi的假冒更新程序。

2020 年7月，FBI 逮捕了一名试图招募特斯拉员工协同作案的俄罗斯人，称此人试图诱使特斯拉员工参与实施针对其公司的勒索病毒敲诈案。这一事件浮现出犯罪团伙试图通过贿赂员工，获取其雇主网络访问权的确切证据。此人承诺给付特斯拉员工100万美元报酬，以换取有关特斯拉公司网络的详细资料，以便开发出一款精心定制的恶意程序来窃取该公司数据，要求该员工在用以转移众人注意力的DDoS佯攻期间安装这款恶意程序。

内鬼风险是一个企业不得不持续面对的问题。根据2021年12月针对美国一系列IT公司的调查结果，多达65%的员工透露，有黑客曾提出过向其行贿，以获取其公司网络的访问权。此类信息是通过电子邮件、社交网站甚至打电话的方式，传达给企业员工的。

一旦成功侵入企业网络，攻击者便会转入第二阶段，为提高访问权限而开始仔细窥探。现代操作系统通常会为特定进程和用户分配一组特权，允许其执行某些操作。这种设计提高了系统的安全性，因为攻击者作为低权限用户进入网络后，其破坏系统的行为将受到限制 – 只有具备最高权限，才能使攻击者在连网计算机上为所欲为。因此，攻击者的首要任务就是，查看操作系统或已安装的程序是否存在可帮助其提升权限的漏洞，最好是能够借此获得管理员权限。第二个目标是保持对企业网络的访问权，以便随时再次入侵。

如攻击者所入侵的计算机上，正好保存着连网用户的相关信息，实现目标的难度便会大大降低。这是因为攻击者的可选方案之一就是，寻找长期不使用的帐户并假冒其用户身份登入网络。因此，网络管理员最好能及时禁用并删除已离职员工的帐户，以免变身幽灵再次出现在网络之中。虽然攻击者可以新建用户帐户，但这样做难免会引起IT管理员的注意。这就是为什么说时刻清理互联网开放性资产、用户和软件，是防范攻击的一项基本策略。

攻击者用于实现再次入侵的另一种方法就是，将“后门”程序植入目标系统中，以便日后随时进出。理想情况下，攻击者会尽量少用恶意代码，以便最大限度地降低报毒机率。这就是所谓的“就地取材”策略，使用实际系统管理员常用的合法软件，以及原操作系统上已安装的标准工具来扩大网络渗透范围。运行这些程序都有着合理正当的理由，尽管仍存在着一些检测方法，但却会使攻击行为的检测难度大大增加。

如系统上已安装有终端防护软件，同时拥有管理员权限的用户可以将其关闭的话，攻击者会试图关闭它；因此，查看所有防毒软件是否使用独一无二的强密码保护，是安全软件审核的第一步。

防御RDP（远程桌面协议）攻击的一个基本步骤就是，排查互联网帐户清单，列明启用了远程访问功能的帐户，研判是否有必要启用这一功能。这些帐户应设置独一无二的长密码或更容易记住的口令。

知道自己受到攻击是很有帮助的。一些安全软件具有密码穷举防范功能，可以检测外部登录口令输入错误的次数并阻止进一步尝试。密码穷举过程中，攻击者通常使用自动化软件工具生成的标准管理员帐户名（如“admin”），搭配默认列表或已泄露密码表上的密码来登录，有时会尝试多达数百万次组合。

密码穷举法也可以通过设置帐户登录次数上限来阻止。比如，连续三次输入错误密码后，便会在一段时间内阻止再次登录尝试，或虽然继续允许尝试，但需要等待更长的时间才能再次输入登录密码。

比依赖密码更好的方法是使用多重身份验证机制。除常规用户名和密码外，还需要另一条信息才能完成登录。

要对所有远程访问设备强化安全机制并安装补丁。不妨删除或禁用所有不必要的服务和组件，对所有系统设置应用安全性最大化的配置。

企业应实行电子邮件管理策略。虽然许多企业已具备基本的垃圾邮件过滤和网络钓鱼检测能力，但还可以做得更进一步，阻止不使用的附件扩展名。

企业应使用终端防护软件来保护所有终端设备和服务器，阻止员工访问已被安全软件列入黑名单、含有恶意程序或无益于本职工作的各类网站。安全软件应便于集中管理和更新，并可以控制接入系统的外部设备（如便携式USB存储盘）的访问权。

为员工提供网络安全培训，使之了解相关最新动态，可显着减少网络安全事件的发生。确保员工立即向服务中心或安全团队反馈可疑邮件和附件。

企业还应制定好深思熟虑、管理有素的全面备份计划。比如，当备份资料的存储设备设置为“始终在线”时，便会面临与本地磁盘和其他网络存储设备完全相同的风险：被勒索病毒入侵。这种风险可以通过以下方式来预防：

在网络犯罪的威胁下，现代企业所不可或缺的互联网开放式计算机系统不得不增加运营成本，迫使企业从三种方案中做出选择：投资网络安全、购买网络保险或承担攻击成本 - 有时是三者并举。

从技术角度来看，为了获得解密密钥而缴纳赎金，可能无法如愿以偿：

缴纳赎金还存在一定风险：犯罪份子可能不会信守诺言，尽管这并不是好的生意经。同时这样做，也相对于承认企业自身的弱点。2021年的一项调查揭示，缴纳赎金的企业当中，近半数再次遭到了攻击，显然是同一团伙所为。

如今，网络保险公司已在帮助企业减少因网络事件而蒙受的损失方面，发挥着重要的作用，但随着攻击数量的增多，保费也在水涨船高。潜在的巨额保费也助长了勒索病毒的进一步滋生 - 已有团伙挖掘被入侵企业的文件，查看是否存在网络保险合同及相关承保范围。这表明网络保险公司的角色可能需要做出改变，转变到为恢复成本提供理赔保障，而不再赔付赎金。

监管部门的注意力也开始集中到勒索病毒团伙身上。这导致一些国家和地区相继出台法规，强制企业披露染毒事件，并将已知关联组织和个人添加到制裁名单当中。社会人士还纷纷倡导，集体抵制缴纳赎金的做法。多国政府可能会坚持推行，有关企业缴纳赎金前必须备案的强制性规定，并对允许缴纳赎金的情况加以限制。正如联邦调查局（FBI）明确指出的那样：“支付赎金不仅会鼓励现有网络犯罪份子对更多企业实施攻击，还会激励其他犯罪份子参与到同类违法犯罪活动中来。”

然而，占据道德制高点、坚决不缴纳赎金，并不总是成本更低的选择。WannaCryptor袭击英国国家卫生署时，专家估计重建成本高达9200万英镑。

一些人指出，医疗保健机构等关键服务领域遭受攻击的情况下，不缴纳赎金可能对患者生命造成损失。2019年和2020年间已发生过两起这样的案例，勒索病毒攻击被认为是导致患者死亡的潜在原因之一。

缴纳赎金的做法还掩盖了另一个问题，那就是在法律的层面上，企业有义务保护自身系统、使之不感染病毒，对于特殊行业来说尤其如此。

事实上，现阶段一味缴纳赎金而不断叠加的长期成本，似乎正在劝退现有理赔模式，使保险公司继而推动企业重返本应立足的投资原点：基本网络安全实践和工具类投资。