勒索软件再狡猾，也斗不过“干净的恢复”

勒索软件虽然是一个老生常谈的话题，但为什么这么多年来勒索软件依旧难防难治？最新发布的《Veeam 2023年勒索软件趋势报告》（以下简称《报告》）揭示出了深层次原因。

《报告》）显示，85%的公司遭遇过至少一次勒索软件的攻击；更有甚者，17%的企业在过去的12个月中曾经历了4至5次甚至高达6次以上的攻击。从调查数据来看，勒索软件不仅发生频率高，地理分布广，而且攻击复杂程度也越来越高。

不仅如此，网络攻击还越来越“狡猾”和具有针对性，攻击者几乎总是（93%以上）以备份为目标，其中75%的攻击中成功地削弱了受害者的恢复能力。

一方面，攻击“凶猛”，而另一方面却是防护乏力。《报告》）显示，只有35%的受访企业建立了风险管理机制，并且制定了相对有效的风险管理计划；超过52%的企业虽然也制定了风险管理计划，但还不足以抵挡勒索软件的攻击，仍有许多细节需要改进。

症结找到了，接下来就是如何进行有效的防御！

Veeam亚太及日本地区高级技术专家Anthony Spiteri指出，抵御勒索软件攻击最重要的一步就是确保良好的备份。可能很多人会觉得，“不就是备份吗？我们早就做了……”实际上，很多企业并没有做到端到端的备份。备份最重要的不是单纯备份数据，而是在需要时能够及时有效地恢复数据。有效恢复这根弦必须绷紧。

Veeam亚太及日本地区高级技术专家

Anthony Spiteri

“企业必须做好员工的教育工作，即将风险管理的理念、策略落实到每一个员工。”Anthony Spiteri解释说，“从后端来看，这是一个流程，要建立一个端到端的风险管理解决方案，包括保护数据，减少风险，同时还要恢复数据，能够在攻击出现时做出有效的应对。”

因此，企业需要一个像Veeam数据平台这样的全面保护解决方案，不仅能够实现端到端的数据保护，而且能够在受到攻击或发生事故时做到数据的有效恢复，从而保证业务的连续性。

现在业界逐渐达成了共识——没有网络是无法被攻破的。单纯被点动地防御，总会顾此失彼，所以企业要更加积极主动地进行防御。既然攻击不可避免，那么最重要的就是在发生攻击后，企业要具备有效恢复的能力，将损失降到最低。

在勒索软件攻击事件发生以后，企业要如何恢复数据呢？《报告》显示，在受到攻击后，75%～85%的企业会受到不同程度的影响，数据恢复的比例大约为45%。“我们发现，16%的企业采用了Veeam的解决方案，在没有支付赎金的情况下就恢复了数据。我们特别希望将这一部分用户的比例持续扩大。”Anthony Spiteri表示。

由于勒索软件变得越来越狡猾，会针对性地攻击已经备份的数据。这也给数据恢复增加了难度。《报告》显示，攻击者总是试图攻击备份的存储库，进而修改或删除备份的存储库；39%的备份受到影响，导致数据丢失；而遭受攻击后，恢复数据大部分需要1～2周的时间，有的甚至长达一个月，这显然不能满足用户的业务需求。

针对勒索软件攻击，Veeam数据平台显然是有备而来。《报告》显示，18%采用了Veeam技术的客户，他们的备份是不可修改、不可改变的，这样就能够确保有效地恢复数据。Anthony Spiteri介绍说：“Veeam数据平台从功能设计的角度来讲，旨在尽量缩短数据恢复的时间，达到实时恢复的水平；同时，将数据恢复的比例尽可能地放大，恢复更多的数据。”

企业必须明确，在进行数据恢复时，首先要确保数据能够被恢复，其次恢复的数据本身必须是非常干净的，没有受到任何污染。“Veeam的技术可以让数据在一个隔离区中，或者在一个沙盒中进行恢复，同时还提供还原生产环境的检测安全扫描，以最大程度地保证数据的安全和不被污染。”Anthony Spiteri如是说。

为了确保干净的恢复，很多厂商都采用了备份存储库不可变或者隔离的网闸等，这些技术的应用正变得越来越普遍。不可否认，采用离线或者物理隔离的方式，能够最大程度地降低数据被污染的可能性。因此被很多人认为是过时的磁带技术，目前的应用比例还在上升。《报告》显示，备份数据最终还是会回到磁带（备份到磁带的占比达到47%）。磁带仍是许多企业普遍采用的备份工具，就是因为它具有不可变性，且具有隔离的网闸。

Veeam中国区技术总监马弘介绍说：“Veeam提供了多种方式保证数据的干净。比如，我们可以结合云上的OSS本身不变的特性，写一次、读多次的模式，确保不可变；另外，Veeam也提供很好的经过加固的存储库，以增强数据保护。”

Veeam并不是一家典型意义上的安全厂商，所以在检测和扫描方面，Veeam主要是与业内的安全合作伙伴进行协作，执行更多的检测。当然，Veeam ONE也在基础架构监测层面提供了一些必要的监测方式，在未来的版本中还会继续增强这方面的能力。其实不仅仅在数据恢复的过程中，即使是在备份的过程中，Veeam也能结合业界比较领先的防勒索软件工具进行检测；同时，Veeam也提供检测的引擎，形成互补和叠加。马弘表示：“我们希望通过多个维度的能力，争取达到一劳永逸，保证客户的数据安全和及时有效的恢复，让业务持续运行。”

现在，有黑客开始利用ChatGPT能够更容易地发起攻击。实际上，AI（人工智能）成了一把双刃剑。“我曾经在一个大会的现场亲自做过演示，利用ChatGPT写代码对数据进行加密。事实上，借助ChatGPT发起攻击确实是在发生。”Anthony Spiteri表示，“从Veeam的定位来说，我们永远不会成为一家预防或者是检测勒索软件的公司。Veeam能做到的是，让你的数据备份和恢复能够真正发挥作用。我们已经采用了一些机器学习算法，用于检测备份的数据是否受到污染。这是一种非常好的缓释风险的技术，可以有效防止备份数据‘中招’。”

“Veeam也在尝试将ChatGPT引入到整个支撑的流程中，未来的某个时候将提供给用户。在受到攻击后，企业将如何应对和恢复，Veeam会提供更加智能和快速的回答。请大家拭目以待。”马弘补充说道。

虽然Veeam不能在应用前端帮助用户防范勒索软件的攻击，但是能够帮助用户更好地掌控备份的数据以及存储库中的数据，并且可以借助一些第三方的AI工具，让用户自己实现更好的扫描，从而非常容易、放心地对干净的数据进行恢复。

生成式AI技术的出现，使得安全攻击变得更快、更复杂，但另一方面，企业也可以利用AI技术进行更好的防护。谈到数据安全，归根究底，企业还是要拥有固若金汤的备份，以缓释风险、恢复数据，从容地应对攻击。从这个角度说，Veeam的产品处于一个核心的位置，既能帮助用户更好地防守，同时又能更好地恢复。