在這樣的勢頭下，攻擊者正無休無止地想盡各種辦法開發新方式滲透企業網絡和 IT 環境，攫取數據并以此為要挾。攻擊者現在已在網絡釣魚的基礎上進一步升級復雜的新攻擊方法，可能包括社會工程學攻擊，以及利用混合辦公模式中的漏洞(比如在工作時使用多種網絡設備和家庭物聯網)。此外，犯罪開發者還緊跟軟件即服務的趨勢，在暗網上提供勒索軟件即服務(RaaS)。加密貨幣的支付形式足以說明，RaaS是一種“成功的商業模式”，勒索攻擊的門檻也隨著它的日漸成熟越來越低，就算不懂技術，也可以加入到勒索攻擊行業中， 并且攻擊成功的概率越來越高。

在中國，針對大型企業的網絡攻擊事件層出不窮，勒索金額高達千萬人民幣不等，并且造成數據泄露，甚至有包括用戶名、密碼、電話號碼、身份證等數據在暗網流通。

法規不斷完善

在此背景下，我國出臺和施行了《網絡安全法》《數據安全法》《個人信息保護法》等安全法規，對網絡安全違規事件的處罰力度也不斷提升，最高處罰為5000萬元(加5%的企業營收)。此前，一些企業因數據安全問題交出了高昂的罰款。今年以來，數家銀行因敏感數據信息存在泄露風險、瞞報信息系統突發事件等違法違規行為被罰款。

全球不同的國家和地區針對隱私的立法各不相同，但皆在重審隱私法規并加快完善步伐。我國2021年底正式實施的《個人信息保護法》專門針對個人信息保護的統領性法律，其與《網絡安全法》、《數據安全法》等法律一起構成規范性、系統性、完整性的保護體系，致力于共同為公民個人信息權益保護提供切實有力的法律保障。Gartner預測，到 2024 年底，全球 75% 人口的個人信息與數據將受到最新隱私法規的保護。

數據保護仍任重而道遠

我們觀察到，許多企業在數據安全問題上持“既要又要”自相矛盾的態度:既想要享受個性化的在線和數字化服務，又要求自己的數據是安全私密的。與此同時，盡管數據安全問題可能會造成巨額經濟損失與罰款，會對客戶信任和品牌聲譽造成不可逆的損害，但仍有企業沒有認真對待與重視數據風險和合規問題。

Veritas的《2022 守護企業多云環境》研究報告發現，只有11%的中國受訪者表示他們的企業會持續備份數據，46%的企業表示他們備份數據的頻率小于每 12小時一次。這個比例令人擔憂，這意味著，一旦遭遇勒索攻擊或服務器故障，企業將會面臨數據永久丟失的風險。此外，許多IT專家對公司已經引入的云計算解決方案缺乏明確的認識。只有58%的人能夠準確說出公司現在使用的云服務的數量，并且也不清楚可能需要保護的數據。

給企業的建議

盡管勒索軟件的技術和方法在不斷更新演變，但勒索攻擊也并非不可戰勝。建議企業采取行之有效的措施來降低成為攻擊目標并導致業務運營停滯的風險。需要明確的是，一個企業的網絡防御能力取決于它的短板，因此IT團隊需要加強最薄弱的環節，不能僅僅通過端點安全來避免勒索軟件攻擊，而是應當部署一個多層次的應對戰略。

面對破壞力巨大且代價高昂的勒索攻擊，各種規模的企業都要對此有所防備。Veritas建議企業部署多層防護體系來抵御勒索攻擊，重點聚焦于圍繞保護、檢測和恢復三方面構建多層防御體系，確?？蛻舻木W絡韌性。這種長期框架戰略不僅是與可信賴的合作伙伴建立長期關系的必不可少的一部分，也是降低風險和抵御威脅的明智之舉。

勒索軟件威脅當下，企業雖不必談虎色變，但也需要嚴陣以待，通過不斷提高、完善數據管理和保護水平增強抵御風險的韌性。企業需要意識到，數據已不僅僅是成功的點金石，還是損失的任意門。只有有所防備，才能無所畏懼。

關于Veritas

Veritas Technologies是安全多云數據管理領域的領導者。超過八萬家企業級客戶，包括95%的全球財富100強企業，均依靠Veritas確保其數據的保護、可恢復性和合規性。Veritas在規?；目煽啃苑矫嫦碛惺⒆u，可為企業提供抵御勒索軟件等網絡攻擊威脅所需的彈性。Veritas通過統一的平臺，支持超過800種數據源，100多種操作系統以及1400多種存儲設備。在云級技術的支持下，Veritas現正在實踐其數據自治戰略，在降低運營成本的同時，實現更大價值。