Veeam：勒索软件不断增加 支付赎金仍然是错误的做法

Veeam是一家备份和恢复公司，因此人们可能想知道它为什么要发布网络安全研究。事实上，勒索软件恢复已经成为备份和恢复的首要用例。

尽管企业将持续投资资金在安全工具上以抵挡攻击，但当他们遭到破坏并且数据被锁定的时候，他们快速恢复数据的能力可能却是有差异的，有些企业把给业务造成的中断影响降至了最低，有些则是将比特币倾囊而出希望能够得到最好的结果。Veeam 2023勒索软件趋势报告对日益增加的勒索软件威胁，以及企业如何应对提供了很好的现实检验。

一家独立研究公司对1200名IT领导者进行了调研，这些IT领导者所在的组织遍布14个国家/地区，2022年他们至少经历了一次勒索软件攻击。重要的是，Veeam是在广泛企业基础上进行的普遍调查，而不是仅仅关注他们自己的客户，这更真实地表明了勒索软件的状况。

受访者细分如下：安全专业人员（37%）、首席信息安全官或其他IT高管利益相关者（21%）、IT运营（21%）和备份管理员（21%）。他们解释了勒索软件如何影响他们的组织、IT战略和未来数据保护计划的。

其中最引人注目的报告发现之一是，有1/7的组织可能有超过80%的数据因勒索软件攻击而受损，这反映出许多企业目前实施的保护措施存在的重大缺陷。更糟糕的是，其中有93%的攻击都是以备份为目标的，在3/4的案例中，攻击者成功地削弱了组织的恢复能力。平均来看，每次攻击在检测到之后至少需要三周才能恢复。

2022年，大多数组织（80%）支付了赎金以恢复数据，比上一年增加了4%。考虑到有41%的组织制定了反对此类付款的政策，这一数据着实令人惊讶。然而，支付赎金并不总能保证数据恢复，因为有21%的组织未能重新获得对其数据的访问权限。

这个数据点可能会让人震惊，但这屡见不鲜。一旦威胁行为者有了钱，他们就没有动力帮助企业。只有16%的组织通过从备份中恢复数据来避免支付赎金。

该报告强调了数据备份作为抵御勒索软件攻击策略的重要性，尤其是因为网络犯罪分子通常是以备份存储库为目标的。几乎所有（93%）的攻击都试图破坏备份，导致75%的组织丢失部分数据，39%的组织丢失所有备份数据。

鉴于这一风险，企业必须确保其备份是“不可变的”或者无法更改或删除的。好消息是，82%的组织已经在使用不可变云，而64%的组织使用了不可变磁盘。只有2%的受访者还没有在他们的备份解决方案中使用任何形式的不变性。Veeam持乐观态度，今年将会有越来越多的组织在整个数据保护生命周期中实现不可变数据备份。

另一个有希望的统计数据表明，87%的组织都有风险管理计划，这种计划旨在防止网络攻击。但这些组织中，只有35%的受访者认为他们的计划运作良好，而超过一半（52%）的受访者正在寻求改进。这就是为什么组织需要有一个“剧本”或者一组步骤，在发生网络攻击的时候可以按此采取措施。

组织至少应该在他们的“剧本”中包含这两个步骤。首先，他们应该在安全的地方保存干净的额外数据副本。备份副本应该受到保护免受攻击，并且不包含任何有害或恶意代码。其次，备份副本中的数据应该用于在主要系统受到攻击时使组织恢复正常运行。此外，由于备份团队和网络团队通常是分离的，因此整个组织应该采用一种统一的方法来应对勒索软件。

报告中发现的另一个令人担忧的趋势是，网络保险的成本增加和覆盖范围的缩小。有1/5的IT领导者称，勒索软件现在已经被排除在他们的公司政策之外，而大多数人经历了保费和免赔额的增加，以及保险福利的减少。绝大多数（96%）的网络攻击受害者可以在2022年使用保险支付赎金，其中有一半的人使用专门针对网络事件设计的保险。

然而，有28%的受害者使用的保险并非专门针对网络事件，18%的人即使有保险也根本没有使用，那是因为为网络攻击投保变得越来越困难和昂贵，就像由于暴风雨越来越频繁而获得洪水保险越来越难一样。事实上，有21%的组织表示，他们的保单不再涵盖勒索软件攻击。

该怎么办？

该报告强烈建议企业对勒索软件采取更积极主动的方法。鉴于网络攻击的可能性很高，每次攻击都可能导致重大的数据丢失，组织应该高度重视防止网络攻击和准备有效的恢复策略。

Veeam建议企业维护干净的备份副本并定期验证其可恢复性，作为他们风险管理策略的一部分。其他建议还包括，使用“分阶段恢复”来逐渐恢复数据，并防止系统在恢复过程中再次感染。这一点很重要，因为如果恢复受感染的数据，可能会发生第二次勒索事件。最后，实施混合IT架构可以通过把服务器恢复到不同平台来帮助组织制定整体灾难恢复策略。

应该和安全团队一起制定有关于备份和恢复的资金和政策。从历史上看，备份和恢复是资金匮乏的领域之一，因为在出现重大问题之前没人关心备份和恢复。另一方面，安全是组织关注的首要领域，因为包括业务领导者在内的每个人都担心发生数据泄露。

投入网络保护的所有资金都是为了防止数据泄露。零信任、安全信息和事件管理、安全编排、自动化和响应、扩展检测和响应、下一代防火墙和其他工具以不同方式保护企业。

这没有考虑到最坏的情况，即发生泄露、数据被加密并要求支付赎金。到时，备份和恢复将面临考验。如果资金充足，经过测试和重新测试，数据可以快速恢复，赎金可以忽略。

如果不是，好吧，Veeam报告中的数据突出了这些情况的发生，CISO和CIO们必须共同努力，以确保数据保护、备份和恢复的步调是一致的。