2020新冠疫情將全球數字化轉型的進程提前了至少兩到三年，有的行業甚至提前了五年以上。然而在業界歡呼數字經濟新機遇的時候，疫情也催化了全球網絡威脅的爆發，特別是于2017年首次爆發的勒索病毒，在2020年以及2021年上半年更有呈現數倍爆發的態勢。根據騰訊安全發布的《2021上半年勒索病毒趨勢報告及防護方案建議》（以下簡稱《報告》），僅2021年第一季度，就發生了多起國際知名企業被勒索的案件，贖金持續刷新紀錄。

　　“2020疫情期間，幾乎所有企業和機構的運營方式都發生了巨大的變化，物理隔離導致了遠程辦公成為常態，而遠程辦公則導致整體網絡攻擊威脅大漲”，騰訊安全總經理王宇近期表示：“遠程辦公的員工更容易打開陌生人的郵件，這極大增加了勒索病毒這種惡意攻擊的成功概率，甚至帶來企業和機構關鍵數據和信息的泄露，進而導致勒索病毒攻擊目標更精準、勒索金額更龐大。”

　　在對抗勒索病毒攻擊方面，公有云具有更強的企業數據保護能力。由騰訊安全發布的《2020年公有云安全報告》指出，得益于業務上云之后可選擇相對完善的數據備份方案，針對公有云的勒索軟件攻擊相對不易得逞。王宇則進一步強調，從2017年開始的勒索病毒已經發展到十分成熟、分工細化的黑色產業鏈，相對于封閉的企業本地IT或私有云環境，集合了完整安全服務能力、安全大數據和安全實踐的公有云，更能應對日益嚴峻的勒索病毒態勢。

　　勒索病毒的全面升級

　　2021年5月，美國最大的燃油管道公司ColonialPipeline遭遇勒索病毒攻擊，導致美國東部17個州和華盛頓特區宣布進入緊急狀態；7月，厄瓜多爾最大的國營電信公司被勒索，導致運營出現大面積故障；8月，全球IT咨詢巨頭埃森哲遭遇勒索軟件攻擊，勒索軟件組織聲稱竊取了6TB的數據并要求支付5000萬美元的贖金。相比于2017年小規模的勒索贖金，2021年以來的勒索病毒攻擊目標更集中在具有更強支付能力的大型企業和機構。

　　自2017年5月爆發WannaCry勒索病毒以來，勒索病毒在迄今為止的4年多時間時發生了顯著的升級和進化：首先是勒索病毒的“家族化”發展。根據騰訊安全的《報告》，2021年上半年GlobeImposter家族和具有系列變種的Crysis家族等老牌勒索病毒依然活躍，而Phobos、Sodinokibi、Buran、Medusalocker、Avaddon、lockbit、Ryuk、NEMTY等新型勒索病毒家族也有著廣泛流行的趨勢；其中大部分勒索病毒都有著變種多、針對性高、感染量上升快等特點，像Sodinokibi、Medusalocker等病毒甚至呈現針對國內系統定制化的操作。

（勒索病毒的工業化“生產”流程，來源：《2021上半年勒索病毒趨勢報告及防護方案建議》）

　　其次，勒索病毒的工業化“生產”，即出現了RansomasaService。簡單理解，過去制造一個勒索病毒還需要較為復雜的技術能力，而現在整個勒索病毒的生產已經形成了從研發、傳播到解密和挖礦獲利的SaaS化運營，參與者只需要擁有自己的網站和投放勒索病毒的渠道，花費很低的成本就能從最終收益中獲得分成。而在中國市場，由于中國企業并沒有采購加密貨幣支付贖金的渠道，還出現了利用受害者服務器直接挖礦獲利的新方式。

　　第三，勒索病毒的技術呈現全面升級態勢。在加密算法方面，最初的勒索病毒加密算法還不算太強，可以解出一百多種勒索病毒并進行數據還原，但現在無論從密碼學還是軟件設計等方面都無法實現解密。在對抗性方面，在最初的文件加密基礎上，現在的勒索病毒還搗毀了備份還原路徑，讓受害者無法進行數據還原，對抗技術越來越全面。在攻擊手段方面，從最初的自動攻擊已知漏洞發展到APT高級可持續威脅攻擊模式，即有針對性的手動入侵后再植入病毒進行勒索，此外還有利用遠程登陸造成的弱密碼或密碼泄露等進行密碼爆破。在受感染系統方面，從之前受影響較大的Windows系統到如今的MacOS、安卓等移動甚至工控系統也陸續受到勒索攻擊。

　　整體來說，勒索病毒在過去4年多的時間里已經全面升級，特別是2021年剛剛過半，勒索病毒的爆發量已超過2020年全年總和。那么，在應對升級的勒索病毒方面，企業數據安全與保護技術架構到底應該沿用傳統的企業IT/私有云+專業安全服務商模式，還是應該優先選用公有云技術架構和服務？企業IT/私有云與公有云到底哪個更安全，這是自2017年WannaCry之后就沒有停止過的技術討論。

　　為什么公有云更安全？

　　在2017年WannaCry病毒爆發的時候，就出現了一波企業IT/私有云與公有云到底誰更安全的爭論。到了2021年，這個爭論有了一個事實上的回應：美國IT管理軟件提供商Kaseya在2021年7月遭到了勒索軟件攻擊，由于Kaseya主要為其它IT托管服務商提供IT管理軟件，因此黑客聲稱該次勒索軟件攻擊影響了800-1500家左右的企業、感染了超過100萬個計算機系統，黑客進而索要7000萬美元的贖金。

　　使用Kaseya軟件的客戶大多是IT托管服務商，這些IT托管服務商基于Kaseya的軟件，為企業IT和私有云環境中的設備和基礎設施提供IT托管服務，因此當Kaseya軟件被黑客攻擊后而這些IT托管服務商又沒有足夠的安全防護能力時，就會導致勒索病毒向下游企業客戶的蔓延。例如，瑞典雜貨連鎖公司Coop的PoS供應商就使用了Kaseya客戶（即一家IT托管服務商）所提供的服務，導致被迫關閉了數百家門店。

　　當然，如果IT托管服務商的技術能力很強時，也能及時阻止勒索病毒攻擊。例如埃森哲就在遭遇勒索病毒攻擊后，馬上控制并隔離了受影響的服務器，而由于埃森哲進行了較為完善的數據備份，因此能從備份中完全恢復受影響的系統。作為全球最大的IT咨詢和托管服務商之一，雖然并不知道埃森哲被竊取的6TB數據中包括了多少其客戶的數據，而且這些被竊取的數據也被勒索組織發布出來，但到目前為止尚未造成重大影響。

　　從Kaseya和埃森哲的例子就可以看出，勒索軟件對于企業IT/私有云的最大挑戰之一在于安全人才、技能、知識和實踐的匱乏。畢竟，不是所有的企業都能支付得起埃森哲這樣頂級IT托管服務商的費用，對于大多數IT托管服務商或所謂的專業安全服務商來說，很難為一家企業客戶提供完整的從網絡、系統、應用到數據的全棧和實時的異常掃描與覆蓋，而即使是專業安全服務商也面臨著及時掌握安全大數據的挑戰，因為安全問題是一個動態演進的過程，不同專業安全服務商也很難與同行共享自己的技術、能力、知識和相關實踐。

　　公有云則不同。首先，公有云的技術體系基本都是基于Linux，而勒索病毒的主要攻擊對象是Windows系統且通過Windows系統大范圍擴散，因此公有云相對受勒索病毒的影響更低，更不易被攻破。其次，公有云服務都是從網絡、系統、應用到數據的全棧全自建，公有云服務商具備全棧的安全人才團隊，掌握和精通每一層的安全問題及防護措施，并且能夠快速對不同技術棧的威脅事件進行關聯，對異常行為進行快速響應和有效阻擊。第三，公有云具備有效且完整的入侵檢測、態勢分析、告警機制等，一旦發現高危漏洞就可以快速推送給所有的云租戶，從而降低和有效規避風險。第四，上云的企業除了利用公有云建立自己的云上備份外，公有云服務商本身對所服務的客戶提供了多重備份機制，確保上云企業的云上數據安全，即使被勒索也能很快恢復數據。

　　王宇強調，很多企業以為自建封閉的數據中心更安全，但其實并沒有專業的安全人才對企業數據中心進行長期的威脅暴露面梳理，這些暴露面很容易中招互聯網病毒而企業往往不自知。另外，當年的WannaCry其實有一個“開關”，但由于企業內部數據中心并沒有對外聯網而不能及時關上“開關”，導致受害程度不斷加劇，而這些傳統上封閉的企業和機構在上了公有云后，風險程度反而能降低，因為公有云服務商對勒索病毒提供完整的防御體系。

　　公有云的“三重防線”

　　騰訊作為國內最大的消費互聯網之一，也是國內最大的產業互聯網和公有云服務商之一。正是集消費互聯網、產業互聯網和公有云等三合一的優勢，讓騰訊云煉成了具有全網最強感知和預測能力的云原生安全，從而可以及時有效對抗勒索病毒。

　　王宇強調，如果能夠提前感知安全事件，甚至在其萌芽期就能感知到的話，就能獲得較大的響應時間窗口并有效部署后續的應對措施。對于騰訊云來說，既有騰訊在消費互聯網端的安全產品，也有服務產業互聯網的安全產品，以及公有云自身的安全能力，形成了全網的威脅感知覆蓋。騰訊云的上百萬臺服務器，基于上涵蓋了所有云上基礎設施的威脅感知范圍，而騰訊在消費互聯網的電腦管家和手機管家等覆蓋了上億的用戶，從而形成全網感知。

　　在應對勒索病毒方面，很多企業的一個誤區是“銀彈思想”，也是很多企業目前最大的問題，即認為存在一種辦法或系統能夠徹底解決安全問題，但這實際上并不存在。王宇表示，抵抗勒索攻擊，首要是安全意識要提高，定期進行安全培訓，堅持“三不三要”工作思路：1，不上鉤：標題吸引人的未知郵件不要點開；2，不打開：不隨便打開電子郵件附件；3，不點擊：不隨意點擊電子郵件中附帶網址；4，要備份：重要資料要備份；5，要確認：開啟電子郵件前確認發件人可信；6，要更新：系統補丁/安全軟件病毒庫保持實時更新。

　　在全網感知能力之上，騰訊云對于對抗勒索病毒提出了事前、事中和事后的“三重防線”。第一重防線是事前防患未然，風險檢測與充分備份并行。勒索病毒攻擊常常通過釣魚郵件、水坑攻擊、漏洞利用和爆破等手段突破邊界，這一階段通過資產掃描、基線檢測、漏洞掃描降低入侵風險，通過事前部署數據備份系統，在勒索攻擊來臨前做好充分準備。事前階段涉及到騰訊云產品包括：云硬盤CBS，提供用于云服務器（CVM）的持久性數據塊級存儲服務；安全托管服務，提供安全評估測評服務，以發現和修復網絡弱點；主機安全，提供基線檢測與漏洞檢測修復服務；漏洞掃描服務，網絡資產安全漏洞掃描修復服務。

　　第二重防線是事中的精準狙擊，及時告警、響應和攔截。當黑產入侵系統后，常常通過病毒投放、橫向移動和加密勒索等形式對企業的業務系統造成不可逆的侵害，這一階段主要通過流量側、主機側的檢測響應機制，及時發現黑客入侵行為、防止勒索攻擊在內網擴散，阻止攻擊者竊取企業機密信息，及時響應處置告警事件，將威脅消滅在起始階段，避免大的災難發生。事中階段涉及到的騰訊云產品包括：云安全運營中心（云SOC)，協調企業云端所有安全防護產品及時檢測威脅、響應告警、分析日志、處置威脅；主機安全，檢測清除惡意病毒木馬，攔截部分高危漏洞攻擊，及時對攻擊事件告警；騰訊云防火墻，內置虛擬補丁機制，攔截利用高危漏洞發起的攻擊活動，阻斷橫向移動，避免威脅擴散；騰訊Web應用防火墻，通過對web流量的實時檢測，防護各種形式的網絡攻擊。

　　第三重防線則在事后消弭于無形，備份還原及時有效。當遭遇勒索病毒攻擊后，企業可以借助安全產品或服務快速恢復業務，并對事件進行溯源分析，及時對短板進行修復處理，避免被攻擊者重復利用。事后階段涉及到騰訊云產品包括：云安全運營中心（云SOC），對事件進行回溯調查，發現威脅源頭，采取針對性的系統加固措施，避免攻擊者再次來襲；云硬盤CBS，通過鏡像回滾，快速恢復業務，避免業務系統因黑客攻擊而中斷；安全托管服務，為企業提供全方位的應急響應服務。

　　王宇表示，除了事前、事中、事后的“三重防線”外，針對國際上對抗勒索病毒所提出的P2DR模型，即預測、檢測、防御和響應，騰訊云也推出了相應的完整產品與服務體系。當然，對于企業和機構來說，最大的收益還是通過公有云服務共享了騰訊云安全人才與技術能力：騰訊內部幾大安全實驗室和安全平臺部超過300人的頂尖研究力量成立“云全棧安全研究工作組”，而騰訊共有超過3500名的安全專家和技術人員投入到騰訊云安全建設。截至2021年初，騰訊在云安全方面已經取得了1500多項技術專利，位列行業第一；2020年，騰訊云在云基礎安全和云業務安全方面，獲得了Gartner、Forrester、IDC、Sullivan等國際權威安全機構的認可，以及韓國、新加坡、德國、美國、歐盟五個國家和地區的最高安全資質認證。

　　整體來說：2020全球疫情在加速全球數字化轉型進程的同時，也推動了網絡安全威脅的水漲船高，特別是許多企業和機構在向數字化和遠程運營遷移過程中的漏洞風險和密碼爆破攻擊飆升、異地異常登陸行為顯著上升等等，為勒索病毒攻擊提供了大量機會。傳統企業IT/私有云在應對全面升級的勒索病毒攻擊時，已經顯現出力不從心。公有云作為社會化的共享計算模式，也是社會化的共享安全能力與建設。“集中力量辦大事”，這是以騰訊云為代表的公有云成為企業數據保護首選技術架構的根本原因所在。