7月2日，美國IT管理軟體製造商Kaseya遭遇了駭客的攻擊，駭客團伙利用其遠端監控和管理產品VSA的0day漏洞向終端使用者傳送勒索軟體。

駭客隨後在暗網聲稱，他們的惡意軟體感染了超過100萬個系統。所有受害者被要求總共支付7000萬美元的比特幣，來獲得“通用解密器”恢復檔案。

Kaseya於週一表示，大約有50個客戶受到此次攻擊的直接影響。但Kaseya的很多客戶都是託管服務提供商，專門為其他企業提供IT服務，所以實際受到影響的企業在1500家左右，目前尚未發現產品原始碼遭到惡意修改的事件。

REvil瘋狂作案，三個月勒索近2億美金

這次攻擊，來自REvil勒索軟體，是全球臭名昭著的勒索軟體黑幫。5月份曾震驚全球的美國最大的燃油管道公司Colonial Pipeline遭遇勒索病毒攻擊，導致美國東部17個州和首都所在的華盛頓特區宣佈進入緊急狀態，也與該勒索軟體緊密相關。據安全研究人員分析， Colonial Pipeline遭遇的勒索病毒DarkSide就是基於REvil開發的。

REvil勒索軟體，又名Sodinokibi，最早出現於2019年4月，動輒向被攻擊的企業勒索數千萬美元。根據騰訊安全威脅情報中心的情報統計，該組織2021年以來明顯提升了攻擊頻率，並且瞄準的多是跨國企業或者國家的關鍵基礎設施等高價值目標：

• 2021年3月，該團伙攻擊宏碁(acer)公司，勒索5000萬美元；

• 2021年4月，該團伙在蘋果公司釋出新品前，攻擊蘋果供應商環旭電子，威脅要提前洩露蘋果公司設計資料，勒索5000萬美元；

• 2021年5月，美國最大的燃油管道公司Colonial Pipeline遭遇基於REvil開發的DarkSide勒索病毒攻擊， Colonial Pipeline支付了超過400萬美元贖金；

• 2021年5月，日本富士公司遭遇勒索攻擊，網站關閉，所幸該公司用備份恢復了系統，據稱也是REvil的“傑作”；

• 2021年6月，全球最大的肉製品供應商JBS遭遇勒索病毒攻擊，攻擊者還是REvil， JBS宣佈該公司支付了1100萬美元以恢復系統；

• 2021年6月，美國核武供應商Sol Oriens 公司是REvil勒索病毒的又一個受害者。

這次，該團伙將目標瞄準了軟體提供商Kaseya，引起了供應鏈下游一系列企業的連鎖反應，其中僅瑞典雜貨連鎖公司Coop因為其PoS供應商使用了Kaseya的客戶提供的軟體，就被迫關閉了數百家門店。讓人們意識到了軟體供應鏈被攻擊後的恐怖影響力。

與其支付贖金，不如事先主動防禦

從近期的事件可以看出，雖然駭客的首要目標是大型企業或關鍵基礎設施等高價值目標，但是在攻擊過程中，下游的中小企業也可能被殃及池魚。隨著產業數字化的加速，無論企業規模大小，資料都將成為其核心的生產要素，資料的價值也越來越大。

然而，勒索病毒加密手段複雜，解密成本高；其次，使用電子貨幣支付贖金，變現快、追蹤難；最後，勒索軟體服務化的出現，讓攻擊者不需要任何知識，只要支付少量的租金就可以開展勒索軟體的非法勾當，大大降低了勒索軟體的門檻，推動了勒索軟體大規模爆發。

面對日益提高的安全風險，中小企業應該如何防範呢？

一、提升企業的安全防護意識

無論是老闆還是員工，都應該重視網路安全措施，做好事先的防護。

《2021上半年勒索病毒趨勢報告及防護方案建議》中介紹，勒索病毒的傳播手段分為6個方向：弱口令攻擊、隨身碟蠕蟲、軟體供應鏈攻擊、系統/軟體漏洞、“無檔案”攻擊技術、RaaS。由此可見，做好事前的防護能大大減少中招的機率。

騰訊安全專家建議企業應遵循“三不三要”原則構建事前防禦體系。

二、上雲是平衡安全與成本的最優解

對於本身面臨安全預算不足、安全人才缺乏的中小企業來說，將自己的業務部署在一個安全的雲上，使用雲服務商提供的雲原生的SAAS化安全服務，是一個平衡成本投入和安全的最優選擇。

一般來說，要想對勒索病毒做出有效的防護，企業端需要對高危埠透過漏洞管理、基線檢查的角度主動發現潛在的漏洞風險，構建安全防線，並透過病毒查殺引擎實現主動防禦。同時也要在事前做好資料的備份，事後進行資料的恢復和解密，有效挽回損失。 

這樣一來，一方面企業要做好基礎安全防護工作，如針對基礎作業系統預設配置（高危服務埠、口令策略等）進行安全加固，收斂風險資產面；另一方面要時刻關注最新的安全動態，收集威脅情報，根據最新的外部環境在安全防護上進行升級調整；與此同時，還要關注人為帶來的安全隱患或風險，針對內部業務、運維操作等開展定期日誌審計，及時發現人為疏忽導致的敏感資訊洩露行為……

對於很多需要專注於業務發展增速的中小企業來說，以上這些複雜的流程需要投入大量的專業團隊和資金，並且可能由於安全升級耽誤業務推進的速度。但是透過上雲，可以有效的平衡業務發展、成本投入和安全水平之間的矛盾。

以文玩電商的頭部企業微拍堂為例，微拍堂是一家員工超過千人的中型企業，業務規模正處於高速發展階段。電商行業掌握大量的使用者資訊等高價值資料，這些資料不容有失。但是，面對不斷變化的安全環境，讓這樣一家處於業務高速發展期的企業時刻關注外界因素、放慢發展速度根據環境做出安全上的調整和改變，無論是在專業團隊的人力投入還是成本資金的投入都非常困難。

於是，微拍堂選擇將伺服器放在雲上，“騰訊雲上的安全產品會對環境變化始終保持敏感，並作出積極響應”微拍堂研發中心負責人張華偉介紹，“比如監測到某個元件有漏洞正在被駭客利用的情報，雲上會及時提醒使用者升級，給出應對方案。”在這種情況下，企業就能依託雲的防護能力，快速構建自身的安全體系，達到相對安全的級別。

騰訊持續在雲上為租戶提供原生的安全防護產品，如雲SOC、雲 Waf、雲防火牆等。客戶上雲後，可以自選符合業務需要的安全產品，一鍵開合、按量付費，顯著降低安全部署的成本，消除安全運營門檻、提升整體的安全水位。據瞭解，目前，騰訊雲的漏洞情報能力已經覆蓋數百個情報源，能夠在分鐘級定位新出現的安全漏洞及影響範圍，在日級以內實現全網的安全漏洞處置。

三、採用零信任的安全理念來部署安全防禦

“零信任”是目前安全圈最受關注的技術名詞之一，所謂“零信任”，就是“持續驗證、永不信任”。網路系統對任何訪問登入請求均一視同仁，永不信任。除非來訪者符合平臺設定的規則邏輯，滿足：可信使用者、可信應用、可信裝置、可信鏈路。

當攻擊者突破一個端點試圖入侵網路核心系統時，由於零信任機制的保護，失陷系統會被隔離在極小的範圍，難以在內網橫向移動，使得勒索病毒的破壞無法導致整個企業業務系統被攻陷，從而避免被鉅額損失發生。