49% 的勒索软件受害者在检测到攻击之前就已丢失数据

49% 的勒索软件受害者在检测到攻击之前就已丢失数据

勒索软件一直是个棘手问题，但一份新报告揭示了检测失败的严重程度：近一半的勒索软件受害者在意识到攻击者进入其网络之前，数据已遭窃取。这一数字从去年的 31% 急剧上升，表明黑客不仅变得更加大胆，而且更加耐心和隐蔽。

现在，攻击在被发现前的平均停留时间约为 2.5 周。在这 17 天甚至更长的时间里，攻击者可以悄悄绘制你的系统架构，找出最有价值的文件，并在触发任何警报之前将其转移出去。

真正的威胁是数据外泄，而不仅仅是加密

大多数人想象中的勒索软件是一幕戏剧性场景：文件被锁定，勒索信出现，业务陷入停顿。这种印象越来越过时了。现代勒索软件团伙已转向两阶段策略。首先，他们窃取数据。然后，在部署加密时（如果部署），他们会对受害者施加两种不同的威胁：支付赎金以恢复访问权限，再付一次以避免被盗数据被公开。

这种常被称为“双重勒索”的手段完全改变了决策逻辑。即使拥有完善备份系统、能够快速恢复加密文件的组织，仍然面临敏感客户记录、财务文件或知识产权被曝光的风险。到了这一步，加密几乎成了次要问题。

数据盗窃在超过一半的勒索案件中持续成为特征，年复一年，这证实了它不是一时的风潮，而是现在的默认操作手册。

为什么检测越来越滞后

入侵与检测之间日益扩大的差距指向了几个相互交织的问题。

首先，攻击者越来越多地使用目标环境中已有的合法工具。安全软件的设计初衷是标记不熟悉的恶意软件特征，但当攻击者使用内置系统工具来移动文件时，这些操作往往看起来与正常的管理员行为无异。

第二，许多组织仍然严重依赖边界防御。防火墙和加密隧道可以保护传输中的数据，但一旦攻击者获得了有效凭据或在网络内部站稳脚跟，边界工具对横向移动的可见性就很有限。

第三，告警疲劳是安全运营中心一个真实且被充分记录的问题。当检测系统每天生成数千个低质量告警时，真正的入侵信号就会被埋没。攻击者深知这一点，并会将其活动安排在嘈杂时段进行。

这也是为什么依赖单一工具（包括 VPN）会产生虚假的安全感。VPN 加密你设备与互联网之间的流量，保护传输中的数据并掩盖你的 IP 地址。但它无法检测或阻止已经在被入侵机器上运行的恶意软件，也完全看不到凭据被盗后攻击者的行为。在澳大利亚 youX 数据泄露事件中，攻击者入侵了一家金融科技公司，获取了敏感的身份数据，这一案例说明复杂的入侵可以绕过表层防护，引发一连串现实世界的后果。

这对你意味着什么

无论你是独立的专业人士还是组织 IT 团队的一员，这平均 2.5 周的停留时间都应该重塑你对安全的认知。

问题不再仅仅是“如何把攻击者挡在门外？”同样重要的是“如果已经有人进来了，我多久才能知道？他们又会找到什么？”

对个人和小型企业而言，这意味着：

• 假设凭据可能已被泄露。 在所有地方启用多因素身份验证，尤其是电子邮件、云存储和任何远程访问工具。被盗凭据是最常见的切入点。
• 限制可访问的范围。 并非每个系统或文件共享都需要从任何设备都能访问。限制访问可以缩小攻击者在获得初始入口后能触及的范围。
• 监控异常行为，而不仅仅是已知威胁。 能够标记异常行为的端点检测工具——例如用户帐户突然访问从未碰过的文件——比单纯基于签名的防病毒软件更有价值。
• 制定事件响应计划。 确切知道在确认入侵后的第一个小时内应采取哪些步骤，能显著限制损害。许多组织直到迫切需要时才意识到自己根本没有成文的流程。
• 隔离备份。 存储在与主系统相同网络上的备份可能会在攻击者停留期间被加密或删除。离线或不可篡改的备份是另一层保护。

VPN 仍然是一个真正有用的工具，尤其适用于在不可信网络上保护流量，以及在被动监控中保护隐私。但它的角色是众多防护层中的一层，而不是完整的防御体系。

构建分层防御策略

最有效的安全态势将检测视为与预防同等重要的优先事项。预防不可能做到完美，而数据证实攻击者越来越善于绕过它。那些只投资于阻止攻击者进入，却对进入后检测无所作为的组织和个人，在最关键的窗口期内实际上处于盲视状态。

分层防御意味着将边界工具、端点监控、网络流量分析、严格的访问控制和用户教育结合起来。没有任何单一产品能够填补所有缺口，这就是安全行业谈论纵深防御而非某个单一“灵丹妙药”的原因。

检测前数据窃取事件的急剧上升是一个明确的信号，表明威胁环境已经成熟。攻击者正以前所未有的纪律和耐心展开行动。正确的回应方式，是以同样审慎的分层防御来匹配这种纪律，而不是在事件发生后被动地购买工具。

从审计你持有的敏感数据、存放位置以及谁可以访问它们开始。仅凭这种可见性，你就已经领先于大多数目标。