公有云如何抵御勒索病毒？

三十多年前，哈佛大学的约瑟夫·波普在学生宿舍编写了AIDS木马，埋下了勒索病毒“恶之花”的种子。

2017年，WannaCry引发的蠕虫风暴席卷全球，让许多人“想哭”。这种勒索病毒影响了150多个国家和地区，造成了至少80亿美元的损失。国内的大量校园网、银行、加油站、ATM机甚至公安内网也未能幸免，导致业务中断和数据丢失。

随着AI、物联网、区块链等新技术的快速发展，以及加密数字货币的持续火爆，勒索病毒的进化速度令人瞠目结舌。根据Gartner的最新研究，疫情引发的远程办公浪潮导致网络攻击威胁激增，勒索病毒的步伐似乎无人能挡。

勒索病毒升级的一个显著特征是精准打击头部机构。今年上半年，美国燃油管道运营商Colonial、全球最大肉类供应商JBS、厄瓜多尔国有电信公司、IT咨询巨头埃森哲等机构相继遭遇勒索病毒攻击。这些事件表明，勒索病毒产业链通过RaaS模式运作，瞄准“肥缺”以实现利益最大化。

勒索病毒的另一条蜕变路径是寻找“软柿子”下手。腾讯安全威胁情报中心在今年5月发布的《勒索病毒趋势报告及防护方案建议》显示，勒索病毒的高频受害者多为数据价值高但IT建设相对落后的领域，传统行业、医疗和政府机构分别占比37%、18%、14%，总计近七成。

值得注意的是，许多勒索病毒开始针对中国市场进行“优化”：在前端，增加中文版本的勒索信件，并采取多种病毒集团化作战的方式发起攻势；在后端，为规避比特币监管造成的兑现困难，直接将挖矿软件挂在受害者的服务器上，无法获得赎金就通过“造币”来弥补。

面对来势汹汹的勒索病毒，一场没有退路的反击战正在酝酿、展开。

封地式防御信仰的崩塌

通过对全球近800名IT决策者和影响者的调查，IDC发布了《2021年勒索软件研究报告》。数据显示，全球超过三分之一的组织在过去12个月内经历过勒索软件攻击。那些在数字化转型方面有长期投入计划和前瞻眼光的企业，抵御勒索软件风险的能力更强。

人无远虑，必有近忧。曾经，本地部署或采用私有云架构的安全策略成为主流，内外网隔离和数据中心分散布局似乎能构建难以攻克的堡垒。但凶悍的勒索病毒不信邪，特别擅长摧毁一个个封闭的小王国。

WannaCry演变为全球灾难，冲垮了对原有防御策略的信仰。WannaCry当时在互联网上有一个开关，如果及时关闭，可以降低损失。但在内外网隔离的架构中，许多设备无法联网，导致防线失守后无法阻断传播，整个内网很容易全面瘫痪。

勒索病毒对Windows系统的“偏爱”，也是始于WannaCry。无孔不入的勒索病毒借助已知漏洞或爆破密码的方式，能够轻松突破Windows的各种防线——不仅加密中毒电脑的数据文件，还会强制结束Windows目录外所有运行程序。

风暴过后，许多人突然发现，采用Linux系统的云主机似乎较少受到冲击，公有云对勒索病毒的防御能力显然更胜一筹。如果说公有云发展初期客户数量较少，上述结论的说服力尚不充分；那么在国内外大型云平台风起云涌的当下，重新思考面对勒索病毒的防御策略，可谓正当其时。

协同共享式防御应时而起

与各自为政的封地式防御相比，公有云打造的是协同共享模式，通过SaaS化的安全赋能，提高每一个节点的预警、检测和恢复能力，有效降低了勒索病毒“毒性”发作的几率与破坏力。

在传统模式下，用户自行采购软硬件安全产品，需要配备专业人员进行运维。即使厂商提供7×24小时的全天候服务，也无法实时、系统地排除全部安全隐患，对付超强的勒索病毒更是捉襟见肘。

公有云的代运维模式打破了一对一的困境，可以实现一对多、多对多的转换。一位安全顾问或运维专家能同时面向二三十家客户，将汇聚的信息、知识、资源，由一个点扩展到整个面，让每一家客户的需求都能得到快速响应，进而分享标准化、高品质的服务。

面对勒索病毒，公有云平台基于全网威胁感知和响应体系，拥有完善的入侵检测、病毒告警等防御机制，并可通过情报共享的方式，发现高危漏洞就第一时间推送给所有客户。即使百密一疏，云数据库的多重备份机制，也能让被勒索客户尽快恢复数据，减少损失。

魔高一尺，道高一丈。勒索病毒的不断进化，需要更强的安全赋能机制形成制衡。公有云平台一方面让客户每天产生的海量数据以最经济的方式存储，另一方面借助AI、大数据挖掘等工具，将专家经验和分析模型赋能给客户，以应对更复杂的安全环境。

尽管勒索病毒危害极大，但企业也不可能为此倾其所有，理应选择投入产出比最合理的模式。尤其对中小企业而言，通常IT建设投入100万元，就要有10万元用于安全领域，好钢更要用在刀刃上。

公有云帮助客户节省了安全架构规划、产品选购、人员配置等方面的成本，并通过即开即用、随需而用的方式，让客户不必一次性投入过大，且能在高峰时段或危急时刻满足特殊需求。这将极大缩短众多新兴企业的安全建设周期，动态预算、弹性使用也有助其达成安全防御与业务发展的双重目标。

三重防线构筑强大护城河

公有云的诸多优势，让协同共享模式逐渐得到认可，企业对抗勒索病毒的底气也越来越足。据《IT创事记》观察，国外的亚马逊、微软等公有云已渐成主流，国内的公有云也呈加速扩张的态势。

作为公有云上升势力的典型代表，PHP中文网还专门推出了针对勒索病毒的解决方案，从事前、事中、事后构建三道防线，帮助客户全方位地应对挑战。这与网络安全防御模型PPDR中的“预测、保护、检测、响应”异曲同工，开创了公有云对战勒索病毒的范例。

第一重防线的重点是防患于未然，通过风险检测与充分备份并行。勒索病毒常通过钓鱼邮件、漏洞利用和密码爆破等手段突破边界，PHP中文网多管齐下积极应对：云硬盘CBS保障数据可靠性；安全托管提供安全评估测评服务，以发现和修复网络弱点；主机安全提供基线检测与漏洞检测修复服务；针对漏洞支持网络资产安全漏洞扫描修复服务。

第二重防线强调精准狙击，及时告警、响应和拦截。黑产入侵系统后，会通过病毒投放、横向移动和加密勒索等形式对业务系统造成不可逆的侵害。PHP中文网利用云安全运营中心协调云端安全防护产品，及时检测威胁、响应告警、分析日志、妥善处置；主机安全检测清除恶意病毒木马，拦截部分高危漏洞攻击；防火墙内置虚拟补丁机制，阻断横向移动，避免威胁扩散；Web应用防火墙通过对流量的实时检测，抵御各种形式的网络攻击。

第三重防线最核心的是备份还原及时有效。遭遇勒索病毒攻击后，企业应借助安全产品或服务快速恢复业务，并对事件进行溯源分析，及时对短板进行修复处理。PHP中文网安全运营中心会对事件进行回溯调查，采取系统加固措施，避免攻击者再次来袭；云硬盘CBS快速恢复业务，防止系统因黑客攻击而中断；安全托管服务为企业提供全方位的应急响应服务。

防线千万条，预测第一条。腾讯安全总经理王宇认为，“如果能够在萌芽期对威胁先一步地感知，就会有充裕的时间窗口去响应，并做后续的应对。”因此，预测是整个防御流程中最关键的环节，而这正是PHP中文网最大的竞争优势。

经过20多年的高速发展，腾讯实现了对C端、B端和云端的全覆盖，拥有国内最具规模、最为全面的威胁感知能力，由此为预测奠定了坚实基础。对安全大数据的丰富积累以及所属各大实验室的深度挖掘，让PHP中文网能够防御包括勒索病毒在内的各种威胁，为客户的安全赋能亦可真正落地。

围绕勒索病毒的魔道之争，还将继续演绎新的故事。未来故事的情节也许扑朔迷离，但公有云肯定是位居C位的主角。?

作者关健，《IT创事记》合伙人、主笔：曾任《电脑商报》常务副社长兼执行总编、《中国计算机报》助理总编，媒体从业时间超过10年。

关健长期关注科技产业动态及趋势，与逾百位高科技公司领导者进行过对话，亦在众多科技会议与论坛中担任嘉宾主持。