《Veeam® 2022勒索软件趋势报告》显示，企业在抵御勒索软件攻击的战争中正败下阵来，该报告发现72%的组织的备份库遭遇过部分或全部攻击，极大地影响了组织在不支付赎金的情况下恢复数据的能力。作为提供现代数据保护的备份、恢复和数据管理解决方案的行业领导者，Veeam®Software(卫盟软件)发现，80%的攻击得逞都是针对已知的漏洞，这再次向我们强调了修补和升级软件的重要性。几乎所有的攻击者都试图破坏备份存储库，目的是使受害者失去恢复数据的能力，从而不得不支付赎金。

《Veeam 2022 勒索软件趋势报告》揭示了一家独立研究公司的调查结果，调研对象是 1,000 名 IT 领导者，他们的组织在过去 12 个月中都遭受了至少一次勒索软件的攻击。该研究报告是目前同类报告中规模最大的，作为第一项如此规模的研究，它考察了领导者从勒索软件攻击中汲取的关键教训、勒索软件攻击对 IT 环境的影响，以及为实施确保业务持续发展的现代数据保护战略而采取的措施。该研究项目专门调查了四个 IT 角色(首席信息安全官、安全专家、备份管理员和 IT 运营)，以了解各组织网络准备的一致性。

“勒索软件使数据盗窃变得普遍化，现在需要各行各业组织之间加倍合作，从而最大限度地提高组织在不支付赎金的情况下进行补救和恢复的能力，” Veeam 首席技术官 Danny Allan 表示，“向网络犯罪分子付赎金以恢复数据不是数据保护策略。而且即使支付赎金，也无法保证恢复数据，并且企业很可能会因此声誉受损、使客户丧失信心，最重要的是，对犯罪行为的奖励会助长犯罪分子以此来满足自我实现预言的风气。”

支付赎金绝不是一种恢复策略

在接受调查的组织中，大多数 (76%)的 网络受害者选择支付赎金以结束攻击并恢复数据。事与愿违的是，虽然有52%的组织支付了赎金并恢复了数据，但有24%的组织支付了赎金仍然无法恢复数据，这意味着有三分之一的组织支付了赎金后仍然无法恢复数据。值得注意的是，19% 的组织没有支付赎金，因为他们有自己恢复数据的能力。事实上，这是其余 81% 的网络受害者必须追求的目标——在不支付赎金的情况下恢复数据。

“强有力的现代数据保护战略的标志之一是承诺一项明确的政策，即组织永远不会支付赎金，而是尽其所能地防止、补救和从攻击中恢复，”Danny Allan补充说，“尽管勒索软件的威胁无处不在且不可避免，但企业在面对勒索软件时束手无策的说法并不准确。教育员工并确保他们践行无懈可击的数字卫生;定期对您的数据保护解决方案和协议进行严格的测试;创建详细的业务连续性计划，使核心的利益相关者为最坏的情况做好准备。”

防御需要IT和用户的共同努力

犯罪分子的“攻击面”是多样化的。网络恶棍往往先通过一些错误的用户行为来获取对生产环境的访问，如点击恶意链接、访问不安全的网站或与网络钓鱼邮件互动，这也再次证明了许多网络灾难其实是可避免的。当他们成功进入生产环境后，数据中心服务器、远程办公平台和云托管服务器之间的勒索病毒感染率几乎没有差别。在大多数情况下，入侵者利用已知的漏洞，包括常见的操作系统和管理程序，以及NAS平台和数据库服务器，他们会不遗余力地利用能找到的任何未打补丁或过时的软件。值得注意的是，与 IT 运营或首席信息安全官们相比，安全专业人员和备份管理员报告的感染率要高得多，这意味着“那些接近问题的人会看到更多的问题”。

补救从不变性开始

受访者证实，94% 的攻击者试图破坏备份存储库，在72%的情况下，该策略至少部分是成功的。切断组织的恢复生命线是一种流行的攻击策略，因为它增加了受害者除了支付赎金别无选择的可能性。防止这种情况的唯一方法是在数据保护框架内至少有一个不可变的或隔离的防护层——我们调查的人中有95%表示他们现在拥有了。事实上，许多组织报告在其磁盘、云和磁带策略的多个层级中都具有某种程度的不变性或隔离介质。

《Veeam 2022勒索软件趋势报告》的其他关键发现：

编排很重要：为了主动确保其系统的可恢复性，六分之一(16%)的IT团队将其备份的验证和可恢复性自动化，以确保服务器是可恢复的。然后，在补救勒索软件攻击的过程中，46%的受访者使用隔离的 “沙盒”或暂存/测试区，以确保他们恢复的数据是未感染的，之后再将系统重新投入生产。

组织的一致性必须统一：81%的受访者认为他们组织的网络和业务连续性/灾难恢复战略是一致的。然而，仍有52%的受访者认为这些团队之间的互动需要改进。

储存库多样化是关键：几乎所有的组织(95%)都有至少一个不可变或隔离的数据保护层，74%的组织使用提供不变性的云存储库;67%的组织使用具有不可变性或锁定的本地磁盘存储库;22%的组织使用隔离的磁带。无论是否不可变，各组织指出，除了磁盘存储库，45%的生产数据仍然存储在磁带上，62%的数据在其数据生命周期的某个阶段进入了云端。