我们生活在一个前所未有的时代，实行国家和全国的封锁。全球各地的人们都在转向在家工作和以新的方式合作。Zoom、Slack、VPN和Cloud是我们日常工作、学习和社交活动（如虚拟欢乐时光、婚礼或毕业典礼）的一部分。新使用在线协作工具的用户数量激增，很容易受到恶意攻击。坏人想利用这种情况。黑客在网上搜索毫无戒心的新手，或是在阴暗中渴望正面消息的焦虑人群。电子邮件、手机和网络攻击，如果以一个有趣的新闻链接开始，甚至是提供药物，都可能导致攻击。最严重的攻击之一是勒索软件攻击，如Revil（Sodinokibi），其目标是VPN和远程网关，这些网关通常用于在线访问公司数据。通过勒索软件攻击，一个坏角色可以访问属于毫无戒心的个人或易受攻击系统的数据。在COVID-19感染期间，我们的医疗系统面临着更高的此类攻击风险。事实上，Corvus的一份报告指出，2019年第四季度，针对医疗IT系统的勒索软件攻击上升了350%。像齐柏林飞艇这样的勒索软件攻击通过供应链管理系统渗透到医疗保健领域。当此类攻击发生时，攻击者下载加密该教师计算机或其连接的任何系统（例如医院组的患者信息数据库）上的数据的代码。此数据被锁定，攻击者持有加密密钥。除非医院支付巨额赎金，否则他们的数据就会被泄露或丢失。更狡猾的黑客可以注入先进的持久性威胁，这些威胁不会立即加密或锁定，而是通过爬行进入等待命令和控制系统指令的数据中，黑客可以随时按下按钮。勒索软件攻击可能导致数天的计划外停机，给企业造成数十亿美元的损失、巨额费用、赔偿金，以及任何企业的品牌价值损失。就医院而言，如果关键的诊断数据不能在正确的时候提供来做出决定，这可能是生死攸关的区别。防止此类攻击是防范勒索软件的最好办法。可以用不同的方法防止对数据的未经授权的访问。其中一种方法是通过将数据集中到最少的基础设施中来减少爆炸半径，以确保更好的控制。另一个是确保健壮的基于角色的访问控制，确保对数据的写入的访问安全。第三种方法是使用多因素身份验证锁定数据源，这些数据源需要用户身份、密码和设备或证书来进行身份验证。应保护生产或备份中存储的数据，以便限制新的写入操作，并保留新写入之前的数据的干净副本以进行恢复。基于策略的数据隔离到另一个不可变的物理或虚拟位置可以为勒索软件攻击提供额外的保护防范是必要的，但往往还不够，因为攻击者想方设法在雷达下飞行。这主要是由于疏忽大意或不能在任何时候采取预防措施，例如在这次COVID-19攻击期间。它无法访问笔记本电脑来强制安装最新的安全补丁，比如我们刚拿到的缩放补丁，或者强制控制。因此，需要通过早期检测潜在攻击并对攻击做出快速响应来辅助预防。检测勒索软件攻击的方法有很多种。大多数企业都有一个强健的备份策略，其中来自服务器和文件服务器的数据至少每晚备份一次。两个相邻备份之间的任何大的变化都可能指示一个危险信号。摄取到备份解决方案中的数据通常会被压缩或消除重复—如果摄取的数据发生巨大变化，这是另一个危险信号。存储数据的熵或随机性的任何变化都可能表明存储数据的加密，这是勒索软件的典型特征。一旦检测到，企业IT和Infosec团队中的所有关键参与者都需要立即通过多渠道警报得到通知：移动、电子邮件、UI或API。一旦检测到这些异常情况并通知用户，就必须能够使业务部门最大限度地减少停机时间。这是通过将数据恢复到已知的良好时间点来完成的。根据部署的规模，恢复、测试和恢复系统通常需要一段时间，并会增加业务的损失。因此，投资灾难恢复或备份解决方案以快速、正确和高效地恢复生产系统是至关重要的。恢复后，提供攻击证据至关重要，包括信号、无法访问的数据集和提交给执法部门的数据访问日志，以报告网络犯罪的不良行为者。"预防胜于治疗"这句话在今天比以往任何时候都更加真实。受到勒索软件的攻击会很有压力。然而，通过预防、早期检测和恢复这三个方面的策略，我们可以避免延长停机时间、巨额赎金和客户SLA。