打开网易新闻 查看精彩图片

去年夏天,捷豹路虎、玛莎百货、Co-op接连中招。三家英国零售巨头,网络安全预算加起来够买几架私人飞机,照样被勒索软件按在地上摩擦。

这不是运气差。Cohesity的EMEA地区首席信息安全官(Field CISO,即派驻一线的安全高管)James Blake透露了一个更扎心的数字:过去12个月,71%的英国企业在遭遇实质性网络攻击后支付了赎金。四分之一的企业甚至在谈判阶段就乖乖转账,连讨价还价都省了。

攻击者正在用生成式AI搞一种叫"vibe coding"(氛围编程)的新玩法——不用正经写代码,对着AI描述需求,勒索软件就能快速生成、实时变异。Blake的原话是:「勒索软件株现在可以在服务器间移动时改变特征,实时重写自身以躲避多系统检测。」

AI成了攻击者的加速器

AI成了攻击者的加速器

传统防御的逻辑是"预防优先":建防火墙、买杀毒软件、培训员工别点钓鱼链接。这套思路在静态攻击时代管用,现在基本等于用马奇诺防线防闪电战。

生成式AI让攻击成本断崖式下跌。以前开发一款勒索软件需要团队、时间、技术积累,现在一个人加一台能跑大模型的电脑就够了。更麻烦的是"多态恶意软件"——每次感染新机器都自动改写代码特征,传统基于签名的检测工具根本追不上。

Blake观察到一个危险模式:针对单一组织的高调攻击成功,往往会触发整个行业的攻击 surge(激增)。暗网里的网络犯罪分子会互相较劲,看谁能在同类型目标上复制成功。去年英国零售业的连环 breach(安全漏洞事件),很大程度上就是这种"示范效应"的连锁反应。

防御方的反应速度成了生死线。Cohesity自己的数据是,企业从发现勒索软件到数据被加密,平均只有43分钟。很多IT团队连攻击从哪进来的都没搞清楚,屏幕上已经弹出赎金通知了。

打开网易新闻 查看精彩图片

为什么大企业也防不住

为什么大企业也防不住

JLR、M&S、Co-op都不是安全预算紧张的主。它们的共同问题是:架构太复杂,数据太分散。

一家百年零售企业的IT系统,往往是几十年堆叠的结果——主frame(大型机)时代的遗留系统、云迁移到一半的中间状态、收购来的子公司各用各的基础设施。攻击者只需要找到一个薄弱环节,就能横向移动,把"最 sophisticated(精密)的工具"变成摆设。

Blake提到的一个细节很能说明问题:25%的企业在谈判阶段就支付赎金。这意味着什么?它们的备份策略要么失效了,要么恢复时间长得无法接受。交赎金成了"业务连续性"的廉价替代方案——至少看起来便宜。

但赎金只是开始。GDPR(通用数据保护条例)下的罚款、客户集体诉讼、供应链中断的违约金、品牌信任度的长期损耗,这些隐性成本很少被计入"网络攻击损失"。玛莎百货去年夏天的系统瘫痪,直接影响了数百万顾客的日常购物,这种层面的信任崩塌,花多少钱营销都补不回来。

从"防住"转向"快恢"

从"防住"转向"快恢"

安全行业正在经历一场认知转换。过去十年,厂商们卖的是"阻止攻击",现在越来越多的声音在说:假设 breach 必然发生,重点是怎么快速恢复。

这个思路的转变,本质上是对AI攻击速度的承认。预防仍然重要,但不能再是唯一支柱。Blake所在的Cohesity主推的"网络韧性"(cyber resilience)框架,核心就是把恢复时间目标(RTO)和恢复点目标(RPO)压到最低——哪怕被加密了,也能在几分钟内切到干净的数据副本,业务不中断。

打开网易新闻 查看精彩图片

技术层面,这要求备份系统本身具备"不可变性"(immutability)——备份数据不能被勒索软件篡改或删除,哪怕攻击者拿到了域管理员权限。同时,备份和主系统之间要有"气隙"(air gap,物理或逻辑隔离),防止横向移动时一锅端。

但技术只是 half of the story(故事的一半)。Blake强调, tabletop exercise(桌面推演)和 red team testing(红队测试)的频率需要大幅提高。很多企业的灾难恢复计划还停留在纸面上,真出事时,IT团队连联系清单都找不全。

更深层的问题是组织架构。CISO(首席信息安全官)和CIO(首席信息官)的目标经常冲突:一个要安全,一个要敏捷。当安全团队建议暂停某个云迁移项目做风险评估时,业务线的压力往往占上风。直到攻击发生,这种 tension(张力)才会暴露。

英国政府的反应是加强监管。NIS2(网络和信息系统指令第二版)即将在2024年底全面落地,关键行业的企业将面临更严格的 incident reporting(事件报告)义务和罚款上限提高。但监管是事后约束,解决不了技术代差问题。

一个值得关注的变量是保险市场。网络保险保费在过去两年暴涨,承保条件收紧,有些保险公司开始要求投保企业证明其备份和恢复能力,否则拒保或除外责任。这可能会倒逼企业投资韧性建设——毕竟,比起交赎金,保费上涨是更持续的压力。

攻击者已经在用AI降低门槛,防御方的AI应用却还在早期。安全运营中心(SOC,安全运营中心)的分析师每天被警报淹没,假阳性率居高不下。AI辅助的威胁检测和自动响应是方向,但训练数据的质量、人机协作的界面设计,都是还没解决的难题。

去年夏天的英国零售业攻击潮,会不会在今年夏天重演?Blake的观察是,攻击者正在 diversify(多元化)目标——不只是零售商,制造业、物流、医疗健康都在射程内。当一个行业的防御普遍升级,利润驱动的网络犯罪自然会寻找 softer targets(软目标)。

你的企业备份上一次成功恢复测试是什么时候?