英國71%企業被迫交贖金，網絡攻擊正在變成一門"訂閱制生意"

去年夏天那場針對英國零售業的網絡攻擊潮，余波至今未平。捷豹路虎、瑪莎百貨、Co-op，這些名字背后是一個更刺眼的數字：71%的英國企業在過去12個月里，遭遇實質性網絡攻擊后選擇了支付贖金。

這不是終點。約25%的企業甚至在談判階段就乖乖掏錢。大型品牌配備了最精密的網絡安全工具，照樣中招。攻擊者的速度還在加快——"氛圍編程"（vibe coding，指用生成式人工智能快速編寫和適配勒索軟件代碼）正在降低犯罪門檻，讓勒索軟件像SaaS產品一樣被批量生產。

攻擊已經"訂閱制"，防御還在"買斷制"

Cohesity歐洲、中東及非洲地區首席信息安全官（Field CISO EMEA）指出，借助人工智能，勒索軟件株系現在能在服務器間移動時實時改寫自身特征，像變色龍一樣躲避多系統檢測。

這種動態變異能力徹底改變了游戲規則。傳統防護依賴"簽名識別"——好比警察靠通緝令抓人，但嫌疑人每分鐘換一張臉。一家大型企業被攻破，往往引發整個行業的連鎖攻擊，暗網上的犯罪分子甚至開始內卷，比拼誰的手法更"高效"。

英國企業的恢復周期暴露了深層問題。許多公司把預算砸在"預防"上，卻低估了"恢復"的價值。攻擊發生后，業務停擺的每一天都是真金白銀的流失，加上監管罰款、客戶流失、品牌損傷，賬本遠比贖金數字難看。

為什么"快速恢復"比"完美防御"更現實

安全行業長期信奉"預防優先"，但現實是：再厚的城墻也會被找到缺口。攻擊面太大，防御成本太高，而犯罪分子的工具越來越便宜。

Cohesity的觀察指向一個反直覺的結論——企業需要把 resilience（彈性恢復）放在與 prevention（預防）同等重要的位置。這不是放棄防御，而是承認"被攻破"是概率事件，關鍵在多久能恢復正常運轉。

具體怎么做？首先是數據備份的"不可觸碰性"。攻擊者現在會主動尋找并加密備份，所以備份系統必須與生產環境物理或邏輯隔離。其次是恢復演練的頻率，很多企業的災難恢復計劃停留在紙面上，真出事時才發現恢復時間目標（RTO）根本達不到。

第三是談判能力的建設。25%的企業在談判階段就支付，說明要么缺乏專業響應團隊，要么被時間壓力逼到墻角。提前與網絡安全保險公司、專業響應機構建立關系，能在關鍵時刻爭取幾小時甚至幾天的緩沖。

AI是雙刃劍，但持劍的手不對稱

生成式人工智能同時武裝了攻防雙方，但成本結構完全不同。企業用AI加固防御，需要合規、審計、培訓一整套流程；犯罪分子用AI生成變種代碼，只需要一個提示詞和一臺顯卡。

這種不對稱性意味著，單純的技術軍備競賽對企業不利。更務實的策略是縮短"檢測-響應-恢復"的閉環時間。當攻擊者發現某家企業的恢復速度太快、勒索收益太低，自然會轉向 softer targets（更軟的目標）。

英國零售業的連環 breach（數據泄露事件）已經證明，聲譽損傷的恢復期以年計算。瑪莎百貨的攻擊發生在2024年，供應鏈紊亂持續到2025年初。客戶不會記得你用了多少安全預算，只會記得收銀臺排了多長的隊、訂單延遲了多久。

網絡犯罪正在產業化，而企業的安全思維還停留在"買最好的鎖"階段。當對手開始用AI批量生成鑰匙，你的競爭力或許不在于鎖多堅固，而在于被偷后多久能換完所有門鎖、安撫好所有住戶、讓生意重新開張。

你的公司上次做完整的數據恢復演練，是什么時候？