從攻擊面收斂到事中響應，勒索攻擊到底該怎么防？

勒索攻擊應該是今年網絡安全行業討論最多的話題，全球頻頻有新聞報導企業/組織被勒索團伙攻擊，在不久前閉幕的G20峰會上，中美俄甚至攜手15國共同舉行了以防范勒索攻擊為主題的網絡安全演習。勒索攻擊，已成為全球企業/組織共同面臨的問題。

勒索攻擊泛濫的一大原因在于，RaaS（Ransomware as a Service，勒索即服務）模式大幅降低了攻擊團伙的技能門檻，上下游協同又進一步促進了勒索軟件的技術發展。微步在線分析師團隊長期跟蹤國內外超200個勒索家族動態，綜合分析各類勒索攻擊工具，總結出勒索軟件技術發展三大特點：

• 勒索攻擊APT化：勒索攻擊團伙更具耐心，為獲取有價值資產，其入侵與滲透過程甚至可長達數周乃至數月，這與APT攻擊特點趨同；
• 對抗性高：從勒索攻擊全過程來看，分階段使用了加密、免殺、逃逸等技術，對抗能力不斷提高，對企業防護能力水平與日俱增；
• 靜態防御見效難：針對勒索攻擊各階段攻擊手法，單一安全產品很難完整覆蓋，靜態依靠規則檢測的防御手段越來越難防范勒索攻擊。

有矛必有盾，有攻必有防。面對勒索攻擊技術的不斷發展，微步在線充分利用上千次成功的應急救援經驗，并與大數據分析、機器學習等技術相結合，針對包括勒索攻擊在內的新型威脅，總結出行之有效的方式方法。防止被勒索攻擊，首先要做好攻擊面管理。

攻擊面收斂

拒敵于“入侵”之外

網絡攻擊無孔不入，攻防雙方真正的較量從入侵環節開始。

據微步情報局數據顯示，勒索攻擊通常采用RDP爆破、網絡釣魚、僵尸網絡與Web滲透（典型如漏洞利用）等方式入侵，其中RDP爆破與網絡釣魚是主流入侵手段，但勒索攻擊軟件也正快速集成并豐富Web滲透等入侵技術。

要防范被入侵，首先要練好“內功”，做好攻擊面收斂與管理，盡可能減少暴露資產。這一方面要求企業進行更精細的資產管理，杜絕存在弱密碼的操作系統賬號、開放端口、不當配置等；另一方面也要求企業要實時檢測各類操作系統、中間件及上層應用漏洞信息，及時更新補丁，避免被黑客利用。

隨著企業數字化進程的深入，數字資產規模增大，有限的人力很難面面俱到，必須要借助自動化工具，微步針對主機安全推出的OneEDR就具備強大的資產清點能力，可自動收集識別包括底層硬件到中間件、上層應用等800余類資產，并可持續監控分析主機資產的弱密碼、漏洞、開放端口、配置風險、賬號風險等風險項。結合微步全面的漏洞庫，關聯整合風險能力，OneEDR能幫助用戶更全面、清晰地了解當前企業數字資產的安全風險。

OneEDR控制臺風險發現頁面，可持續監測弱密碼、漏洞與端口開放等風險點

練好“內功”不能閉門造車，還要從攻擊者視角去審視企業存在的攻擊面與入侵路徑，比如可以通過使用微步紅隊評估服務，讓企業安全狀態保持在一個較高水準。

全面的攻擊面管理與收斂可以盡量避免入侵，但并不能完全杜絕，畢竟業務正常運行，為用戶提供服務，互聯網之上的數字資產必不可少。入侵并不可怕，只要在事中能及時阻斷攻擊，同樣能保護企業數字資產安全。

事中檢測響應

斬勒索團伙“爪牙”

惡意軟件，是勒索團伙攻擊所使用的工具，不管勒索團伙攻擊技術多么高明，都必須依仗惡意軟件來完成攻擊。不同勒索團伙所使用的惡意軟件功能大致相同，比如內網探測工具、憑據竊取工具、弱口令爆破工具、橫移工具、勒索主體軟件等。理論上如果能在惡意軟件寫入主機硬盤時就響應，就能阻斷勒索攻擊的后續過程。

但這并不容易，每種類型工具都有著諸多變體軟件，甚至還可能使用了移除特征碼、加密、免殺、逃逸等技術，這讓單一檢測工具很難完全抵御勒索攻擊。實踐證明，威脅情報可以幫助企業更高效地應對勒索攻擊等新型威脅，例如微步威脅情報已被廣泛用于國內包括銀行、證券、金融、交通、能源等行業，在檢測并響應新型威脅方面廣受用戶贊譽。

OneEDR中不僅集成了威脅情報引擎，還集成了終端木馬檢測引擎、Webshell檢測引擎、自研文件檢測引擎及第三方AV檢測引擎等12款自研引擎，從多個維度檢測并綜合結果分析，力求獲得最精準檢測結果，同時OneEDR內部還可根據不同威脅事件下發包括阻斷網絡、隔離進程/主機、查殺等多種策略，幫助企業完成安全閉環。

OneEDR控制臺中的自動響應策略，可自動或按策略攔截惡意通信，并隔離、查殺惡意文件

基于規則的靜態檢測可以阻斷絕大部分的攻擊，但對于一些針對性更強、技術更加高明、手段更加隱蔽的黑客攻擊，則需要更加高明的檢測手段。針對這一類高危攻擊，OneEDR也有“殺手锏”，其中最具代表的就是事件聚合引擎。

事件聚合

專治各種隱蔽攻擊

一些技藝高明的黑客攻擊能繞過基于規則的靜態檢測技術，但黑客攻擊的行為特征卻不會改變，一定會產生異常行為，比如提升權限、關閉安全軟件、刪除文件等，通過行為特征檢測（IOA）理論上是可以有效檢出高明、隱蔽的黑客攻擊的。

但大多數都行為特征檢測都是單點檢測，也就是告警孤立、缺乏上下文聯系，需要人工二次研判，面對成百上千臺，乃至上萬臺主機的異常行為告警，很容易被告警淹沒，從而“抓不住”真正有價值的告警。但如果以事件為維度統一查看、處理威脅，便可以有效的解決告警基數大、誤報多、不可讀的問題——這就是OneEDR中的事件聚合引擎。

OneEDR事件聚合引擎是由微步安全分析專家與機器學習專家的共同成果，利用微步百萬級的惡意樣本庫，結合機器學習、威脅圖等技術打造的檢測引擎。OneEDR利用全量日志采集能力和圖算法技術，將單點威脅和相關信息拼接成完整事件，可以真正做到以點及面，相互關聯，做到“一點告警，全鏈路溯源”，進而強化全面檢測的能力，不放過任何一個可疑事件。

尤其是針對類似Phobos勒索家族主體文件fast這種高度自動化的勒索軟件，靠人工研判通常很難及時有效響應，必須借助自動化技術在事中精準檢測并及時響應。

由圖算法實現全鏈路溯源的完整告警事件

多管齊下

將勒索攻擊拒之門外

主機已經日趨成為企業最重要的核心資產，其安全不容有失。作為主機安全的最后一道屏障，OneEDR本身已擁有極強的安全防護能力，但如果與基于流量檢測的TDP威脅感知平臺聯動，綜合主機行為與流量行為，能夠更全面、更精準地應對APT、勒索及挖礦等高危攻擊。

與此同時，隨著數字化轉型進程的深入，企業要構建完擁有全面威脅應對能力的整體網絡安全防護體系，還需要系統性建設思維，比如企業辦公網已經日漸成為黑客最頻繁利用的風險點，終端安全建設的重要性日漸突出，利用微步OneDNS+殺毒能力可有效防范利用辦公網終端發起的網絡攻擊。

除此之外，微步還擁有國內最大的情報共享社區、惡意文件分析平臺S、威脅誘捕與狩獵平臺HFish，以及威脅情報管理平臺TIP等產品解決方案，通過部署在企業不同位置，利用不同的安全能力，助力數字化企業的新型網絡安全防御體系建設。