無懼勒索攻擊風暴 詳解亞信安全方舟計劃

當前勒索病毒全球肆虐，勒索病毒攻擊已成為網絡安全最大威脅，并已形成大量分工細致、專業化、職業化的勒索團體組織。在此背景下，亞信安全在9月20日召開「全面勒索治理即方舟計劃」發布會，基于“現代勒索攻擊團伙就是APT組織”的最新威脅研判，詳細介紹了「方舟」計劃的“全貌”，同時全面解讀了勒索治理的最新理念與解決方案。

勒索病毒演進加速，與APT攻擊“合體”

勒索軟件的“鼻祖”誕生于1989年，而在那個互聯網的“蠻荒”時代，攻擊者還沒有找到高效且“安全”的敲詐方法。時代變遷，從“星星之火”發展到今天的“燎原烈焰”，勒索攻擊造成經濟損失甚至超過一些國家的年GDP總量：據全球知名威脅情報機構RiskIQ數據統計，每1分鐘就有6家單位遭受勒索攻擊，全年超315萬家單位被勒索，每分鐘因網絡安全導致的損失高達180萬美元，全年超過6萬億人民幣。

歷經數年演化，勒索病毒經歷了與比特幣支付方式結合、與釣魚郵件結合、攻擊目標轉向大型政企、與蠕蟲木馬結合、出現RaaS服務、數據泄露與多重勒索等多個發展階段，無論從攻擊形式、攻擊技術、勒索形式等都發生了翻天覆地的變化，并形成了產業化發展態勢，勒索攻擊已經成為網絡安全的最大威脅。勒索病毒攻防的矛盾博弈日益激烈，然而大量“堆砌”的安全產品和零散部署的安全檢測技術卻無法與之對抗。

北京郵電大學網絡空間安全學院教授、副院長彭海朋表示：“勒索病毒的攻擊能力十分驚人，一方面勒索病毒的作者在延續開發周期，其制作新變種的更新速度和攻擊方式變化極快，加強軟件彈性、駐留能力、無文件、免殺逃逸等額外功能也將成為勒索病毒的標配。另一方面，RaaS的攻擊形式進一步增強了攻擊的隱蔽性，且勒索攻擊已由個人或單個黑客團伙攻擊轉向層級分明、分工明確的黑色產業活動，勒索行為日益專業化。”

亞信安全副總裁徐業禮在分享對現代勒索態勢分析及研判中談到：勒索病毒已經正式進入到2.0時代——勒索團伙APT化。

【傳統勒索與現代勒索的區別】

現代勒索攻擊的轉變升級主要體現在作戰模式、攻擊目標和勒索方式上。首先，勒索即服務RaaS（Ransomware-as-a-Service）的興起使得勒索的作戰模式從傳統的小型團伙單兵作戰，轉變為模塊化、產業化、專業化的大型團伙作戰，其造成的勒索攻擊覆蓋面更廣，危害程度顯著增加；其次，對于勒索攻擊的目標，也從過往的廣撒網蠕蟲式攻擊升級成為針對政府、關鍵信息基礎設施、各類企業的定向攻擊；另外，從勒索方式來看，現代勒索攻擊已經從傳統的支付贖金恢復數據的勒索方式，演化為同時開展雙重勒索，甚至三重勒索。

值得關注的是，勒索病毒已經完全符合了網絡安全行業對于APT組織的認定標準：

1． 幾乎所有的勒索攻擊都基于經濟目的；

2． 所有的勒索攻擊都是潛伏的，多階段的持續性攻擊；

3． 現代勒索攻擊主要是針對企業組織的定向攻擊；

4． 勒索的攻擊方式多樣，包括魚叉攻擊、商品化與定制化惡意軟件、遠端控制工具，漏洞利用等。

勒索團伙APT化，讓現代勒索威脅表現出更強的攻擊性、更好的隱蔽性、更高的達成率，更大的危害性，這無疑將對目標造成降維打擊。

三大核心賦能，「方舟」正式啟航

勒索團伙APT化，還意味著，一旦失守，便會陸續承擔運營停滯、知識產權損失、名譽損失、經濟損失，甚至是法律的懲戒。是繳納贖金，還是提早防范，有效應對？

【亞信安全「方舟」引領勒索威脅治理新模式】

針對現代勒索威脅持續猛烈的攻勢，能夠有效遏制勒索團伙APT攻擊的最新勒索威脅防護體系——亞信安全「方舟」正式推出。以治理理念為指引，以產品技術為基礎，以安全服務為支撐，三位一體的亞信安全「方舟」將引領勒索治理進入全新模式，并依此形成全鏈條、立體化的勒索治理合力。

亞信安全高級副總裁兼首席營銷官馬紅軍表示：“亞信安全「方舟」提供了從勒索攻擊發現到響應，再到恢復的全鏈條綜合治理體系，幫助用戶提早發現隱患、及時封堵攻擊、避免二次勒索，最大化降低客戶受勒索攻擊風險和影響。”

據悉，亞信安全提供了三大核心能力賦能方舟治理：

• 勒索體檢中心：亞信安全運營團隊通過部署端點及網絡探針，對勒索攻擊進行全面排查分析，幫助客戶防范在前，早發現、早預警、早研判、早處置。利用最新的勒索威脅情報進行數據碰撞，確認企業環境中是否存在勒索行為，將勒索攻擊爆發風險降至最低。
• 全流程處置機制：亞信安全「方舟」覆蓋了勒索病毒攻擊治理響應的全流程，依照攻擊發生的狀態，協助用戶建立勒索防護策略、勒索攻擊事前防護、勒索攻擊識別阻斷方法，以及勒索攻擊應急響應。
• 現代勒索治理解決方案：基于亞信安全成熟的XDR技術，現代勒索治理方案可全面覆蓋勒索病毒的攻擊鏈，通過“事前預防、事中處理、事后掃雷”三大手段，構建立體化、平臺級的運營防護能力。

據了解，目前已經有行業用戶通過亞信安全勒索體檢中心對IT環境進行安全測評，針對潛藏勒索威脅風險獲得了針對性的安全治理規劃和建議。同時，亞信安全也配備了覆蓋全國 31個省市服務網絡，通過安全服務工程師等構成的本地團隊，以及云端安全運營專家、病毒樣本專家、威脅情報專家的總部團隊，協助企業確認環境中是否有勒索行為，一同將勒索攻擊爆發風險降至最低。

全鏈條、全流程，勒索威脅治理全景展示

亞信安全副總裁劉政平介紹：“勒索病毒攻擊可以分為6個階段，包含初始入侵、持續駐留、內網滲透、命令控制、信息外泄、執行勒索，而單一防御安全體系很難對這種有別于傳統病毒的‘殺傷鏈’發揮作用。”

例如：現代勒索攻擊團伙在入侵后會潛伏幾天、幾周甚至數月，他們在真正運行勒索病毒加密刪除文件之前，都會偷偷尋找有價值的文件或數據，并將其外傳。另外，在勒索加密代碼真正啟動之前，一般都會進行免殺處理，以此讓防毒軟件失效。

亞信安全首席研發官吳湘寧提到：“由于勒索攻擊深度結合APT攻擊技術手段，要解決各種來源的威脅情報雜亂無章，安全團隊缺乏完整的威脅可見性、應急響應流程 ‘紙上談兵’等問題，勢必需要XDR這樣的聯動方案，從威脅的檢測、控制，再到威脅狩獵、調查、歸因等整體聯動防御，方能產生更好的效果。”

【勒索病毒治理聯動全景圖】

為此，亞信安全根據勒索攻擊6個階段的不同特點，推出以XDR技術為核心的現代勒索病毒治理解決方案，從服務能力、產品能力逐層向上提供支撐，通過終端、云端、網絡、邊界、身份、數據的檢測與響應（目前引擎可洞察72個勒索攻擊的檢測點），以及威脅數據、行為數據、資產數據、身份數據、網絡數據等的聯動分析，形成了針對勒索病毒治理全鏈條，覆蓋“事前、事中、事后”運營處置，為貫穿勒索病毒事件應急響應全流程的關鍵動作提供了支撐。

【勒索病毒治理解決方案】

• 事前——風險排查

事前風險排查是應對勒索病毒攻擊最可行手段，因為其通過現代密碼學實現高強度數據文件加密，理論上通過現有技術幾乎不可能破解。亞信安全勒索體檢中心提供了分行業、場景和需求，定制化的專項體檢服務，例如：網絡資產大盤點、網絡流量勒索體檢、威脅情報告警分析、高危失陷主機確認、EDR端點勒索體檢服務、IOA與IOC熱點事件與勒索情報碰撞后的高危主機評估、云主機安全勒索體檢服務、終端安全勒索體檢服務等。

• 事中——應急處置

亞信安全方舟覆蓋了勒索病毒攻擊治理響應的全流程，具體包括：初始響應階段、遏制階段、分析階段、補救措施階段、恢復階段、事后分析會議，并通過資深安全專家組成的網絡安全服務，加速應對勒索攻擊的響應效率，減輕因勒索攻擊導致的企業資產損失。

【勒索攻擊事件應急響應流程】

• 事后——掃除威脅

現代勒索攻擊是一個集合了多種常見攻擊方式的綜合性攻擊，同時具備了針對性、持久性和隱藏性的特點。因此，它可以通過Web進行攻擊，可以通過電子郵件傳遞攻擊，也可以通過操作系統和應用程序的漏洞來攻擊，并且還可以通過人工社交攻擊在企業內網端點上潛伏下來，讓人防不勝防。

為此，針對事后可能出現的二次攻擊，方舟提供了全鏈路智能行為與內容變化追蹤，對批量數據竊取及高度隱蔽性異常訪問等惡意行為進行智能安全分析，高效識別各類已知與未知的攻擊，同時利用EDR強大的檢測能力及威脅情報能力，定期、主動對端點上潛藏的威脅進行隔離，掃清“雷點”。

平臺為先，筑牢新一代威脅治理屏障

目前，我們所面對的是現代勒索已經成熟的 “產業鏈”，他們不僅包括了上中下游的勒索病毒開發者、勒索執行者，還應運而生出贖金談判和贖金代管者，不法分子的相互協作配合，共同瓜分勒索收益，大大降低了攻擊實施的技術門檻。

亞信安全總裁陸光明表示：“發展與安全，是數字化時代的一體兩面。亞信安全提出了以安全平臺為抓手，打造‘產品+平臺+服務’完整閉環的發展戰略，真正做到為客戶建立整體性防御體系，提升客戶安全防御能力。‘平臺為先’的原則不僅可以讓碎片化的安全能力融入一體，變成系統性、可全局聯動的原生免疫系統，更能將復雜的管理問題，化解成極簡與智能的威脅治理運營平臺。”

在此全局戰略下，亞信安全針對現代勒索攻擊推出的方舟計劃，將有助于用戶提前找到潛伏的威脅，通過多源情報攝取、關聯和安全行動，全面了解勒索團伙發動的APT攻擊手段和途徑，最大限度地規避勒索攻擊風險。