啟明星辰XDR：EDR和NDR強強聯合，構建勒索攻擊防護堡壘

在勒索攻擊中,非法者往往利用弱口令爆破、釣魚郵件、網頁掛馬、0day/Nday漏洞等進入被攻擊的網絡環境，再通過憑證提取、獲取權限、橫向移動等找到受害者的重要資產，最終投放勒索軟件進行精準勒索。

針對勒索攻擊的特殊性，啟明星辰XDR方案通過“事前預防、事中攔截、事后溯源”三大手段，構建起立體化的勒索攻擊防護堡壘，在事前封堵勒索傳播源頭、文件備份保護；事中切斷勒索攻擊途徑、攔截勒索加密行為；事后盡可能幫助用戶查找被勒索的原因及入口，為整改提供有效支撐，避免下次攻擊發生。

事前預防

快速甄別 封堵源頭

由于勒索攻擊的不可逆性，“事前預防”是啟明星辰XDR立體化勒索防護方案的重要一環。

啟明星辰XDR方案中的EDR組件可檢測終端的脆弱性，包括終端存在的弱密碼、系統漏洞、應用漏洞、風險配置、共享目錄等，全面提升資產健壯性，減少勒索軟件的進入途徑；同時，業務資產庫也可用于出現疑似安全風險時，快速甄別安全風險處置是否對業務有潛在影響，提升處置準確性及效率。

啟明星辰XDR方案中的NDR組件（TAR流量檢測引擎、NFT全流量分析取證系統、APT沙箱）對勒索攻擊常使用的釣魚郵件、0day/Nday漏洞、弱口令爆破等各種入侵口進行專項檢測防護。針對使用釣魚郵件進行攻擊的場景，啟明星辰XDR方案中的沙箱對流行勒索軟件進行家族識別，識別出各種未知勒索樣本，并針對經常傳播勒索軟件的僵尸網絡（如Emotet、IcedID、BazarLoader、Dridex、Trickbot等家族）進行檢測，提示用戶相關入侵可能是勒索攻擊的前奏。在沙箱檢測到釣魚郵件傳播后，則第一時間與EDR進行聯動響應，防止相關文件落地執行。

同時，啟明星辰XDR方案還針對勒索經常使用的流行漏洞攻擊、RDP/SSH爆破攻擊、高危暴露端口等進行集中展示，方便用戶快速了解網絡中可能被勒索利用的脆弱性環節。

事中攔截

強強聯合 筑牢防線

終端在勒索防護中承擔著不可或缺的作用，啟明星辰XDR方案中的EDR組件通過已知勒索檢測、未知勒索發現和數據備份恢復，與沙箱進行協同聯動，達到取長補短的作用，筑牢勒索防護的最后一道防線。

啟明星辰EDR的病毒特征檢測模塊對各種已知勒索軟件進行準確查殺，在面對未知勒索攻擊時，通過設置誘餌目錄、進程基線學習、勒索通用異常行為檢測（如刪除卷影副本、大量篡改文件等）發現可疑勒索攻擊；同時，EDR還可以聯動APT沙箱進行可疑樣本的進一步確認，當沙箱同樣確認樣本包含勒索行為時，EDR會徹底將相關樣本及其衍生物刪除，并將被勒索破壞的文件進行恢復。此外，啟明星辰EDR對勒索病毒的端口掃描、口令爆破等橫向擴散行為進行有效甄別和封堵，配合邊界產品及威脅情報有效發現在勒索病毒執行過程中的開關域名。

事后溯源

層層剖析 厘清資產

當勒索攻擊發生后，啟明星辰XDR方案不但能刪除勒索軟件，恢復受篡改的文件，還能利用方案中多設備之間的聯動，進行攻擊溯源。通過線索發現、擴線關聯、攻擊模型映射三個主要步驟，對非法者的攻擊路徑進行層層剖析，在最短時間內還原出完整的攻擊鏈路圖，幫助用戶厘清受影響的資產。

舉例說明，勒索場景中的確定性線索即EDR告警的已知或經過確認的未知勒索攻擊、網絡側告警的勒索回連等；非確定性線索即勒索攻擊中常見的攻擊入口報警、橫向移動告警、C2工具告警等。通過確定性線索和非確定性線索進行擴線關聯、ATT&CK模型映射擬合等步驟，還原出攻擊鏈，找到受影響的資產，幫助用戶防范下一次勒索的發生。

安全是發展的前提，發展是安全的保障。勒索病毒檢測與防護已經不再是安裝殺毒軟件就可以解決的安全問題，需要在勒索攻擊的各個關鍵節點上進行檢測與保護，啟明星辰XDR將整體防護能力左移，針對勒索病毒特性進行全生命周期的安全防護，為我國關鍵信息基礎設施的網絡安全保駕護航。