當(dāng)前勒索病毒全球肆虐，勒索病毒攻擊已成為網(wǎng)絡(luò)安全最大威脅，并已形成大量分工細(xì)致、專業(yè)化、職業(yè)化的勒索團(tuán)體組織。在此背景下，亞信安全在9月20日召開(kāi)「全面勒索治理即方舟計(jì)劃」發(fā)布會(huì)，基于“現(xiàn)代勒索攻擊團(tuán)伙就是APT組織”的最新威脅研判，詳細(xì)介紹了「方舟」計(jì)劃的“全貌”，同時(shí)全面解讀了勒索治理的最新理念與解決方案。

勒索病毒演進(jìn)加速，與APT攻擊“合體”

勒索軟件的“鼻祖”誕生于1989年，而在那個(gè)互聯(lián)網(wǎng)的“蠻荒”時(shí)代，攻擊者還沒(méi)有找到高效且“安全”的敲詐方法。時(shí)代變遷，從“星星之火”發(fā)展到今天的“燎原烈焰”，勒索攻擊造成經(jīng)濟(jì)損失甚至超過(guò)一些國(guó)家的年GDP總量：據(jù)全球知名威脅情報(bào)機(jī)構(gòu)RiskIQ數(shù)據(jù)統(tǒng)計(jì)，每1分鐘就有6家單位遭受勒索攻擊，全年超315萬(wàn)家單位被勒索，每分鐘因網(wǎng)絡(luò)安全導(dǎo)致的損失高達(dá)180萬(wàn)美元，全年超過(guò)6萬(wàn)億人民幣。

歷經(jīng)數(shù)年演化，勒索病毒經(jīng)歷了與比特幣支付方式結(jié)合、與釣魚(yú)郵件結(jié)合、攻擊目標(biāo)轉(zhuǎn)向大型政企、與蠕蟲(chóng)木馬結(jié)合、出現(xiàn)RaaS服務(wù)、數(shù)據(jù)泄露與多重勒索等多個(gè)發(fā)展階段，無(wú)論從攻擊形式、攻擊技術(shù)、勒索形式等都發(fā)生了翻天覆地的變化，并形成了產(chǎn)業(yè)化發(fā)展態(tài)勢(shì)，勒索攻擊已經(jīng)成為網(wǎng)絡(luò)安全的最大威脅。勒索病毒攻防的矛盾博弈日益激烈，然而大量“堆砌”的安全產(chǎn)品和零散部署的安全檢測(cè)技術(shù)卻無(wú)法與之對(duì)抗。

北京郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院教授、副院長(zhǎng)彭海朋表示：“勒索病毒的攻擊能力十分驚人，一方面勒索病毒的作者在延續(xù)開(kāi)發(fā)周期，其制作新變種的更新速度和攻擊方式變化極快，加強(qiáng)軟件彈性、駐留能力、無(wú)文件、免殺逃逸等額外功能也將成為勒索病毒的標(biāo)配。另一方面，RaaS的攻擊形式進(jìn)一步增強(qiáng)了攻擊的隱蔽性，且勒索攻擊已由個(gè)人或單個(gè)黑客團(tuán)伙攻擊轉(zhuǎn)向?qū)蛹?jí)分明、分工明確的黑色產(chǎn)業(yè)活動(dòng)，勒索行為日益專業(yè)化?！?/p>

亞信安全副總裁徐業(yè)禮在分享對(duì)現(xiàn)代勒索態(tài)勢(shì)分析及研判中談到：勒索病毒已經(jīng)正式進(jìn)入到2.0時(shí)代——勒索團(tuán)伙APT化。

【傳統(tǒng)勒索與現(xiàn)代勒索的區(qū)別】

現(xiàn)代勒索攻擊的轉(zhuǎn)變升級(jí)主要體現(xiàn)在作戰(zhàn)模式、攻擊目標(biāo)和勒索方式上。首先，勒索即服務(wù)RaaS（Ransomware-as-a-Service）的興起使得勒索的作戰(zhàn)模式從傳統(tǒng)的小型團(tuán)伙單兵作戰(zhàn)，轉(zhuǎn)變?yōu)槟K化、產(chǎn)業(yè)化、專業(yè)化的大型團(tuán)伙作戰(zhàn)，其造成的勒索攻擊覆蓋面更廣，危害程度顯著增加；其次，對(duì)于勒索攻擊的目標(biāo)，也從過(guò)往的廣撒網(wǎng)蠕蟲(chóng)式攻擊升級(jí)成為針對(duì)政府、關(guān)鍵信息基礎(chǔ)設(shè)施、各類企業(yè)的定向攻擊；另外，從勒索方式來(lái)看，現(xiàn)代勒索攻擊已經(jīng)從傳統(tǒng)的支付贖金恢復(fù)數(shù)據(jù)的勒索方式，演化為同時(shí)開(kāi)展雙重勒索，甚至三重勒索。

值得關(guān)注的是，勒索病毒已經(jīng)完全符合了網(wǎng)絡(luò)安全行業(yè)對(duì)于APT組織的認(rèn)定標(biāo)準(zhǔn)：

1、幾乎所有的勒索攻擊都基于經(jīng)濟(jì)目的；

2、所有的勒索攻擊都是潛伏的，多階段的持續(xù)性攻擊；

3、現(xiàn)代勒索攻擊主要是針對(duì)企業(yè)組織的定向攻擊；

4、勒索的攻擊方式多樣，包括魚(yú)叉攻擊、商品化與定制化惡意軟件、遠(yuǎn)端控制工具，漏洞利用等。

勒索團(tuán)伙APT化，讓現(xiàn)代勒索威脅表現(xiàn)出更強(qiáng)的攻擊性、更好的隱蔽性、更高的達(dá)成率，更大的危害性，這無(wú)疑將對(duì)目標(biāo)造成降維打擊。

三大核心賦能，「方舟」正式啟航

勒索團(tuán)伙APT化，還意味著，一旦失守，便會(huì)陸續(xù)承擔(dān)運(yùn)營(yíng)停滯、知識(shí)產(chǎn)權(quán)損失、名譽(yù)損失、經(jīng)濟(jì)損失，甚至是法律的懲戒。是繳納贖金，還是提早防范，有效應(yīng)對(duì)？

【亞信安全「方舟」引領(lǐng)勒索威脅治理新模式】

針對(duì)現(xiàn)代勒索威脅持續(xù)猛烈的攻勢(shì)，能夠有效遏制勒索團(tuán)伙APT攻擊的最新勒索威脅防護(hù)體系——亞信安全「方舟」正式推出。以治理理念為指引，以產(chǎn)品技術(shù)為基礎(chǔ)，以安全服務(wù)為支撐，三位一體的亞信安全「方舟」將引領(lǐng)勒索治理進(jìn)入全新模式，并依此形成全鏈條、立體化的勒索治理合力。

亞信安全高級(jí)副總裁兼首席營(yíng)銷官馬紅軍表示：“亞信安全「方舟」提供了從勒索攻擊發(fā)現(xiàn)到響應(yīng)，再到恢復(fù)的全鏈條綜合治理體系，幫助用戶提早發(fā)現(xiàn)隱患、及時(shí)封堵攻擊、避免二次勒索，最大化降低客戶受勒索攻擊風(fēng)險(xiǎn)和影響?！?/p>

據(jù)悉，亞信安全提供了三大核心能力賦能方舟治理：

1、勒索體檢中心：亞信安全運(yùn)營(yíng)團(tuán)隊(duì)通過(guò)部署端點(diǎn)及網(wǎng)絡(luò)探針，對(duì)勒索攻擊進(jìn)行全面排查分析，幫助客戶防范在前，早發(fā)現(xiàn)、早預(yù)警、早研判、早處置。利用最新的勒索威脅情報(bào)進(jìn)行數(shù)據(jù)碰撞，確認(rèn)企業(yè)環(huán)境中是否存在勒索行為，將勒索攻擊爆發(fā)風(fēng)險(xiǎn)降至最低。

2、全流程處置機(jī)制：亞信安全「方舟」覆蓋了勒索病毒攻擊治理響應(yīng)的全流程，依照攻擊發(fā)生的狀態(tài)，協(xié)助用戶建立勒索防護(hù)策略、勒索攻擊事前防護(hù)、勒索攻擊識(shí)別阻斷方法，以及勒索攻擊應(yīng)急響應(yīng)。

3、現(xiàn)代勒索治理解決方案：基于亞信安全成熟的XDR技術(shù)，現(xiàn)代勒索治理方案可全面覆蓋勒索病毒的攻擊鏈，通過(guò)“事前預(yù)防、事中處理、事后掃雷”三大手段，構(gòu)建立體化、平臺(tái)級(jí)的運(yùn)營(yíng)防護(hù)能力。

據(jù)了解，目前已經(jīng)有行業(yè)用戶通過(guò)亞信安全勒索體檢中心對(duì)IT環(huán)境進(jìn)行安全測(cè)評(píng)，針對(duì)潛藏勒索威脅風(fēng)險(xiǎn)獲得了針對(duì)性的安全治理規(guī)劃和建議。同時(shí)，亞信安全也配備了覆蓋全國(guó) 31個(gè)省市服務(wù)網(wǎng)絡(luò)，通過(guò)安全服務(wù)工程師等構(gòu)成的本地團(tuán)隊(duì)，以及云端安全運(yùn)營(yíng)專家、病毒樣本專家、威脅情報(bào)專家的總部團(tuán)隊(duì)，協(xié)助企業(yè)確認(rèn)環(huán)境中是否有勒索行為，一同將勒索攻擊爆發(fā)風(fēng)險(xiǎn)降至最低。

全鏈條、全流程，勒索威脅治理全景展示

亞信安全副總裁劉政平介紹：“勒索病毒攻擊可以分為6個(gè)階段，包含初始入侵、持續(xù)駐留、內(nèi)網(wǎng)滲透、命令控制、信息外泄、執(zhí)行勒索，而單一防御安全體系很難對(duì)這種有別于傳統(tǒng)病毒的‘殺傷鏈’發(fā)揮作用?！?/p>

例如：現(xiàn)代勒索攻擊團(tuán)伙在入侵后會(huì)潛伏幾天、幾周甚至數(shù)月，他們?cè)谡嬲\(yùn)行勒索病毒加密刪除文件之前，都會(huì)偷偷尋找有價(jià)值的文件或數(shù)據(jù)，并將其外傳。另外，在勒索加密代碼真正啟動(dòng)之前，一般都會(huì)進(jìn)行免殺處理，以此讓防毒軟件失效。

亞信安全首席研發(fā)官吳湘寧提到：“由于勒索攻擊深度結(jié)合APT攻擊技術(shù)手段，要解決各種來(lái)源的威脅情報(bào)雜亂無(wú)章，安全團(tuán)隊(duì)缺乏完整的威脅可見(jiàn)性、應(yīng)急響應(yīng)流程 ‘紙上談兵’等問(wèn)題，勢(shì)必需要XDR這樣的聯(lián)動(dòng)方案，從威脅的檢測(cè)、控制，再到威脅狩獵、調(diào)查、歸因等整體聯(lián)動(dòng)防御，方能產(chǎn)生更好的效果?！?/p>

【勒索病毒治理聯(lián)動(dòng)全景圖】

為此，亞信安全根據(jù)勒索攻擊6個(gè)階段的不同特點(diǎn)，推出以XDR技術(shù)為核心的現(xiàn)代勒索病毒治理解決方案，從服務(wù)能力、產(chǎn)品能力逐層向上提供支撐，通過(guò)終端、云端、網(wǎng)絡(luò)、邊界、身份、數(shù)據(jù)的檢測(cè)與響應(yīng)（目前引擎可洞察72個(gè)勒索攻擊的檢測(cè)點(diǎn)），以及威脅數(shù)據(jù)、行為數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、身份數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)等的聯(lián)動(dòng)分析，形成了針對(duì)勒索病毒治理全鏈條，覆蓋“事前、事中、事后”運(yùn)營(yíng)處置，為貫穿勒索病毒事件應(yīng)急響應(yīng)全流程的關(guān)鍵動(dòng)作提供了支撐。

【勒索病毒治理解決方案】

◆ 事前——風(fēng)險(xiǎn)排查

事前風(fēng)險(xiǎn)排查是應(yīng)對(duì)勒索病毒攻擊最可行手段，因?yàn)槠渫ㄟ^(guò)現(xiàn)代密碼學(xué)實(shí)現(xiàn)高強(qiáng)度數(shù)據(jù)文件加密，理論上通過(guò)現(xiàn)有技術(shù)幾乎不可能破解。亞信安全勒索體檢中心提供了分行業(yè)、場(chǎng)景和需求，定制化的專項(xiàng)體檢服務(wù)，例如：網(wǎng)絡(luò)資產(chǎn)大盤(pán)點(diǎn)、網(wǎng)絡(luò)流量勒索體檢、威脅情報(bào)告警分析、高危失陷主機(jī)確認(rèn)、EDR端點(diǎn)勒索體檢服務(wù)、IOA與IOC熱點(diǎn)事件與勒索情報(bào)碰撞后的高危主機(jī)評(píng)估、云主機(jī)安全勒索體檢服務(wù)、終端安全勒索體檢服務(wù)等。

◆ 事中——應(yīng)急處置

亞信安全方舟覆蓋了勒索病毒攻擊治理響應(yīng)的全流程，具體包括：初始響應(yīng)階段、遏制階段、分析階段、補(bǔ)救措施階段、恢復(fù)階段、事后分析會(huì)議，并通過(guò)資深安全專家組成的網(wǎng)絡(luò)安全服務(wù)，加速應(yīng)對(duì)勒索攻擊的響應(yīng)效率，減輕因勒索攻擊導(dǎo)致的企業(yè)資產(chǎn)損失。

【勒索攻擊事件應(yīng)急響應(yīng)流程】

◆ 事后——掃除威脅

現(xiàn)代勒索攻擊是一個(gè)集合了多種常見(jiàn)攻擊方式的綜合性攻擊，同時(shí)具備了針對(duì)性、持久性和隱藏性的特點(diǎn)。因此，它可以通過(guò)Web進(jìn)行攻擊，可以通過(guò)電子郵件傳遞攻擊，也可以通過(guò)操作系統(tǒng)和應(yīng)用程序的漏洞來(lái)攻擊，并且還可以通過(guò)人工社交攻擊在企業(yè)內(nèi)網(wǎng)端點(diǎn)上潛伏下來(lái)，讓人防不勝防。

為此，針對(duì)事后可能出現(xiàn)的二次攻擊，方舟提供了全鏈路智能行為與內(nèi)容變化追蹤，對(duì)批量數(shù)據(jù)竊取及高度隱蔽性異常訪問(wèn)等惡意行為進(jìn)行智能安全分析，高效識(shí)別各類已知與未知的攻擊，同時(shí)利用EDR強(qiáng)大的檢測(cè)能力及威脅情報(bào)能力，定期、主動(dòng)對(duì)端點(diǎn)上潛藏的威脅進(jìn)行隔離，掃清“雷點(diǎn)”。

平臺(tái)為先，筑牢新一代威脅治理屏障

目前，我們所面對(duì)的是現(xiàn)代勒索已經(jīng)成熟的 “產(chǎn)業(yè)鏈”，他們不僅包括了上中下游的勒索病毒開(kāi)發(fā)者、勒索執(zhí)行者，還應(yīng)運(yùn)而生出贖金談判和贖金代管者。不法分子的相互協(xié)作配合，共同瓜分勒索收益，大大降低了攻擊實(shí)施的技術(shù)門(mén)檻。

亞信安全總裁陸光明表示：“發(fā)展與安全，是數(shù)字化時(shí)代的一體兩面。亞信安全提出了以安全平臺(tái)為抓手，打造‘產(chǎn)品+平臺(tái)+服務(wù)’完整閉環(huán)的發(fā)展戰(zhàn)略，真正做到為客戶建立整體性防御體系，提升客戶安全防御能力?！脚_(tái)為先’的原則不僅可以讓碎片化的安全能力融入一體，變成系統(tǒng)性、可全局聯(lián)動(dòng)的原生免疫系統(tǒng)，更能將復(fù)雜的管理問(wèn)題，化解成極簡(jiǎn)與智能的威脅治理運(yùn)營(yíng)平臺(tái)。”

在此全局戰(zhàn)略下，亞信安全針對(duì)現(xiàn)代勒索攻擊推出的方舟計(jì)劃，將有助于用戶提前找到潛伏的威脅，通過(guò)多源情報(bào)攝取、關(guān)聯(lián)和安全行動(dòng)，全面了解勒索團(tuán)伙發(fā)動(dòng)的APT攻擊手段和途徑，最大限度地規(guī)避勒索攻擊風(fēng)險(xiǎn)。