无惧勒索攻击风暴 详解亚信安全方舟计划

当前勒索病毒全球肆虐，勒索病毒攻击已成为网络安全最大威胁，并已形成大量分工细致、专业化、职业化的勒索团体组织。在此背景下，亚信安全在9月20日召开「全面勒索治理即方舟计划」发布会，基于“现代勒索攻击团伙就是APT组织”的最新威胁研判，详细介绍了「方舟」计划的“全貌”，同时全面解读了勒索治理的最新理念与解决方案。

勒索病毒演进加速，与APT攻击“合体”

勒索软件的“鼻祖”诞生于1989年，而在那个互联网的“蛮荒”时代，攻击者还没有找到高效且“安全”的敲诈方法。时代变迁，从“星星之火”发展到今天的“燎原烈焰”，勒索攻击造成经济损失甚至超过一些国家的年GDP总量：据全球知名威胁情报机构RiskIQ数据统计，每1分钟就有6家单位遭受勒索攻击，全年超315万家单位被勒索，每分钟因网络安全导致的损失高达180万美元，全年超过6万亿人民币。

历经数年演化，勒索病毒经历了与比特币支付方式结合、与钓鱼邮件结合、攻击目标转向大型政企、与蠕虫木马结合、出现RaaS服务、数据泄露与多重勒索等多个发展阶段，无论从攻击形式、攻击技术、勒索形式等都发生了翻天覆地的变化，并形成了产业化发展态势，勒索攻击已经成为网络安全的最大威胁。勒索病毒攻防的矛盾博弈日益激烈，然而大量“堆砌”的安全产品和零散部署的安全检测技术却无法与之对抗。

北京邮电大学网络空间安全学院教授、副院长彭海朋表示：“勒索病毒的攻击能力十分惊人，一方面勒索病毒的作者在延续开发周期，其制作新变种的更新速度和攻击方式变化极快，加强软件弹性、驻留能力、无文件、免杀逃逸等额外功能也将成为勒索病毒的标配。另一方面，RaaS的攻击形式进一步增强了攻击的隐蔽性，且勒索攻击已由个人或单个黑客团伙攻击转向层级分明、分工明确的黑色产业活动，勒索行为日益专业化。”

亚信安全副总裁徐业礼在分享对现代勒索态势分析及研判中谈到：勒索病毒已经正式进入到2.0时代——勒索团伙APT化。

【传统勒索与现代勒索的区别】

现代勒索攻击的转变升级主要体现在作战模式、攻击目标和勒索方式上。首先，勒索即服务RaaS（Ransomware-as-a-Service）的兴起使得勒索的作战模式从传统的小型团伙单兵作战，转变为模块化、产业化、专业化的大型团伙作战，其造成的勒索攻击覆盖面更广，危害程度显著增加；其次，对于勒索攻击的目标，也从过往的广撒网蠕虫式攻击升级成为针对政府、关键信息基础设施、各类企业的定向攻击；另外，从勒索方式来看，现代勒索攻击已经从传统的支付赎金恢复数据的勒索方式，演化为同时开展双重勒索，甚至三重勒索。

值得关注的是，勒索病毒已经完全符合了网络安全行业对于APT组织的认定标准：

1． 几乎所有的勒索攻击都基于经济目的；

2． 所有的勒索攻击都是潜伏的，多阶段的持续性攻击；

3． 现代勒索攻击主要是针对企业组织的定向攻击；

4． 勒索的攻击方式多样，包括鱼叉攻击、商品化与定制化恶意软件、远端控制工具，漏洞利用等。

勒索团伙APT化，让现代勒索威胁表现出更强的攻击性、更好的隐蔽性、更高的达成率，更大的危害性，这无疑将对目标造成降维打击。

三大核心赋能，「方舟」正式启航

勒索团伙APT化，还意味着，一旦失守，便会陆续承担运营停滞、知识产权损失、名誉损失、经济损失，甚至是法律的惩戒。是缴纳赎金，还是提早防范，有效应对？

【亚信安全「方舟」引领勒索威胁治理新模式】

针对现代勒索威胁持续猛烈的攻势，能够有效遏制勒索团伙APT攻击的最新勒索威胁防护体系——亚信安全「方舟」正式推出。以治理理念为指引，以产品技术为基础，以安全服务为支撑，三位一体的亚信安全「方舟」将引领勒索治理进入全新模式，并依此形成全链条、立体化的勒索治理合力。

亚信安全高级副总裁兼首席营销官马红军表示：“亚信安全「方舟」提供了从勒索攻击发现到响应，再到恢复的全链条综合治理体系，帮助用户提早发现隐患、及时封堵攻击、避免二次勒索，最大化降低客户受勒索攻击风险和影响。”

据悉，亚信安全提供了三大核心能力赋能方舟治理：

• 勒索体检中心：亚信安全运营团队通过部署端点及网络探针，对勒索攻击进行全面排查分析，帮助客户防范在前，早发现、早预警、早研判、早处置。利用最新的勒索威胁情报进行数据碰撞，确认企业环境中是否存在勒索行为，将勒索攻击爆发风险降至最低。
• 全流程处置机制：亚信安全「方舟」覆盖了勒索病毒攻击治理响应的全流程，依照攻击发生的状态，协助用户建立勒索防护策略、勒索攻击事前防护、勒索攻击识别阻断方法，以及勒索攻击应急响应。
• 现代勒索治理解决方案：基于亚信安全成熟的XDR技术，现代勒索治理方案可全面覆盖勒索病毒的攻击链，通过“事前预防、事中处理、事后扫雷”三大手段，构建立体化、平台级的运营防护能力。

据了解，目前已经有行业用户通过亚信安全勒索体检中心对IT环境进行安全测评，针对潜藏勒索威胁风险获得了针对性的安全治理规划和建议。同时，亚信安全也配备了覆盖全国 31个省市服务网络，通过安全服务工程师等构成的本地团队，以及云端安全运营专家、病毒样本专家、威胁情报专家的总部团队，协助企业确认环境中是否有勒索行为，一同将勒索攻击爆发风险降至最低。

全链条、全流程，勒索威胁治理全景展示

亚信安全副总裁刘政平介绍：“勒索病毒攻击可以分为6个阶段，包含初始入侵、持续驻留、内网渗透、命令控制、信息外泄、执行勒索，而单一防御安全体系很难对这种有别于传统病毒的‘杀伤链’发挥作用。”

例如：现代勒索攻击团伙在入侵后会潜伏几天、几周甚至数月，他们在真正运行勒索病毒加密删除文件之前，都会偷偷寻找有价值的文件或数据，并将其外传。另外，在勒索加密代码真正启动之前，一般都会进行免杀处理，以此让防毒软件失效。

亚信安全首席研发官吴湘宁提到：“由于勒索攻击深度结合APT攻击技术手段，要解决各种来源的威胁情报杂乱无章，安全团队缺乏完整的威胁可见性、应急响应流程 ‘纸上谈兵’等问题，势必需要XDR这样的联动方案，从威胁的检测、控制，再到威胁狩猎、调查、归因等整体联动防御，方能产生更好的效果。”

【勒索病毒治理联动全景图】

为此，亚信安全根据勒索攻击6个阶段的不同特点，推出以XDR技术为核心的现代勒索病毒治理解决方案，从服务能力、产品能力逐层向上提供支撑，通过终端、云端、网络、边界、身份、数据的检测与响应（目前引擎可洞察72个勒索攻击的检测点），以及威胁数据、行为数据、资产数据、身份数据、网络数据等的联动分析，形成了针对勒索病毒治理全链条，覆盖“事前、事中、事后”运营处置，为贯穿勒索病毒事件应急响应全流程的关键动作提供了支撑。

【勒索病毒治理解决方案】

• 事前——风险排查

事前风险排查是应对勒索病毒攻击最可行手段，因为其通过现代密码学实现高强度数据文件加密，理论上通过现有技术几乎不可能破解。亚信安全勒索体检中心提供了分行业、场景和需求，定制化的专项体检服务，例如：网络资产大盘点、网络流量勒索体检、威胁情报告警分析、高危失陷主机确认、EDR端点勒索体检服务、IOA与IOC热点事件与勒索情报碰撞后的高危主机评估、云主机安全勒索体检服务、终端安全勒索体检服务等。

• 事中——应急处置

亚信安全方舟覆盖了勒索病毒攻击治理响应的全流程，具体包括：初始响应阶段、遏制阶段、分析阶段、补救措施阶段、恢复阶段、事后分析会议，并通过资深安全专家组成的网络安全服务，加速应对勒索攻击的响应效率，减轻因勒索攻击导致的企业资产损失。

【勒索攻击事件应急响应流程】

• 事后——扫除威胁

现代勒索攻击是一个集合了多种常见攻击方式的综合性攻击，同时具备了针对性、持久性和隐藏性的特点。因此，它可以通过Web进行攻击，可以通过电子邮件传递攻击，也可以通过操作系统和应用程序的漏洞来攻击，并且还可以通过人工社交攻击在企业内网端点上潜伏下来，让人防不胜防。

为此，针对事后可能出现的二次攻击，方舟提供了全链路智能行为与内容变化追踪，对批量数据窃取及高度隐蔽性异常访问等恶意行为进行智能安全分析，高效识别各类已知与未知的攻击，同时利用EDR强大的检测能力及威胁情报能力，定期、主动对端点上潜藏的威胁进行隔离，扫清“雷点”。

平台为先，筑牢新一代威胁治理屏障

目前，我们所面对的是现代勒索已经成熟的 “产业链”，他们不仅包括了上中下游的勒索病毒开发者、勒索执行者，还应运而生出赎金谈判和赎金代管者，不法分子的相互协作配合，共同瓜分勒索收益，大大降低了攻击实施的技术门槛。

亚信安全总裁陆光明表示：“发展与安全，是数字化时代的一体两面。亚信安全提出了以安全平台为抓手，打造‘产品+平台+服务’完整闭环的发展战略，真正做到为客户建立整体性防御体系，提升客户安全防御能力。‘平台为先’的原则不仅可以让碎片化的安全能力融入一体，变成系统性、可全局联动的原生免疫系统，更能将复杂的管理问题，化解成极简与智能的威胁治理运营平台。”

在此全局战略下，亚信安全针对现代勒索攻击推出的方舟计划，将有助于用户提前找到潜伏的威胁，通过多源情报摄取、关联和安全行动，全面了解勒索团伙发动的APT攻击手段和途径，最大限度地规避勒索攻击风险。