启明星辰XDR：EDR和NDR强强联合，构建勒索攻击防护堡垒 - 网安

在勒索攻击中,非法者往往利用弱口令爆破、钓鱼邮件、网页挂马、0day/Nday漏洞等进入被攻击的网络环境，再通过凭证提取、获取权限、横向移动等找到受害者的重要资产，最终投放勒索软件进行精准勒索。

针对勒索攻击的特殊性，启明星辰XDR方案通过“事前预防、事中拦截、事后溯源”三大手段，构建起立体化的勒索攻击防护堡垒，在事前封堵勒索传播源头、文件备份保护；事中切断勒索攻击途径、拦截勒索加密行为；事后尽可能帮助用户查找被勒索的原因及入口，为整改提供有效支撑，避免下次攻击发生。

事前预防

快速甄别封堵源头

由于勒索攻击的不可逆性，“事前预防”是启明星辰XDR立体化勒索防护方案的重要一环。

启明星辰XDR方案中的EDR组件可检测终端的脆弱性，包括终端存在的弱密码、系统漏洞、应用漏洞、风险配置、共享目录等，全面提升资产健壮性，减少勒索软件的进入途径；同时，业务资产库也可用于出现疑似安全风险时，快速甄别安全风险处置是否对业务有潜在影响，提升处置准确性及效率。

启明星辰XDR方案中的NDR组件（TAR流量检测引擎、NFT全流量分析取证系统、APT沙箱）对勒索攻击常使用的钓鱼邮件、0day/Nday漏洞、弱口令爆破等各种入侵口进行专项检测防护。针对使用钓鱼邮件进行攻击的场景，启明星辰XDR方案中的沙箱对流行勒索软件进行家族识别，识别出各种未知勒索样本，并针对经常传播勒索软件的僵尸网络（如Emotet、IcedID、BazarLoader、Dridex、Trickbot等家族）进行检测，提示用户相关入侵可能是勒索攻击的前奏。在沙箱检测到钓鱼邮件传播后，则第一时间与EDR进行联动响应，防止相关文件落地执行。

同时，启明星辰XDR方案还针对勒索经常使用的流行漏洞攻击、RDP/SSH爆破攻击、高危暴露端口等进行集中展示，方便用户快速了解网络中可能被勒索利用的脆弱性环节。

事中拦截

强强联合筑牢防线

终端在勒索防护中承担着不可或缺的作用，启明星辰XDR方案中的EDR组件通过已知勒索检测、未知勒索发现和数据备份恢复，与沙箱进行协同联动，达到取长补短的作用，筑牢勒索防护的最后一道防线。

启明星辰EDR的病毒特征检测模块对各种已知勒索软件进行准确查杀，在面对未知勒索攻击时，通过设置诱饵目录、进程基线学习、勒索通用异常行为检测（如删除卷影副本、大量篡改文件等）发现可疑勒索攻击；同时，EDR还可以联动APT沙箱进行可疑样本的进一步确认，当沙箱同样确认样本包含勒索行为时，EDR会彻底将相关样本及其衍生物删除，并将被勒索破坏的文件进行恢复。此外，启明星辰EDR对勒索病毒的端口扫描、口令爆破等横向扩散行为进行有效甄别和封堵，配合边界产品及威胁情报有效发现在勒索病毒执行过程中的开关域名。

事后溯源

层层剖析厘清资产

当勒索攻击发生后，启明星辰XDR方案不但能删除勒索软件，恢复受篡改的文件，还能利用方案中多设备之间的联动，进行攻击溯源。通过线索发现、扩线关联、攻击模型映射三个主要步骤，对非法者的攻击路径进行层层剖析，在最短时间内还原出完整的攻击链路图，帮助用户厘清受影响的资产。

举例说明，勒索场景中的确定性线索即EDR告警的已知或经过确认的未知勒索攻击、网络侧告警的勒索回连等；非确定性线索即勒索攻击中常见的攻击入口报警、横向移动告警、C2工具告警等。通过确定性线索和非确定性线索进行扩线关联、ATT&CK模型映射拟合等步骤，还原出攻击链，找到受影响的资产，帮助用户防范下一次勒索的发生。

安全是发展的前提，发展是安全的保障。勒索病毒检测与防护已经不再是安装杀毒软件就可以解决的安全问题，需要在勒索攻击的各个关键节点上进行检测与保护，启明星辰XDR将整体防护能力左移，针对勒索病毒特性进行全生命周期的安全防护，为我国关键信息基础设施的网络安全保驾护航。