自2017年Wannacry勒索病毒大規模爆發(fā)以來(lái)，勒索病毒攻擊事件層出不窮，政府、交通、能源及醫療等行業(yè)均成為了勒索病毒攻擊的目標，到2023年，勒索事件愈發(fā)猖獗，8月8日Trigona 勒索香港數碼港，9月26日RansomedVC 勒索索尼公司，10月27日LockBit 勒索波音公司，11月8日LockBit勒索中國某大型金融機構，11月28日Rhysida勒索中國某能源集團。

實(shí)則這些企業(yè)已經(jīng)部署了各種安全防護手段，比如防病毒、防火墻、VPN及安全運營(yíng)中心（SOC）等等，并且有專(zhuān)門(mén)的安全運營(yíng)部門(mén)負責日常運維，但是仍然遭到了勒索病毒的攻擊。勒索病毒難以防范。

那勒索病毒一般攻擊路徑是如何的呢？

▲ 勒索病毒的典型攻擊步驟

第一步，收集情報，查找攻擊目標暴露在互聯(lián)網(wǎng)的VPN網(wǎng)關(guān)、電子郵件信息及公司站點(diǎn)等，然后利用系統漏洞或者釣魚(yú)郵件、社會(huì )工程學(xué)等方法進(jìn)入內網(wǎng)，并做持久化駐留，比如，寫(xiě)到計劃任務(wù)里面，或者開(kāi)機自啟動(dòng)等。

第二步，成功持久化后，攻擊者一般會(huì )先潛伏下來(lái)，在不暴露自身的前提下，通過(guò)慢速攻擊的方式找到關(guān)鍵業(yè)務(wù)系統和業(yè)務(wù)數據，再通過(guò)隱秘通道從互聯(lián)網(wǎng)下載加密程序和加密秘鑰。

第三步，對攻擊目標的重要業(yè)務(wù)數據進(jìn)行加密，加密算法一般采用對稱(chēng)加密AES或者非對稱(chēng)加密，抑或二者相結合，加密之后刪除解密秘鑰。

第四步，在被清除前勒索病毒會(huì )一直潛伏于內網(wǎng)，持續橫向擴散，試圖進(jìn)行更多破壞。

一旦數據被攻擊者加密，便很難還原回來(lái)，企業(yè)要么交贖金，要么面臨數據泄露風(fēng)險。

2023年10月份，美國聯(lián)邦政府網(wǎng)絡(luò )安全與基礎設施安全局（CISA）發(fā)布了最新的《勒索病毒防范指南》。指南中把防范勒索病毒的過(guò)程分為兩個(gè)部分：預防和應急響應。

預防階段企業(yè)需提前備份關(guān)鍵數據，實(shí)施零信任體系架構以及做好安全配置，修復漏洞。而一旦中了勒索病毒，企業(yè)應當采取有效的應急響應措施，實(shí)現隔離被感染終端，檢測病毒，獵殺病毒以及遏制和清除病毒的效果，并且在事后及時(shí)恢復文件。

以上涉及到的技術(shù)均可通過(guò)聯(lián)軟科技“五位一體”勒索病毒防范框架體系來(lái)實(shí)現。

聯(lián)軟“五位一體”勒索病毒防范框架體系的目標是保護用戶(hù)的核心系統、核心數據和核心資產(chǎn)，從事前、事中、事后三個(gè)階段幫助用戶(hù)盡可能免受勒索病毒的感染，即使感染了也能快速發(fā)現及時(shí)阻斷，盡可能降低病毒擴散速度，最后即使有重要數據被加密，也能夠快速還原。

▲ 聯(lián)軟“五位一體”勒索病毒防范框架體系

在事前階段，避免感染，雙重備份。首先我們可以使用聯(lián)軟網(wǎng)絡(luò )空間資產(chǎn)測繪產(chǎn)品UniCSM對企業(yè)外部和內部暴露面進(jìn)行排查，做到知己知彼；其次，采用聯(lián)軟全網(wǎng)零信任產(chǎn)品UniSDP收斂?jì)?、外部暴露面；第三、采用?lián)軟EPP產(chǎn)品桌面安全管理系統，加強企業(yè)內部的安全管控，比如弱口令的管控，安全配置基線(xiàn)、補丁管理等；第四、通過(guò)UniNAC做好網(wǎng)絡(luò )準入管控和合理的網(wǎng)絡(luò )隔離；最后，可以對企業(yè)的重要數據進(jìn)行備份，采用聯(lián)軟UniEDR“文檔勒索防護”和UniNXG進(jìn)行本地和云端雙重備份，做到萬(wàn)無(wú)一失。

在事中階段，一鍵阻斷，“速效救心”。如果仍然有員工一不小心被電子郵件“釣魚(yú)”，或者通過(guò)聊天工具感染了勒索病毒，怎么辦呢？我們可以采用聯(lián)軟UniEDR系統，實(shí)時(shí)檢測終端行為，發(fā)現終端勒索行為或者橫向移動(dòng)及時(shí)告警，并通過(guò)專(zhuān)家規則立即阻斷，管理員可以采用調查功能遠程清除木馬；采用聯(lián)軟UniNID系統部署幻影功能，“幻化”成千上萬(wàn)個(gè)仿真系統，主動(dòng)欺騙和誘捕勒索病毒，一旦發(fā)現勒索病毒蹤跡，還可以對中招的終端進(jìn)行微隔離，不影響其它終端業(yè)務(wù)。

在某大型企業(yè)里，曾因發(fā)現了個(gè)別終端中了木馬，用戶(hù)緊急使用聯(lián)軟產(chǎn)品，2分鐘內十萬(wàn)終端網(wǎng)絡(luò )隔離策略全部生效，有效阻斷了病毒擴散。

事后恢復階段，溯本清源，鞏固薄弱。清除勒索病毒之后，我們可以很方便地從終端殺毒軟件“文檔勒索防護”功能中恢復文件，或者從UniNXG云端自動(dòng)恢復文件。其次，通過(guò)聯(lián)軟UniEDR系統，可以輕松溯源到勒索病毒，查清入侵根源，最后可以根據自身的薄弱環(huán)節進(jìn)行加固，比如，通過(guò)培訓和演練提升員工的安全意識，避免郵件“釣魚(yú)”等安全問(wèn)題。

聯(lián)軟科技自成立以來(lái)，服務(wù)了數百家金融機構客戶(hù)，幾乎從未出現大面積勒索病毒感染事件。企業(yè)只要使用了聯(lián)軟“五位一體”防勒索框架體系，感染勒索病毒的風(fēng)險至少下降90%，從而有效地保護企業(yè)數據不被勒索，保障企業(yè)業(yè)務(wù)的可持續運營(yíng)。