在當今網(wǎng)絡(luò )空間世界，勒索病毒已是最猖獗和最具破壞力的病毒。信息安全界各專(zhuān)業(yè)人士在研究如何徹底剿滅此類(lèi)病毒時(shí)，也曾推出各種防勒索方案，但實(shí)際上我們仍然可以頻頻聽(tīng)到勒索病毒攻擊事件，其中不乏知名大公司大企業(yè)，而且被勒索的金額通常巨大。

關(guān)于勒索病毒最近最熱的新聞莫過(guò)于今年2月英國政府剛宣布控制了Lockbit組織，而一周后該組織官宣復活，并且提出會(huì )針對政府進(jìn)行報復，勒索病毒的猖獗程度和杜絕難度可見(jiàn)一斑。

網(wǎng)絡(luò )空間戰一直以來(lái)被冠以“沒(méi)有硝煙的戰爭”，但由于網(wǎng)絡(luò )空間屬于虛擬世界，在探討網(wǎng)絡(luò )空間的問(wèn)題時(shí)總是讓人感覺(jué)缺乏實(shí)在感，仿佛蒙上了一層面紗，很難窺探其真實(shí)面貌。通過(guò)對照現實(shí)物理世界，我們嘗試撥開(kāi)迷霧。

2023年剛剛過(guò)去的新冠抗疫就是發(fā)生在物理世界的一次真實(shí)的、沒(méi)有硝煙的戰爭。中國政府在抗疫過(guò)程中走出了中國抗疫模式，保證中國經(jīng)濟和社會(huì )秩序井然，展示了強大的應對能力和組織執行力，在全世界抗疫中交出來(lái)高水平的答卷，贏(yíng)得了世衛組織的高度認可。我們依據時(shí)間線(xiàn)來(lái)梳理一下這次抗疫中的關(guān)鍵事件。

1.“吹哨人”在重災區武漢率先拉響警報，該病毒會(huì )危害人類(lèi)健康導致死亡；

2.人類(lèi)對該病毒基本屬于未知，暫無(wú)特效藥物，武漢選擇火速率先封城，切斷人員進(jìn)出流動(dòng)，避免擴散全國；

3.由于沒(méi)有被第一時(shí)間檢測和發(fā)現，封城之前實(shí)際上病毒攜帶人已經(jīng)流出和逃逸，各地相繼出現病例，各地相繼宣布封城；

4.隨著(zhù)感染案例持續擴散，各地開(kāi)始停工停產(chǎn)，居家隔離，基于樓棟進(jìn)行隔離，控制人員流動(dòng)和擴散，并上門(mén)排查上報健康狀況，手動(dòng)排查行程（是否有流動(dòng)過(guò)或到過(guò)疫區），將癥狀者拉到專(zhuān)門(mén)的區域進(jìn)行隔離；

5.科研機構開(kāi)始緊急研究病毒，試圖了解病毒，搞清病毒源頭，病毒特征，治療方法和特效藥物等；

6.基于已有的知識開(kāi)始上防護措施，要求戴口罩，洗手，酒精消毒，全社會(huì )教育推廣，旨在減少傳播；

7.監測各地新增病例以及治愈數據，開(kāi)始逐步解封，復產(chǎn)復工；

8.科技手段核酸檢測和行程碼，健康碼等出現，大幅提升檢測效率，大大降低漏報、瞞報和繞過(guò)物理關(guān)卡導致的病毒流動(dòng)可能性；

9.國外大規模爆發(fā)，各地封鎖海關(guān)，加強入境健康排查和隔離觀(guān)察；

10.防疫政策開(kāi)始改變，不再大面積封城，只封鎖發(fā)現病例附近區域，清零后解封，最大保證社會(huì )經(jīng)濟生活正常；

11.疫苗出現，全民開(kāi)始推行接種，但由于病毒變種較多，也無(wú)法保證能免疫所有病毒，未知變種仍有感染的可能性（后續也驗證了）；

12.隨著(zhù)病毒毒性減弱，全員放開(kāi)，抗疫結束；

13.至今仍無(wú)產(chǎn)生新冠特效藥。

勒索病毒作為虛擬世界的病毒，除了病毒的載體和物理世界的新冠不同，其它基本上有相當程度的相似性：

1.都有極高的破壞性。新冠危害人的健康和生命，勒索病毒破壞數據的可用性和保密性；

2.都會(huì )出現大規模爆發(fā)的可能性。新冠危害社會(huì )安全和經(jīng)濟，勒索病毒導致企業(yè)業(yè)務(wù)中斷；

3.都具有很強的傳播能力。勒索病毒甚至有很多是主動(dòng)傳播；

4.都有大量的未知和變種，同時(shí)無(wú)法找到源頭和清理源頭。

聯(lián)軟科技基于對勒索病毒特點(diǎn)和市面上現有解決方案的分析，我們發(fā)現如下問(wèn)題：

現有方案基本都在強調基于病毒的檢測發(fā)現和響應能力以及數據備份來(lái)構建方案，例如殺毒強調病毒庫多少，病毒庫更新多快，基于行為檢測的技術(shù)（各種DR，態(tài)感等）在強調規則多，運算模型強大，而數據備份也在強調可以做到按天恢復數據。

但實(shí)際上勒索病毒最難防范的地方在于它的不確定性。由于其背后是巨大的經(jīng)濟利益，勒索病毒基本已經(jīng)形成產(chǎn)業(yè)化，有專(zhuān)門(mén)的病毒研究、制造和主動(dòng)傳播分工合作，會(huì )針對當前的防御體系和防御技術(shù)，專(zhuān)門(mén)研究防御陣線(xiàn)漏洞和各種突破防御逃脫制裁的方式。而對比單一企業(yè)與勒索產(chǎn)業(yè)團隊在安全力量上的配置，前者基本處于力量失衡，大有道高一尺，魔高一丈的態(tài)勢。所以，企業(yè)的安全檢測響應防御防線(xiàn)屢被攻破，勒索事件頻頻發(fā)生，不少企業(yè)經(jīng)濟損失慘重。

其次基于數據備份的恢復技術(shù)，在遇到業(yè)務(wù)系統被加密時(shí)，即使數據備份到天，也難以快速恢復業(yè)務(wù)。

基于以上原因，聯(lián)軟科技結合物理世界戰爭的思維提出了基于防止企業(yè)大面積中勒索病毒的網(wǎng)絡(luò )安全底座方案。

該方案具有如下特點(diǎn)：

1.基于戰爭思維，利用網(wǎng)絡(luò )空間中的“地利”與“人和”，構建防御體系，不追求“零傷亡”，保證主力部隊不會(huì )被殲滅，實(shí)現底線(xiàn)安全風(fēng)險管控。

2.重點(diǎn)關(guān)注業(yè)務(wù)連續性保護，通常企業(yè)由于大規模中勒索病毒導致生產(chǎn)業(yè)務(wù)停擺的損失遠大于勒索金額，這一點(diǎn)在當前很容易被忽視。

3.該方案基于網(wǎng)絡(luò )訪(fǎng)問(wèn)控制技術(shù)，結合軟件定義的策略，聯(lián)動(dòng)網(wǎng)絡(luò )空間內的網(wǎng)絡(luò )設備（如交換機、防火墻、網(wǎng)關(guān)等），可隨時(shí)按需構造一個(gè)個(gè)靈活的隔離空間，通過(guò)切斷域的網(wǎng)絡(luò )訪(fǎng)問(wèn)將病毒控制在隔離區域，控制病毒大規模擴散和橫向移動(dòng)（新冠病毒的抗疫過(guò)程也驗證了這種隨時(shí)按需隔離的措施是控制病毒擴散的唯一有效手段）。

4.通過(guò)重要業(yè)務(wù)系統的備份域而不是數據備份，來(lái)保證主營(yíng)業(yè)務(wù)的連續性。

5.在劃分域的基礎上，再通過(guò)域間訪(fǎng)問(wèn)策略和通道的收斂，來(lái)降低管控的難度，同時(shí)也便于可視化。

6.通過(guò)策略的可視化，來(lái)及時(shí)發(fā)現人為的配置錯誤，預測可能存在的配置風(fēng)險。

7.在訪(fǎng)問(wèn)權限較大的網(wǎng)管域，業(yè)務(wù)連續性影響較大的備份域，設置以主動(dòng)欺騙技術(shù)為主的產(chǎn)品，加強對勒索病毒的發(fā)現。