信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

隨著產(chǎn)業(yè)數(shù)字化時代的到來，網(wǎng)絡、信息、數(shù)據(jù)的應用價值越來越高，不法分子也關注到高價值地帶的出現(xiàn)，為網(wǎng)絡空間帶來極大的威脅。2023年勒索攻擊數(shù)量增加73%，贖金總額高達11億美金以上，已成為造成的損失最高的網(wǎng)絡犯罪之一。為了幫助甲方用戶更好的應對逐漸增加的勒索攻擊風險，安全牛發(fā)起了《勒索攻擊防護技術應用指南（2024版）》報告研究工作，報告于9月12日正式發(fā)布。

關鍵發(fā)現(xiàn)

當前勒索攻擊團伙的攻擊技術、組織能力、運營方式進一步專業(yè)化。同時，勒索攻擊過程中的作業(yè)手段趨于標準化和模式化，攻擊者注重其中單點作業(yè)能力的增加。

報告調(diào)研發(fā)現(xiàn)，當前我國企業(yè)用戶對勒索攻擊威脅的關注點正在發(fā)生轉(zhuǎn)變,已從原有的業(yè)務連續(xù)性擔心轉(zhuǎn)變?yōu)楦雨P注由勒索攻擊引發(fā)的數(shù)據(jù)泄露風險。調(diào)研數(shù)據(jù)統(tǒng)計，89.74%的受訪用戶表示最擔心勒索攻擊導致的數(shù)據(jù)泄漏問題。

調(diào)研發(fā)現(xiàn)，對當前市場上已有的專項勒索攻擊防護產(chǎn)品或方案，只有17.95%的受訪用戶認為是比較成熟的，而有12.82%的甲方用戶認為技術和產(chǎn)品均不成熟。國產(chǎn)勒索專項防護產(chǎn)品/服務的防護能力在近兩年有一定的進步，但整體上距離用戶期望還有差距，仍有較大可提升空間。

調(diào)研發(fā)現(xiàn)，部署專項勒索安全防護產(chǎn)品的甲方用戶占比較小。在調(diào)研的甲方用戶中，76.92%的用戶還是圍繞安全合規(guī)進行的安全建設，只有23%的用戶是圍繞風險進行的安全建設。結(jié)果顯示，當前企業(yè)仍將勒索攻擊防護能力建設作為網(wǎng)絡安全整體建設的一部分，專項防護市場還未充分形成。

報告調(diào)研發(fā)現(xiàn)，國內(nèi)網(wǎng)絡安全廠商在推出勒索攻擊專項產(chǎn)品的同時，也在積極提供更全面的勒索防護解決方案，即"服務+產(chǎn)品+運營"的綜合防護策略。

報告認為，單點式的安全防護難以應對高級勒索攻擊。安全牛建議企業(yè)構(gòu)建更為力全面的勒索攻擊防護體系。在構(gòu)建勒索攻擊防護體系時，應先構(gòu)建頂層建設規(guī)劃，然后通過查看自身弱點，逐步進行單點提升。

勒索攻擊發(fā)展趨勢

從攻擊技術看，近兩年來勒索攻擊的技術發(fā)展、組織形式等變化不大，勒索攻擊技術層面趨于穩(wěn)定，而在攻擊細節(jié)層面，勒索攻擊或有如下發(fā)展趨勢：

1.LLM對攻擊者的加持

當前大預言模型智能是最火熱的新興技術，同時也加劇了網(wǎng)絡風險態(tài)勢?；贚LM的攻擊行為無法改變攻擊的基本思路，但是能夠提升攻擊鏈條每個節(jié)點的攻擊成功率，并加快的整體的攻擊效率。在大模型的加持下，攻擊者能夠進一步擴大攻擊范圍，攻擊方式可由定向攻擊，轉(zhuǎn)為廣撒網(wǎng)式攻擊。

2.勒索組織間的合作攻擊

攻擊者除在提升攻擊成功率外，也在專注于提升攻擊的效率。攻擊者通過多種途徑提升自身的作業(yè)能力將降低勒索攻擊的準入門檻。而對于企業(yè)來講，數(shù)據(jù)泄露造成的影響將更不可控。同時單次被勒索成功后，攻擊路徑、竊取的數(shù)據(jù)也更可能支持新的勒索攻擊。

3.國家級行為體的勒索攻擊活動將增加

網(wǎng)絡攻擊不會脫離宏觀政治變遷，勒索攻擊也不例外。隨著世界格局動蕩，勒索攻擊也成為了國家之間博弈的手段。國家行為體的參與將提升攻擊者的攻擊能力，讓防守形勢更加嚴峻，其攻擊造成的影響包括：

•直接為國家行為體帶來經(jīng)濟收益或數(shù)據(jù)收益；

•造成對手的基礎設施不可用；

•通過勒索攻擊為對手帶來輿論上的壓力以及信心上的損害；

•利用勒索攻擊的樣本進行其它攻擊行為。

4.利用偽造數(shù)據(jù)進行勒索

一些勒索攻擊組織，視同通過偽造企業(yè)數(shù)據(jù)，來向目標企業(yè)進行詐騙式勒索。這種黑產(chǎn)的詐騙行為在數(shù)據(jù)泄漏網(wǎng)站已屢見不鮮，而近年來通過這種行為進行勒索的情況也開始出現(xiàn)。這類詐騙行為的存在，也為企業(yè)在考慮是否支付贖金時，增加了新的必要考慮因素。

勒索攻擊防護技術演進

傳統(tǒng)的勒索防護將容災備份視為勒索防護的最后一道防線。而當前，隨著雙重勒索、無加密勒索比例的增加，備份已不能滿足對勒索防護的需求，勒索攻擊的防護措施需要逐步前置。

1.從單點產(chǎn)品向整體方案演進

有效應對勒索攻擊已不能僅依賴某個特定產(chǎn)品的針對性防護,而是需要在現(xiàn)有防護措施的基礎上,在各個環(huán)節(jié)和階段疊加防護能力,從而構(gòu)建一個從服務到產(chǎn)品、從網(wǎng)絡邊界到終端設備的綜合防護方案。整體勒索攻擊防護解決方案不僅能顯著提升防護效果,還能充分利用現(xiàn)有的安全防護措施,避免網(wǎng)絡安全產(chǎn)品或服務的重復部署。這一轉(zhuǎn)變也反映了網(wǎng)絡安全領域的重要趨勢,即從孤立的點狀防護向全面的縱深防御過渡,更好地應對當今復雜多變的網(wǎng)絡威脅環(huán)境。

2.從應用系統(tǒng)防護轉(zhuǎn)向權(quán)限保護

無論是橫向移動還是文件操作,攻擊者都需要獲取系統(tǒng)的高級權(quán)限才能執(zhí)行這些行為。因此,當前勒索防護的重點已從關注系統(tǒng)動態(tài)轉(zhuǎn)向?qū)?quán)限的保護。一種典型的基于權(quán)限的勒索防護方法是與零信任理念相結(jié)合。通過零信任架構(gòu),可以在網(wǎng)絡中構(gòu)建更細粒度的網(wǎng)絡分段,從而降低內(nèi)網(wǎng)橫向移動的風險。對于核心資產(chǎn)或系統(tǒng),采用更嚴格的持續(xù)評估和驗證機制,以提高訪問的合法性。

這種轉(zhuǎn)變反映了網(wǎng)絡安全領域的一個重要趨勢:從傳統(tǒng)的基于邊界的防護向以身份和權(quán)限為中心的防護模式轉(zhuǎn)變。這種方法不僅能更有效地應對復雜的勒索攻擊,還能為組織提供更精細、更動態(tài)的安全控制。

3.從被動防御向主動防護

勒索攻擊防護注重在造成影響前進行防護，因為一旦數(shù)據(jù)被竊取或系統(tǒng)被加密，通常情況下只能支付贖金減少影響。因此，從被動防御向主動防御轉(zhuǎn)變，提前發(fā)現(xiàn)風險，有助于提升防護效率，降安全防護于未然。當前主流應用于勒索攻擊防護的主動防護技術包括攻擊面管理和欺騙式防御。

4.增強網(wǎng)絡彈性

網(wǎng)絡彈性是衡量一個組織在被網(wǎng)絡攻擊的時候，能夠保持業(yè)務連續(xù)性、數(shù)據(jù)可用性的指標。包含網(wǎng)絡資源的系統(tǒng)“預測、承受、恢復、適應對抗條件、壓力、攻擊或者破壞的能力”。在勒索攻擊防護體系構(gòu)建時，疊加網(wǎng)絡彈性能力建設理念，可以將被勒索后的損失降到最低。為了降低勒索攻擊的影響，企業(yè)需要從彈性的視角進行構(gòu)建系統(tǒng)失陷后的響應策略，對于系統(tǒng)鎖定、數(shù)據(jù)鎖定類型的勒索攻擊具有較高應用價值。

勒索攻擊防護關鍵能力

在本次報告中，安全牛將勒索攻擊的安全防護能力細化為云防護能力、數(shù)據(jù)防護能力、邊界防護能力、網(wǎng)絡防護能力、終端防護能力、服務器防護能力、整體安全防護能力以及安全運營服務八大能力，并通過產(chǎn)品部署、實施流程、場景分析等多種方式，對這八大能力的落地進行建議。

勒索攻擊防護部署示意圖

在構(gòu)建勒索攻擊防御體系時，應將邊界防護作為首要屏障，同時強化每個網(wǎng)絡域、終端和主機的獨立防護能力。如前所述，勒索攻擊防護是一項需要多層次能力疊加的系統(tǒng)性防護工作。因此，企業(yè)在實施勒索攻擊防護時，建議遵循以下三大原則：

1.能力差距識別：

根據(jù)防護體系示意圖，全面評估當前安全防護能力，精準識別潛在漏洞。重點審查已部署產(chǎn)品是否具備針對勒索攻擊的特定防護功能，例如特定樣本的查殺能力、相關漏洞的補丁修復、勒索威脅情報的有效利用等。

2.需求重點判斷：

基于組織自身情況，明確判斷勒索攻擊防護的核心需求。例如，是側(cè)重于數(shù)據(jù)防護，還是終端防護？哪些網(wǎng)段需要重點保護？通過這些問題，確定防護策略的優(yōu)先級。

3.能力部署策略：

綜合考慮能力差距、防護需求和預算等因素，制定合理的能力部署策略。在能力疊加部署時，針對核心需求部署專門的防護產(chǎn)品或工具，而對于其他方面，可采用傳統(tǒng)安全能力進行覆蓋。

通過遵循這些原則，組織可以構(gòu)建一個全面、有效且符合自身需求的勒索攻擊防御體系，從而顯著提升整體安全防護水平。

我國勒索攻擊防護代表性廠商

本次報告以安全牛年度《中國網(wǎng)絡安全企業(yè)100強》和《中國網(wǎng)絡安全行業(yè)全景圖》研究成果為基礎，共調(diào)研國內(nèi)勒索攻擊防護技術廠商21家，并對其中應用表現(xiàn)較好的10家代表性廠商進行了收錄和推薦（排名不分先后，按公司簡稱首字母序展現(xiàn)）。