自2017年Wannacry勒索病毒大規(guī)模爆發(fā)以來，勒索病毒攻擊事件層出不窮，政府、交通、能源及醫(yī)療等行業(yè)均成為了勒索病毒攻擊的目標(biāo)，到2023年，勒索事件愈發(fā)猖獗，8月8日Trigona 勒索香港數(shù)碼港，9月26日RansomedVC 勒索索尼公司，10月27日LockBit 勒索波音公司，11月8日LockBit勒索中國某大型金融機(jī)構(gòu)，11月28日Rhysida勒索中國某能源集團(tuán)。

實(shí)則這些企業(yè)已經(jīng)部署了各種安全防護(hù)手段，比如防病毒、防火墻、VPN及安全運(yùn)營中心（SOC）等等，并且有專門的安全運(yùn)營部門負(fù)責(zé)日常運(yùn)維，但是仍然遭到了勒索病毒的攻擊。勒索病毒難以防范。

那勒索病毒一般攻擊路徑是如何的呢？

▲ 勒索病毒的典型攻擊步驟

第一步，收集情報(bào)，查找攻擊目標(biāo)暴露在互聯(lián)網(wǎng)的VPN網(wǎng)關(guān)、電子郵件信息及公司站點(diǎn)等，然后利用系統(tǒng)漏洞或者釣魚郵件、社會(huì)工程學(xué)等方法進(jìn)入內(nèi)網(wǎng)，并做持久化駐留，比如，寫到計(jì)劃任務(wù)里面，或者開機(jī)自啟動(dòng)等。

第二步，成功持久化后，攻擊者一般會(huì)先潛伏下來，在不暴露自身的前提下，通過慢速攻擊的方式找到關(guān)鍵業(yè)務(wù)系統(tǒng)和業(yè)務(wù)數(shù)據(jù)，再通過隱秘通道從互聯(lián)網(wǎng)下載加密程序和加密秘鑰。

第三步，對攻擊目標(biāo)的重要業(yè)務(wù)數(shù)據(jù)進(jìn)行加密，加密算法一般采用對稱加密AES或者非對稱加密，抑或二者相結(jié)合，加密之后刪除解密秘鑰。

第四步，在被清除前勒索病毒會(huì)一直潛伏于內(nèi)網(wǎng)，持續(xù)橫向擴(kuò)散，試圖進(jìn)行更多破壞。

一旦數(shù)據(jù)被攻擊者加密，便很難還原回來，企業(yè)要么交贖金，要么面臨數(shù)據(jù)泄露風(fēng)險(xiǎn)。

2023年10月份，美國聯(lián)邦政府網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了最新的《勒索病毒防范指南》。指南中把防范勒索病毒的過程分為兩個(gè)部分：預(yù)防和應(yīng)急響應(yīng)。

預(yù)防階段企業(yè)需提前備份關(guān)鍵數(shù)據(jù)，實(shí)施零信任體系架構(gòu)以及做好安全配置，修復(fù)漏洞。而一旦中了勒索病毒，企業(yè)應(yīng)當(dāng)采取有效的應(yīng)急響應(yīng)措施，實(shí)現(xiàn)隔離被感染終端，檢測病毒，獵殺病毒以及遏制和清除病毒的效果，并且在事后及時(shí)恢復(fù)文件。

以上涉及到的技術(shù)均可通過聯(lián)軟科技“五位一體”勒索病毒防范框架體系來實(shí)現(xiàn)。

聯(lián)軟“五位一體”勒索病毒防范框架體系的目標(biāo)是保護(hù)用戶的核心系統(tǒng)、核心數(shù)據(jù)和核心資產(chǎn)，從事前、事中、事后三個(gè)階段幫助用戶盡可能免受勒索病毒的感染，即使感染了也能快速發(fā)現(xiàn)及時(shí)阻斷，盡可能降低病毒擴(kuò)散速度，最后即使有重要數(shù)據(jù)被加密，也能夠快速還原。

▲ 聯(lián)軟“五位一體”勒索病毒防范框架體系

在事前階段，避免感染，雙重備份。首先我們可以使用聯(lián)軟網(wǎng)絡(luò)空間資產(chǎn)測繪產(chǎn)品UniCSM對企業(yè)外部和內(nèi)部暴露面進(jìn)行排查，做到知己知彼；其次，采用聯(lián)軟全網(wǎng)零信任產(chǎn)品UniSDP收斂內(nèi)、外部暴露面；第三、采用聯(lián)軟EPP產(chǎn)品桌面安全管理系統(tǒng)，加強(qiáng)企業(yè)內(nèi)部的安全管控，比如弱口令的管控，安全配置基線、補(bǔ)丁管理等；第四、通過UniNAC做好網(wǎng)絡(luò)準(zhǔn)入管控和合理的網(wǎng)絡(luò)隔離；最后，可以對企業(yè)的重要數(shù)據(jù)進(jìn)行備份，采用聯(lián)軟UniEDR“文檔勒索防護(hù)”和UniNXG進(jìn)行本地和云端雙重備份，做到萬無一失。

在事中階段，一鍵阻斷，“速效救心”。如果仍然有員工一不小心被電子郵件“釣魚”，或者通過聊天工具感染了勒索病毒，怎么辦呢？我們可以采用聯(lián)軟UniEDR系統(tǒng)，實(shí)時(shí)檢測終端行為，發(fā)現(xiàn)終端勒索行為或者橫向移動(dòng)及時(shí)告警，并通過專家規(guī)則立即阻斷，管理員可以采用調(diào)查功能遠(yuǎn)程清除木馬；采用聯(lián)軟UniNID系統(tǒng)部署幻影功能，“幻化”成千上萬個(gè)仿真系統(tǒng)，主動(dòng)欺騙和誘捕勒索病毒，一旦發(fā)現(xiàn)勒索病毒蹤跡，還可以對中招的終端進(jìn)行微隔離，不影響其它終端業(yè)務(wù)。

在某大型企業(yè)里，曾因發(fā)現(xiàn)了個(gè)別終端中了木馬，用戶緊急使用聯(lián)軟產(chǎn)品，2分鐘內(nèi)十萬終端網(wǎng)絡(luò)隔離策略全部生效，有效阻斷了病毒擴(kuò)散。

事后恢復(fù)階段，溯本清源，鞏固薄弱。清除勒索病毒之后，我們可以很方便地從終端殺毒軟件“文檔勒索防護(hù)”功能中恢復(fù)文件，或者從UniNXG云端自動(dòng)恢復(fù)文件。其次，通過聯(lián)軟UniEDR系統(tǒng)，可以輕松溯源到勒索病毒，查清入侵根源，最后可以根據(jù)自身的薄弱環(huán)節(jié)進(jìn)行加固，比如，通過培訓(xùn)和演練提升員工的安全意識(shí)，避免郵件“釣魚”等安全問題。

聯(lián)軟科技自成立以來，服務(wù)了數(shù)百家金融機(jī)構(gòu)客戶，幾乎從未出現(xiàn)大面積勒索病毒感染事件。企業(yè)只要使用了聯(lián)軟“五位一體”防勒索框架體系，感染勒索病毒的風(fēng)險(xiǎn)至少下降90%，從而有效地保護(hù)企業(yè)數(shù)據(jù)不被勒索，保障企業(yè)業(yè)務(wù)的可持續(xù)運(yùn)營。