在當(dāng)今網(wǎng)絡(luò)空間世界，勒索病毒已是最猖獗和最具破壞力的病毒。信息安全界各專業(yè)人士在研究如何徹底剿滅此類病毒時，也曾推出各種防勒索方案，但實(shí)際上我們?nèi)匀豢梢灶l頻聽到勒索病毒攻擊事件，其中不乏知名大公司大企業(yè)，而且被勒索的金額通常巨大。

關(guān)于勒索病毒最近最熱的新聞莫過于今年2月英國政府剛宣布控制了Lockbit組織，而一周后該組織官宣復(fù)活，并且提出會針對政府進(jìn)行報復(fù)，勒索病毒的猖獗程度和杜絕難度可見一斑。

網(wǎng)絡(luò)空間戰(zhàn)一直以來被冠以“沒有硝煙的戰(zhàn)爭”，但由于網(wǎng)絡(luò)空間屬于虛擬世界，在探討網(wǎng)絡(luò)空間的問題時總是讓人感覺缺乏實(shí)在感，仿佛蒙上了一層面紗，很難窺探其真實(shí)面貌。通過對照現(xiàn)實(shí)物理世界，我們嘗試撥開迷霧。

2023年剛剛過去的新冠抗疫就是發(fā)生在物理世界的一次真實(shí)的、沒有硝煙的戰(zhàn)爭。中國政府在抗疫過程中走出了中國抗疫模式，保證中國經(jīng)濟(jì)和社會秩序井然，展示了強(qiáng)大的應(yīng)對能力和組織執(zhí)行力，在全世界抗疫中交出來高水平的答卷，贏得了世衛(wèi)組織的高度認(rèn)可。我們依據(jù)時間線來梳理一下這次抗疫中的關(guān)鍵事件。

1.“吹哨人”在重災(zāi)區(qū)武漢率先拉響警報，該病毒會危害人類健康導(dǎo)致死亡；

2.人類對該病毒基本屬于未知，暫無特效藥物，武漢選擇火速率先封城，切斷人員進(jìn)出流動，避免擴(kuò)散全國；

3.由于沒有被第一時間檢測和發(fā)現(xiàn)，封城之前實(shí)際上病毒攜帶人已經(jīng)流出和逃逸，各地相繼出現(xiàn)病例，各地相繼宣布封城；

4.隨著感染案例持續(xù)擴(kuò)散，各地開始停工停產(chǎn)，居家隔離，基于樓棟進(jìn)行隔離，控制人員流動和擴(kuò)散，并上門排查上報健康狀況，手動排查行程（是否有流動過或到過疫區(qū)），將癥狀者拉到專門的區(qū)域進(jìn)行隔離；

5.科研機(jī)構(gòu)開始緊急研究病毒，試圖了解病毒，搞清病毒源頭，病毒特征，治療方法和特效藥物等；

6.基于已有的知識開始上防護(hù)措施，要求戴口罩，洗手，酒精消毒，全社會教育推廣，旨在減少傳播；

7.監(jiān)測各地新增病例以及治愈數(shù)據(jù)，開始逐步解封，復(fù)產(chǎn)復(fù)工；

8.科技手段核酸檢測和行程碼，健康碼等出現(xiàn)，大幅提升檢測效率，大大降低漏報、瞞報和繞過物理關(guān)卡導(dǎo)致的病毒流動可能性；

9.國外大規(guī)模爆發(fā)，各地封鎖海關(guān)，加強(qiáng)入境健康排查和隔離觀察；

10.防疫政策開始改變，不再大面積封城，只封鎖發(fā)現(xiàn)病例附近區(qū)域，清零后解封，最大保證社會經(jīng)濟(jì)生活正常；

11.疫苗出現(xiàn)，全民開始推行接種，但由于病毒變種較多，也無法保證能免疫所有病毒，未知變種仍有感染的可能性（后續(xù)也驗證了）；

12.隨著病毒毒性減弱，全員放開，抗疫結(jié)束；

13.至今仍無產(chǎn)生新冠特效藥。

勒索病毒作為虛擬世界的病毒，除了病毒的載體和物理世界的新冠不同，其它基本上有相當(dāng)程度的相似性：

1.都有極高的破壞性。新冠危害人的健康和生命，勒索病毒破壞數(shù)據(jù)的可用性和保密性；

2.都會出現(xiàn)大規(guī)模爆發(fā)的可能性。新冠危害社會安全和經(jīng)濟(jì)，勒索病毒導(dǎo)致企業(yè)業(yè)務(wù)中斷；

3.都具有很強(qiáng)的傳播能力。勒索病毒甚至有很多是主動傳播；

4.都有大量的未知和變種，同時無法找到源頭和清理源頭。

聯(lián)軟科技基于對勒索病毒特點(diǎn)和市面上現(xiàn)有解決方案的分析，我們發(fā)現(xiàn)如下問題：

現(xiàn)有方案基本都在強(qiáng)調(diào)基于病毒的檢測發(fā)現(xiàn)和響應(yīng)能力以及數(shù)據(jù)備份來構(gòu)建方案，例如殺毒強(qiáng)調(diào)病毒庫多少，病毒庫更新多快，基于行為檢測的技術(shù)（各種DR，態(tài)感等）在強(qiáng)調(diào)規(guī)則多，運(yùn)算模型強(qiáng)大，而數(shù)據(jù)備份也在強(qiáng)調(diào)可以做到按天恢復(fù)數(shù)據(jù)。

但實(shí)際上勒索病毒最難防范的地方在于它的不確定性。由于其背后是巨大的經(jīng)濟(jì)利益，勒索病毒基本已經(jīng)形成產(chǎn)業(yè)化，有專門的病毒研究、制造和主動傳播分工合作，會針對當(dāng)前的防御體系和防御技術(shù)，專門研究防御陣線漏洞和各種突破防御逃脫制裁的方式。而對比單一企業(yè)與勒索產(chǎn)業(yè)團(tuán)隊在安全力量上的配置，前者基本處于力量失衡，大有道高一尺，魔高一丈的態(tài)勢。所以，企業(yè)的安全檢測響應(yīng)防御防線屢被攻破，勒索事件頻頻發(fā)生，不少企業(yè)經(jīng)濟(jì)損失慘重。

其次基于數(shù)據(jù)備份的恢復(fù)技術(shù)，在遇到業(yè)務(wù)系統(tǒng)被加密時，即使數(shù)據(jù)備份到天，也難以快速恢復(fù)業(yè)務(wù)。

基于以上原因，聯(lián)軟科技結(jié)合物理世界戰(zhàn)爭的思維提出了基于防止企業(yè)大面積中勒索病毒的網(wǎng)絡(luò)安全底座方案。

該方案具有如下特點(diǎn)：

1.基于戰(zhàn)爭思維，利用網(wǎng)絡(luò)空間中的“地利”與“人和”，構(gòu)建防御體系，不追求“零傷亡”，保證主力部隊不會被殲滅，實(shí)現(xiàn)底線安全風(fēng)險管控。

2.重點(diǎn)關(guān)注業(yè)務(wù)連續(xù)性保護(hù)，通常企業(yè)由于大規(guī)模中勒索病毒導(dǎo)致生產(chǎn)業(yè)務(wù)停擺的損失遠(yuǎn)大于勒索金額，這一點(diǎn)在當(dāng)前很容易被忽視。

3.該方案基于網(wǎng)絡(luò)訪問控制技術(shù)，結(jié)合軟件定義的策略，聯(lián)動網(wǎng)絡(luò)空間內(nèi)的網(wǎng)絡(luò)設(shè)備（如交換機(jī)、防火墻、網(wǎng)關(guān)等），可隨時按需構(gòu)造一個個靈活的隔離空間，通過切斷域的網(wǎng)絡(luò)訪問將病毒控制在隔離區(qū)域，控制病毒大規(guī)模擴(kuò)散和橫向移動（新冠病毒的抗疫過程也驗證了這種隨時按需隔離的措施是控制病毒擴(kuò)散的唯一有效手段）。

4.通過重要業(yè)務(wù)系統(tǒng)的備份域而不是數(shù)據(jù)備份，來保證主營業(yè)務(wù)的連續(xù)性。

5.在劃分域的基礎(chǔ)上，再通過域間訪問策略和通道的收斂，來降低管控的難度，同時也便于可視化。

6.通過策略的可視化，來及時發(fā)現(xiàn)人為的配置錯誤，預(yù)測可能存在的配置風(fēng)險。

7.在訪問權(quán)限較大的網(wǎng)管域，業(yè)務(wù)連續(xù)性影響較大的備份域，設(shè)置以主動欺騙技術(shù)為主的產(chǎn)品，加強(qiáng)對勒索病毒的發(fā)現(xiàn)。