安全419《勒索攻击解决方案系列推荐》安恒信息篇

面对活跃且广泛的网络安全威胁，建设相应的能力已成企业、组织必做之事。今天，我们将为您呈现《勒索攻击解决方案系列推荐》第三篇内容。此次，我们带领大家走进近年来发展异常迅猛的一家网络安全企业——杭州安恒信息技术股份有限公司（简称“安恒信息”），看看他们是如何应对勒索软件攻击所带来的新威胁。

 

我们仍然先大致了解一下这家企业：安恒信息成立于2007年，于2019年11月5日正式登陆上交所科创板股票上市。自成立以来，安恒信息秉承“助力安全中国、助推数字经济”的企业使命，以数字经济的安全基石为企业定位，形成了云安全、大数据安全、物联网安全、智慧城市安全、工业控制系统安全及工业互联网安全五大市场战略，凭借强大的研发实力和持续的产品创新，完成覆盖网络信息安全生命全周期的产品、服务及解决方案体系。

 

安恒信息同样是我国最早一批专业化网络安全企业，也是最早一批云安全代表厂商之一，亦是安全行业和安全生态的见证者。值得一提的是，在即将举办的2022年杭州亚运会中，安恒信息将作为官方网络安全服务唯一合作伙伴，为大会网络安全保驾护航，其安全能力可见一斑。下面我们就进入正题，安全419在对话安恒信息相关安全专家之后，对他们的勒索攻击解决方案作出如下了解：

 

 

专家告诉安全419，勒索攻击近年来发展迅猛，正经历多重勒索、RaaS（勒索软件即服务）、定向勒索趋势化发展，想要做好勒索病毒攻击防护，首先需要了解攻击全过程，做到知己知彼，方能百战不殆。

 

他进一步表示，成熟的解决方案应针对数据勒索攻击链，基于入侵内网->内网踩点->横向渗透->窃取数据->删除备份->加密数据等每一步进行针对性的监测和防御，建立涵盖事前检测预防、事中防御响应、事后溯源加固的纵深一体化纵深防御体系，才能将数据勒索风险降到最低。

 

(1)在事前，基于大数据分析、机器学习等核心技术对资产和风险事件进行建模分析，通过勒索专项评估能力，对资产进行基线检查及安全体检，监测资产存在的风险，预测风险事件。

 

(2)在事中，构筑端网一体化勒索专项防护能力，结合自动化响应处置能力，高效发现并且防御勒索威胁，同时通过联动威胁情报系统，提供最新的勒索攻击动态。

 

(3)在事后，基于追踪溯源能力，进行有效的调查取证和反制，并针对薄弱项进行二次加固。

 

 

据介绍，安恒信息勒索病毒解决方案以安恒EDR（安恒主机卫士）为核心，覆盖检测、预防、防御、响应、溯源、加固等六大阶段，将为企业打造事前能防御，事中能控制、事后能溯源，一整套全方位的勒索病毒防护体系。

 

专家进一步阐述道，安恒EDR解决方案具有如下特色：

 

 

各层风险实时监控，从数据层、流量层、网络层对恶意勒索行为及文件进行深度检测。

 

①数据层：识别关键数据，对关键数据加强监控，可以更好地监控数据窃取和破坏行为，为关键数据的备份策略设置更高的 RPO 和 RTO，能更好地保证数据完整性。

 

②流量层：基于关键区域入口的旁路镜像流量进行深度解析，为发现流量中的恶意攻击进行全面检测和预警。

 

③网络层：建立资产勒索风险评估基线，通过多维特征评估和威胁综合分析，将高风险资产进行访问权限控制以及有效隔离。

 

 

基于威胁情报系统，提供最新勒索攻击动态，精准识别出系统的潜在风险，如弱口令、威胁文件、网马病毒、高危漏洞等。通过强大的主动防御能力，对威胁进行自动化响应，即在系统层面对资产自动进行相应的加固及防护操作如：弱口令警告、病毒查杀、漏洞修复等，大大提高了安全响应效率。

 

 

勒索病毒防启动引擎：内核级多维度防御引擎，及时发现并阻断勒索病毒的启动，准确高效地实时保护用户关键业务数据及服务。该能力属于主动防御范畴，不需要额外操作，实时防御勒索病毒，资源占用极低，对操作系统性能影响可忽略不计。

 

①勒索防护诱饵引擎：专利级勒索病毒查杀引擎，针对勒索病毒遍历文件实施加密的特点，在终端关键目录下放置诱饵文件，当有勒索病毒尝试加密诱饵文件时及时精准中止恶意进程，阻止勒索病毒的进一步加密和扩散，有效防御未知类型的勒索病毒。

 

②勒索行为防护引擎：通过分析海量的勒索软件样本及了病毒家族特性，总结了样本具有的共性特征形成了引擎行为知识库，通过系统API级别分析，高效抵御已知类型勒索病毒。

 

 

利用安恒EDR添加访问控制策略，对重要文件或目录基于“本地文件保险柜”应用进行访问权限控制，仅允许配置的例外进程操作，根本上杜绝勒索病毒，并且可采用云端数据备份，可一键全量恢复，从根本上保护业务数据安全。

 

同时需要关注到的是，以EDR为核心的勒索防护方案，不仅能够防住勒索软件攻击，更是对整体网络安全防护能力的提升，通过多终端部署EDR形成联动之势，可实现对IT资产全面把控，并对资产数据、资产风险、系统脆弱性进行全面梳理，针对风险可主动出击，从而快速响应，为系统化安全建设打下良好基础。

 

 

勒索攻击之所以大规模爆发，这与传统行业拥抱信息化时代迈向更加开放的信息化集成，但同时普遍缺乏系统化安全建设和安全意识具有较高关联。在接受采访时安全专家向我们讲述了数个领域内的真实案例，尤其是医疗行业。

 

专家进一步引用了一组数据对医疗行业发出了预警，他表示：“安恒威胁情报中心猎影实验室曾对2021年勒索攻击态势进行了研究分析，2021年全网勒索攻击总次数高达2000万+，其中针对医疗系统的攻击同比增加了45%”。

 

安全专家以安恒信息针对的医疗行业真实案例为切入点，向我们验证说明了以安恒EDR产品为核心的勒索病毒全流程解决方案的有效性，无论是复杂的网络环境、还是未知类型的“变种”勒索病毒都难以影响方案的有效实施。

 

据了解，部署了安恒EDR勒索病毒解决方案后，以医疗行业为代表的相关企业、组织可在黑客攻击渗透的不同阶段获得的防御能力如下：

 

(1)寻找目标阶段：基于大数据分析、机器学习等核心技术对资产和风险事件态势感知平台上进行建模分析，在端侧利用EDR勒索专项评估能力，梳理资产防御的薄弱点，针对性修复如弱口令、威胁文件、高危漏洞等危险因素，不给攻击者“可乘之机”。

 

(2)入侵阶段：不仅仅是对勒索病毒已知特征进行检测，还采用机器学习建模及异常流量识别等分析方法，从终端行为或流量中区分或识别终端行为或异常流量，高效率感知病毒，对攻击者投递的勒索病毒进行查杀；通过微隔离直接防止黑客回连操作我们的资产，通过登录防护，防止黑客登录我们的资产进行投毒。

 

(3)在内网探测阶段：基于全面的检测策略、智能的机器学习、海量的威胁情报，能实时发现针对内网的攻击行为，并通过防端口扫描、防爆力破解等防护功能阻断黑客对内网的机器进行扫描以及窃取相关的信息，为横向扩散阶段做准备。

 

(4)在横向扩散阶段：通过高级威胁防护，阻断威胁的横向扩散，通过微隔离去迅速地隔离失陷主机，有效阻断勒索病毒在内网运行以及横向扩散，有效抑制威胁的影响范围，最大化程度降低威胁在业务系统内的驻留时间。

 

(5)收尾阶段：在收尾阶段，基于流量回溯取证能力抓取勒索病毒样本以及其行为轨迹，对其进行追踪溯源，实行反制，并利用EDR的风险评估、定期巡检等能力针对资产的薄弱项进行二次加固，降低二次感染风险。

 

 

介绍了具体解决方案之后，安全专家结合大量勒索攻击真实案例进一步强调，在全球数字化转型过程中，从数据开发、保护、治理到利用，“人”发挥着巨大创造力与安全能力，但“人”往往也是整个安全链条中最薄弱的一环，企业内网被突破，因为“人”的疏忽大意占绝大多数，因此，对企业员工开展安全意识培训是企业必须重视的话题。

 

据了解，安恒信息可以为企业量身定制网络安全意识培训与教育服务，并且可专项开展数据勒索专题安全意识培训，钓鱼邮件测试等，通过贴合实际的案例和安全事件、安全邮件意识测试，将数据勒索安全事件与员工自身利益、企业利益相结合，了解到数据勒索的危害，让员工重视数据安全，让员工时刻保持警惕。

 

“通过详细讲解数据勒索的传播方式和技术手段，可避免企业内部人员因安全意识不足，让员工合规的行为准则成为解决数据防勒索的重要一环。只有让员工重视数据安全，明白防勒索攻击的责任，企业员工规范自己的日常办公行为，从意识层面降低勒索攻击的安全风险，才能让防勒索攻击工作事半功倍。”专家称。

 

 

安全专家认为，安全厂商正在努力将防勒索攻击标准化，但应对不同的场景，其防护手段也应不尽相同。所以他强调称，企业更需要根据自身的业务特点、资产特点，针对不同场景部署定制化的勒索防护方案，这就体现了安全服务的重要性。

 

他解释称：“相较于安全产品，安全服务有更强的灵活性，它充当了产品与应用之间‘黏合剂’作用。通过深层挖掘企业需求，将产品形成更有针对性地部署模式，更适配于企业当前状态下的防勒索应用场景。”

 

所以专家强调称，企业在部署勒索防护解决方案时，切忌“眉毛胡子一把抓”，应该根据自身的业务属性、资产特点，针对不同场景部署定制化的勒索防护方案，这就体现了安全服务的重要性。

 

“相较于安全产品，安全服务有更强的灵活性，它充当了产品与应用之间‘黏合剂’和‘催化剂’的作用，能够最大化程度发挥出安全产品的效能。通过深层挖掘企业需求和痛点，将产品形成更有针对性地部署模式，更适配于企业当前状态下的防勒索应用场景。”

 

 

(1)在事前检测预防阶段，安恒信息安全服务人员会针对企业的操作系统、网络设备、安全设备、业务系统等进行勒索风险路径验证，尽可能的全面、快速、深入检测挖掘现有信息系统存在安全脆弱点，分析面临的威胁，评价整体安全风险，提出有效的安全整改建议，从而补齐安全短板，降低勒索风险。同时安恒信息会针对企业制定数据勒索事件的应急响应流程作为预防措施，同步开展模拟勒索应急演练，避免真实事件发生时处理过程中出现混乱、无序状况，减少处理过程中错误的发生，从而避免不必要的损失。

 

(2)在事中防御阶段，安恒信息安全服务人员可以基于安恒流量监测、终端防护、审计类、行为分析类、威胁情报类等专业安全产品，结合本身具备的专业网络安全知识，对威胁进行检测分析及研判，判断威胁的发生趋势，降低威胁发生的风险。并且有效及时地发现潜在的高级隐蔽性威胁，减少威胁的驻留时间。

 

(3)在事后应急溯源阶段，安恒服务专家可支持应急响应，针对事件进行溯源和调查取证，从中分析数据勒索的攻击链条，并出具专业完整应急响应报告，协助将整个系统恢复至安全状态，防止二次侵害发生。

 

 

安恒信息在成长的道路中一直注重安全生态打造。早在2017年，安恒信息就与知名保险公司达成战略合作。彼时，正是“WannaCry”勒索病毒爆发之际，通过与保险公司合作，双方联手推出了信息安全综合保险业务，安恒信息将为相关险种提供事前核保、事中监测、事后修复三大贯穿始终的技术支持服务。

 

 

专家指出，网络安全保险具有经济补偿、风险管理功能，能够发挥社会稳定器和经济助推器的作用。网络安全保险中，勒索防护保险是相对成熟的险种，在所有网络安全保险赔付当中，勒索软件攻击赔付占到了一半。在发展数字经济过程当中，通过保险“兜底”，可以协助单位做好网络风险管理，实施创新发展。

 

他进一步强调，安恒信息联合保险公司打造网络信息安全综合保险，通过技术与保险相互结合的方式，为企业信息系统正常运营和持续运营提供整体的网络安全风险管理方案，极大地提高企业整体安全风险管理水平。

 

 

以上为此次我们对安恒信息针对勒索攻击所能提供的安全能力进行的全面了解，希望能为企业做出针对性部署防护起到借鉴和帮助作用。同时，本次系列选题还将持续更新，我们还将持续走近更多的网络安全企业，来观察他们针对不同行业、不同用户和不同环境以及技术能力之间的细节与区别，敬请持续关注。

同时我们也欢迎更多拥有同样实力的安全企业自荐，只要你的安全解决方案、能力得到我们的认可，我们的最终目的只有一个，那就是帮助我们最终企业用户，避免他们成为勒索攻击的下一个受害者。