什麼是勒索攻擊？勒索攻擊到底該怎麼防禦？

當前，勒索攻擊、殭屍網路攻擊、

DDos

攻擊、

APT

攻擊、挖礦攻擊、供應鏈攻擊、網站攻擊、電信詐騙等各種攻擊手段層出不窮。

勒索攻擊應該是今年網路安全行業討論最多的話題

，勒索錢財或者竊取商業資料是黑產最主要的目的。

全球幾乎所有國家的政府、金融、教育、醫療、製造、交通、能源等行業均受到影響。

在不久前閉幕的

G20

峰會上，中美俄甚至攜手

15

國共同舉行了以防範勒索攻擊為主題的網路安全演習。

基本上有網際網路的地方就可能存在勒索攻擊。勒索攻擊已經成為未來一段時期各大企業網路安全的主要威脅。駭客善於利用各種偽裝達到入侵企業的目的，任何一個經過包裝的垃圾郵件、網頁廣告、系統漏洞、

U

盤等都可能讓企業的安全防護功虧一簣。

據某安全公司統計，

我國

其每年接到並處理的勒索攻擊事件依然多達

4000

餘，受害企業面臨著重要資料資產被盜和洩漏的嚴重後果，輕則造成業務停頓，重則被迫繳納鉅額贖金。

勒索攻擊氾濫的

一個主要

原因在於，

RaaS

（

Ransomware as a Service

，勒索即服務）模式大幅降低了攻擊團伙的技能門檻，

而

上下游協同又進一步促進了勒索軟體的技術發展。

勒索軟體技術發展

主要有

三大特點：

對抗性高：從

大多數

勒索攻擊全過程來看，

駭客

分階段使用了加密、免殺、逃逸等技術，對抗能力不斷提高。

勒索攻擊

APT

化：勒索攻擊團伙更具耐心，為獲取有價值資產，其入侵與滲透過程甚至可長達數週乃至數月，這與

APT

攻擊特點趨同。

靜態防禦見效難：針對勒索攻擊各階段攻擊手法，單一安全產品很難完整覆蓋，靜態依靠規則檢測的防禦手段越來越難防範勒索攻擊。

面對勒索攻擊技術的不斷髮展，

目前有效的防禦手段主要包括

：

一

、

攻擊面收斂。

網路攻擊無孔不入，攻防雙方真正的較量從入侵環節開始。

勒索攻擊通常採用

RDP

爆破、殭屍網路與

Web

滲透（典型如漏洞利用）網路釣魚、等方式入侵，其中

RDP

爆破與網路釣魚是主流入侵手段，但勒索攻擊軟體也正快速整合並豐富

Web

滲透等入侵技術。要防範被入侵，首先要做好攻擊面收斂與管理，儘可能減少暴露資產。

那麼就

要求企業進行更精細的資產管理，杜絕存在弱密碼的作業系統賬號、開放埠、不當配置等；

同時

企業

也需

要實時檢測各類作業系統、中介軟體及上層應用漏洞資訊，及時更新補丁，避免被駭客利用。還要從攻擊者視角去審視企業存在的攻擊面與入侵路徑，比如可以透過使用紅隊評估服務，讓企業安全狀態保持在一個較高水準。

全面的攻擊面管理與收斂可以儘量避免入侵，但並不能完全杜絕，畢竟業務正常執行，為使用者提供服務，網際網路之上的數字資產必不可少。入侵併不可怕，只要在事中能及時阻斷攻擊，同樣能保護企業數字資產安全。

二

、

事中檢測響應

勒索團伙攻擊所使用的工具

是勒索軟體

，

無論其

攻擊技術多麼高明，都必須依仗惡意軟體來完成攻擊。

而

不同勒索團伙所使用的惡意軟體功能大致相同，比如弱口令爆破工具、橫移工具、內網探測工具、憑據竊取工具、勒索主體軟體等。如果能在惡意軟體寫入主機硬碟時就響應，就

可以很大程度上

阻斷勒索攻擊的後續過程。

然而

，

每種型別工具都有

相應的

變體軟體，

有的

甚至還可能使用了移除特徵碼、加密、免殺、逃逸等技術，

那麼

單一檢測工具

就

很難完全抵禦勒索攻擊。

那麼

威脅情報可以幫助企業更高效地應對勒索攻擊等新型威脅，

三

、

事件聚合

一些高明的駭客攻擊能繞過基於規則的靜態檢測技術，但駭客攻擊的行為特徵卻不會改變，一定會產生異常行為，比如提升許可權、關閉安全軟體、刪除檔案等。

那麼

透過行為特徵檢測（

IOA

）理論上是可以有效檢出高明、隱蔽的駭客攻擊的。

不過

大多數都行為特徵檢測都是單點檢測，也就是告警孤立、缺乏上下文聯絡，需要人工二次研判，

但是

面對成百上千臺，乃至上萬臺主機的異常行為告警，很容易被告警淹沒，從而

“

抓不住

”

真正有價值的告警。但如果以事件為維度統一檢視、處理威脅，便可以有效的解決告警基數大、誤報多、不可讀的問題。

最後

，

企業

想

要構建有全面威脅應對能力的整體網路安全防護體系，還需要系統性建設思維，比如企業辦公網已經日漸成為駭客最頻繁利用的風險點，終端安全建設的重要性日漸突出，

不可忽視

。