《中國信息安全》 2024年第8期

北京天融信網絡安全技術有限公司

近年來，勒索攻擊的手段不斷演變，從最初的簡單文件加密發展到現在的高級持續性威脅和供應鏈攻擊，其復雜性和危害性持續增加。勒索載荷通過加殼、代碼混淆和加密等手段可以越過基于規則的檢測，而通過環境檢測、運行多態、遠程加載等方式也能越過基于基因檢測和特征識別的防御手段?，F有的網絡安全防護手段難以對勒索攻擊進行有效的檢測和防御，防護效果微乎其微。

隨著全球數字化進程的加速，越來越多的業務系統轉向在線操作，這為勒索軟件提供了更多的攻擊目標。攻擊者通過精心策劃的攻擊，不僅能夠造成巨大的經濟損失，還可能對公共服務和社會秩序造成嚴重影響。新興的勒索攻擊主要表現為四個新特點：攻擊目的愈加復雜化、攻擊對象日趨精準化、攻擊主體日益專業化和攻擊模式趨于多樣化。勒索攻擊目前已演變為全球性的安全問題，對全球生產與經濟產生了重大負面影響。跟蹤分析勒索攻擊的新特點，研究針對性防范措施，已成為各國政府和企業普遍關注的長期議題。

一、勒索病毒防護的思考

在當前數字化環境中，勒索攻擊呈現出越來越復雜和危險的趨勢，對全球安全和經濟穩定構成嚴重威脅。勒索軟件的演變與網絡安全防護手段的無法適應形成了嚴峻局面，需要我們加強警惕與應對。針對這一挑戰，我們從一個新的維度出發，以“量化”為基本思路對勒索攻擊各場景進行合理的發散，提出了一種新的防御思路。

常見的勒索防護手段主要集中在網絡側和終端側的威脅檢測與防御。然而，在勒索事件發生時，受害者往往并不缺乏相應的防護手段。盡管如此，許多經過較高規格網絡安全檢測的應用系統仍無法完全避免勒索攻擊的侵害。目前，傳統的分類算法在應對零日漏洞勒索病毒方面存在響應不及時的問題。盡管一些基于機器學習等算法的啟發式檢測工具不斷涌現，但它們普遍存在局限性和滯后性，并不利于快速迭代。同時，勒索病毒的開發不斷演進，采用了加殼、代碼混淆、反沙盒、內存動態映射等策略，給防御勒索病毒帶來了巨大挑戰。

我們從漏洞、業務、權限和威脅情報四個風險暴露面綜合考慮，而不僅僅局限于傳統網絡安全角度來考量數據勒索場景下的防護措施?！傲炕笔墙鹑诮灰字谐Ｓ玫母拍?，旨在避免人類的主觀缺陷。在網絡安全防護手段的實施過程中，引入此概念也可有效減少由于人為因素帶來的負面影響。

1. 基于暴露面的防護思路

針對暴露面的量化主要涉及漏洞暴露面、業務暴露面、權限暴露面和威脅情報暴露面。這些暴露面的評估將從內部和外部兩個維度進行綜合考量，以實現將數據所面臨的勒索風險降至最低。

漏洞暴露面量化。基于漏洞暴露面的量化考量主要是為了降低由于漏洞利用而導致數據勒索發生的概率，主要可以從內部和外部兩個維度進行量化。由于企業內部環境在互聯網環境中屬于不可直接感知的部分，但仍存在通過“內鬼”攻擊、軟件注冊機等方式進行侵入的可能性。因此，針對企業環境的漏洞量化需完整覆蓋企業的全部網絡環境。量化體現在根據具體的量化評分采取對應的加固措施。除了常規的補丁加固外，還可通過固化操作環境，內部業務 SaaS 化改造和數據無感加密等方式進行業務組件的削減，從而降低漏洞暴露面。

業務暴露面量化。業務的暴露面包含公網（連接互聯網的區域）環境和內網環境可訪問業務的暴露面分析，這些暴露面可能包含郵件應用、文件應用、API 服務、業務應用、虛擬資源、網頁應用、公眾號和小程序應用等。當前，中大型企業面臨的主要問題是無法精準梳理暴露資產。隨著企業的快速擴張，外部資產往往無法得到全面發現與管理。業務暴露面的量化首先需要對資產進行梳理，明確資產臺賬及對應的負責人；其次，針對每項業務建立明確的業務基線，構建統一的感知體系。

權限暴露面量化。在企業中，員工可能具備多重身份，這些身份具備不同的訪問和操作權限。中大型企業一般會建立統一的身份管理體系，但這些管理系統維護的內容通常僅限于業務本身，對員工使用各類權限執行其他類型操作缺乏審計和監管措施。這類需求一般通過 UEBA（用戶實體行為分析）實現，但此類系統的監控范圍有限。當員工通過不在監控清單內的非常規方式執行異常操作時，無法及時觸發告警。因此，需要結合網絡安全行為監控和用戶實體行為監控兩個維度進行綜合監控。

威脅情報暴露面量化。當前，網絡安全威脅情報平臺市場已較為成熟，這些平臺上具備了大量的威脅情報信息。企業獲取與自身環境相關的情報信息一般有以下幾種形式：一是威脅情報平臺提供 API 接口，直接對接至企業態勢感知平臺或其他安全設備；二是采購情報服務，當發生與企業相關的威脅情報時，通過信息推送的方式告知企業的安全負責人。

在勒索事件發生的全生命周期內，來自威脅情報平臺的信息主要用于勒索事件發生后的溯源。在預防方面，更需要的是數據安全威脅情報，如失陷主機清單、憑證泄露清單以及 RaaS 服務采購的訂單數據。通過這些數據可與企業實際資產進行交集分析，從而預測企業發生勒索事件的概率并提前預防。

2. 基于身份的防護思路

基于身份的量化參考了零信任中“以身份為中心”的理念，將用戶、設備和應用程序全部抽象為實際的身份。這樣，對整體信息系統的量化便可簡化為針對身份體系的量化。通過零信任體系“永不信任，始終驗證”的建設，可有效避免勒索事件的發生，或阻止其進一步擴大。

3. 基于安全感知的防護思路

態勢感知系統在整體安全防護體系中充當“安全大腦”的角色，企業管理人員可通過態勢感知系統明確了解整體企業的資產狀態和安全防護情況。然而，針對勒索事件，態勢感知系統的感知能力存在一定的滯后性，往往在安全事件發生后才能產生相應的告警。這是由于態勢感知體系中缺乏單獨的數據感知模塊，導致對勒索事件的感知和其他網絡威脅感知處于同一層級。為避免這種情況，可以在態勢感知系統中單獨構建數據安全態勢感知模塊，以實現數據安全事件發生時的及時告警與處置。

二、以“量化”理論應對勒索攻擊的防護方案

1. 以檢測為主的數據安全量化實踐思路

檢測是數據安全量化的關鍵步驟。目前，部分單位已實施了數據安全治理的相關服務。然而，無論是政策、數據、業務還是攻擊的形式，都是完全動態的過程。數據安全治理過程往往缺乏時效性，當上述任意環節發生變更時，數據安全治理的成果往往需要進行相應的調整。因此，本方案結合 ATT&CK 勒索攻擊模型和 ASA 架構的勒索攻擊防護模型，假設了一種動態的檢測流程（如圖所示）。

圖 以防御為主題數據安全量化實踐思路

身份檢測。通過在業務訪問的多個關鍵環節建立檢測點來實現，主要針對用戶訪問業務的場景。在用戶加載操作系統前，可以采用可信根技術對用戶進行身份鑒權。在啟動操作系統后，則可在用戶登錄時驗證其身份。在用戶接入內部網絡或外部網絡前，應設置準入策略核查用戶的入網身份。在訪問業務應用時，可通過業務內置的權限管理或統一身份管理平臺對用戶身份進行鑒權。身份檢測流程除上述認證過程外，還可通過零信任建立統一基線，針對用戶鑒權后的操作進行動態檢測，以發現并阻止非正常身份利用行為。

行為檢測。是針對被訪問客體的重要檢測措施，可在各類被訪問客體布置相應的檢測措施，這些措施可表現為安全產品或訪問策略腳本。具體而言，可以針對 BIOS、操作系統、業務系統等部署行為檢測措施，并將身份按必要權限劃分為多個角色，為不同角色限定不同的操作權限。當安全設備或檢測腳本檢測實際操作與基線偏離時，便會觸發阻斷操作并產生告警。

狀態檢測。是將所有業務涉及的主體與客體的運行狀態作為檢測對象的檢測過程。主體在不同訪問流程中可表現為用戶、接口、應用、計算資源等，所需的檢測流程將在這些關鍵位置部署。當對用戶進行狀態檢測時，將關注用戶的身份、權限、活躍狀態、請求地址等。當對應用進行狀態檢測時，將關注應用的軟件物料清單（SBOM）清單中各組件的版本、運行性能及效率等信息。當對計算資源進行狀態監測時，則將關注計算資源的 CPU、內存、存儲和網絡等的占用情況。

2. 以防護為主的數據安全量化實踐思路

常規的網絡安全防護體系難以防御攻擊規則庫之外的威脅，也難以管控所有黑客可能入侵的攻擊途徑。針對此類情形，本方案提供的量化防護實踐思路將以零信任為中心，以持續全方位感知防御體系為基礎，以專項數據安全防護為底線，以業務映射為通用接口，構建結構化的動態感知防御體系。該體系可分為安全防護、安全加固、服務隱藏和數據加固四個部分。

安全防護。隨著信息系統網絡規模和業務類型的不斷更新擴容，面臨的網絡安全風險也逐漸多樣化。針對通用信息系統的防護措施總體可劃分為網絡安全防護、計算安全防護、存儲安全防護和管理安全防護。多數被勒索的企業已完成相關的安全防護建設，但勒索團伙仍然能夠達到目標，根據安全保護服務人員的現場調查，主要原因在于安全防護策略的不合理。大多數企業的安全防護以政策合規為最終目的，完成檢查評估后，往往缺乏對安全設備的運營和維護。這導致安全設備威脅庫可能較為陳舊，或存在策略沖突而失效，給勒索團伙的入侵留下了可乘之機。針對此類情形，可以部署統一策略管理平臺，定期進行安全策略檢查，并執行自動庫更新和策略下發等操作。同時，態勢感知系統能夠監測信息系統中所有接入設備的運行狀態，當設備運行異常時，及時告警并通知相關運維管理人員及時維護，以動態且持續地保障整體信息安全防護體系的安全。

安全加固。通?；诎踩珯z測結果實施具體防護措施，這些檢測包括終端安全檢測、網絡安全檢測、計算環境安全檢測和數據安全檢測。大多數企業對大范圍全量的安全檢測較為抵觸，因為這些安全檢測可能會影響整體業務短期內的正常運行。此外，由于信息管理部門在企業內部的話語權有限，這些檢測行為往往會被拒絕或未能按計劃完成，從而導致相應的加固措施缺失，給系統帶來整體性風險。

針對此類情形，可在現有的安全防護設備中配置基于人工智能的安全檢測引擎，設置定期檢測策略，并調低運行時對整體信息系統的性能占用率?？蓪⒆詣訖z測策略調整為在夜間或非工作時間自動執行，并為所有的檢測設備配置統一的日志收集地址進行綜合整理，自動生成檢測報告和修改意見。最終，運維人員可根據報告中的清單，對需要調整的環境按修改意見進行加固。

服務隱藏。在常規狀態下，員工在企業內部訪問的信息系統資源是有限的，每個角色都有不同的業務訪問清單。然而，普遍情況是企業未能提供分類分級的訪問策略組，而是采取簡單的地址段訪問策略，這為感染型勒索病毒在企業內橫向移動提供了可乘之機。針對外網環境，在威脅情報平臺上也常能發現由于企業配置不當，導致不該公開的業務系統暴露在公網。通過構建零信任體系，可以同時滿足這兩種情形下的服務隱藏需求，即默認服務完全不公開，只有在終端環境認證和運行環境認證通過后，才能對業務進行訪問。

數據加固。為了加強數據保護，可采取綜合的數據保護措施。在訪問數據的客戶端部署病毒查殺、網絡準入、漏洞管理等基礎防護能力。同時，在數據備份邏輯中集成防病毒軟件，以保護網絡存儲設備中的數據免受惡意軟件侵害。本地備份應具備安全快照功能，確保數據備份的完整性和可靠性，以便快速恢復數據。通過引入WORM（Write Once Read Many）技術，可實現數據和安全快照的雙重保護，防止數據被篡改或刪除。安全管理員需要識別可能受到勒索軟件威脅的數據源，并制定符合備份規則的策略，根據數據的重要程度和恢復需求，設定合適的數據恢復點目標（RPO），以確保關鍵數據的定期備份和可靠恢復。通過綜合應用這些數據保護技術，信息系統能夠有效抵御各種威脅風險，確保數據安全可靠地存儲、傳輸和恢復，提高系統的安全性和穩定性。

三、結 語

隨著數字化轉型的推進，數據已成為關鍵的生產要素，其安全性對國家信息化發展至關重要。面對日益嚴峻的數據安全威脅，特別是勒索病毒攻擊，應結合基于量化評估的綜合性檢測與防御策略進行防護。通過對勒索病毒攻擊途徑的深入分析，可以有效識別包括漏洞入侵、惡意郵件、軟件注冊機等在內的多種攻擊手段。同時，需要認識到實際操作中可能會遇到的各種挑戰，包括技術實施的復雜性、資源限制以及安全策略的持續更新。因此，未來的工作需要進一步驗證這些策略在不同場景下的有效性，并探索如何更有效地將它們集成到現有的安全管理體系中。

（本文刊登于《中國信息安全》雜志2024年第8期）