《中国信息清静》 2024年第8期

北京3377体育网官网入口网络清静手艺有限公司

近年来，，，，，，，，勒索攻击的手段一直演变，，，，，，，，从最初的简朴文件加密生长到现在的高级一连性威胁和供应链攻击，，，，，，，，其重大性和危害性一连增添。。。。。。勒索载荷通过加壳、代码混淆和加密等手段可以越过基于规则的检测，，，，，，，，而通过情形检测、运行多态、远程加载等方法也能越过基于基因检测和特征识别的防御手段。。。。。。现有的网络清静防护手段难以对勒索攻击举行有用的检测和防御，，，，，，，，防护效果微乎其微。。。。。。

随着全球数字化历程的加速，，，，，，，，越来越多的营业系统转向在线操作，，，，，，，，这为勒索软件提供了更多的攻击目的。。。。。。攻击者通过全心策划的攻击，，，，，，，，不但能够造成重大的经济损失，，，，，，，，还可能对公共服务和社会秩序造成严重影响。。。。。。新兴的勒索攻击主要体现为四个新特点：攻击目的愈加重大化、攻击工具日趋精准化、攻击主体日益专业化和攻击模式趋于多样化。。。。。。勒索攻击现在已演变为全球性的清静问题，，，，，，，，对全球生产与经济爆发了重大负面影响。。。。。。跟踪剖析勒索攻击的新特点，，，，，，，，研究针对性提防步伐，，，，，，，，已成为各国政府和企业普遍关注的恒久议题。。。。。。

一、勒索病毒防护的思索

在目今数字化情形中，，，，，，，，勒索攻击泛起出越来越重大和危险的趋势，，，，，，，，对全球清静和经济稳固组成严重威胁。。。。。。勒索软件的演变与网络清静防护手段的无法顺应形成了严肃时势，，，，，，，，需要我们增强小心与应对。。。。。。针对这一挑战，，，，，，，，我们从一个新的维度出发，，，，，，，，以“量化”为基本思绪对勒索攻击各场景举行合理的发散，，，，，，，，提出了一种新的防御思绪。。。。。。

常见的勒索防护手段主要集中在网络侧和终端侧的威胁检测与防御。。。。。。然而，，，，，，，，在勒索事务爆发时，，，，，，，，受害者往往并不缺乏响应的防护手段。。。。。。只管云云，，，，，，，，许多经由较高规格网络清静检测的应用系统仍无法完全阻止勒索攻击的损害。。。。。。现在，，，，，，，，古板的分类算法在应对零日误差勒索病毒方面保存响应不实时的问题。。。。。。只管一些基于机械学习等算法的启发式检测工具一直涌现，，，，，，，，但它们普遍保存局限性和滞后性，，，，，，，，并倒运于快速迭代。。。。。。同时，，，，，，，，勒索病毒的开发一直演进，，，，，，，，接纳了加壳、代码混淆、反沙盒、内存动态映射等战略，，，，，，，，给防御勒索病毒带来了重大挑战。。。。。。

我们从误差、营业、权限和威胁情报四个危害袒露面综合思量，，，，，，，，而不但仅局限于古板网络清静角度来考量数据勒索场景下的防护步伐。。。。。。“量化”是金融生意中常用的看法，，，，，，，，旨在阻止人类的主观缺陷。。。。。。在网络清静防护手段的实验历程中，，，，，，，，引入此看法也可有用镌汰由于人为因素带来的负面影响。。。。。。

1. 基于袒露面的防护思绪

针对袒露面的量化主要涉及误差袒露面、营业袒露面、权限袒露面和威胁情报袒露面。。。。。。这些袒露面的评估将从内部和外部两个维度举行综合考量，，，，，，，，以实现将数据所面临的勒索危害降至最低。。。。。。

误差袒露面量化。。。。。。基于误差袒露面的量化考量主要是为了降低由于误差使用而导致数据勒索爆发的概率，，，，，，，，主要可以从内部和外部两个维度举行量化。。。。。。由于企业内部情形在互联网情形中属于不可直接感知的部分，，，，，，，，但仍保存通过“内鬼”攻击、软件注册机等方法举行侵入的可能性。。。。。。因此，，，，，，，，针对企业情形的误差量化需完整笼罩企业的所有网络情形。。。。。。量化体现在凭证详细的量化评分接纳对应的加固步伐。。。。。。除了通例的补丁加固外，，，，，，，，还可通过固化操作情形，，，，，，，，内部营业 SaaS 化刷新和数据无感加密等方法举行营业组件的削减，，，，，，，，从而降低误差袒露面。。。。。。

营业袒露面量化。。。。。。营业的袒露面包括公网（毗连互联网的区域）情形和内网情形可会见营业的袒露面剖析，，，，，，，，这些袒露面可能包括邮件应用、文件应用、API 服务、营业应用、虚拟资源、网页应用、公众号和小程序应用等。。。。。。目今，，，，，，，，中大型企业面临的主要问题是无法精准梳理袒露资产。。。。。。随着企业的快速扩张，，，，，，，，外部资产往往无法获得周全发明与治理。。。。。。营业袒露面的量化首先需要对资产举行梳理，，，，，，，，明确资产台账及对应的认真人；；；；；；其次，，，，，，，，针对每项营业建设明确的营业基线，，，，，，，，构建统一的感知系统。。。。。。

权限袒露面量化。。。。。。在企业中，，，，，，，，员工可能具备多重身份，，，，，，，，这些身份具备差别的会见和操作权限。。。。。。中大型企业一样平常会建设统一的身份治理系统，，，，，，，，但这些治理系统维护的内容通常仅限于营业自己，，，，，，，，对员工使用种种权限执行其他类型操作缺乏审计和羁系步伐。。。。。。这类需求一样平常通过 UEBA（用户实体行为剖析）实现，，，，，，，，但此类系统的监控规模有限。。。。。。当员工通过不在监控清单内的非通例方法执行异常操作时，，，，，，，，无法实时触发告警。。。。。。因此，，，，，，，，需要团结网络清静行为监控和用户实体行为监控两个维度举行综合监控。。。。。。

威胁情报袒露面量化。。。。。。目今，，，，，，，，网络清静威胁情报平台市场已较为成熟，，，，，，，，这些平台上具备了大宗的威胁情报信息。。。。。。企业获取与自身情形相关的情报信息一样平常有以下几种形式：一是威胁情报平台提供 API 接口，，，，，，，，直接对接至企业态势感知平台或其他清静装备；；；；；；二是采购情报服务，，，，，，，，当爆发与企业相关的威胁情报时，，，，，，，，通过信息推送的方法见告企业的清静认真人。。。。。。

在勒索事务爆发的全生命周期内，，，，，，，，来自威胁情报平台的信息主要用于勒索事务爆发后的溯源。。。。。。在预防方面，，，，，，，，更需要的是数据清静威胁情报，，，，，，，，如失陷主机清单、凭证泄露清单以及 RaaS 服务采购的订单数据。。。。。。通过这些数据可与企业现实资产举行交集剖析，，，，，，，，从而展望企业爆发勒索事务的概率并提前预防。。。。。。

2. 基于身份的防护思绪

基于身份的量化参考了零信任中“以身份为中心”的理念，，，，，，，，将用户、装备和应用程序所有笼统为现实的身份。。。。。。这样，，，，，，，，对整体信息系统的量化便可简化为针对身份系统的量化。。。。。。通过零信任系统“永不信任，，，，，，，，始终验证”的建设，，，，，，，，可有用阻止勒索事务的爆发，，，，，，，，或阻止其进一步扩大。。。。。。

3. 基于清静感知的防护思绪

态势感知系统在整体清静防护系统中充当“清静大脑”的角色，，，，，，，，企业治理职员可通过态势感知系统明确相识整体企业的资产状态和清静防护情形。。。。。。然而，，，，，，，，针对勒索事务，，，，，，，，态势感知系统的感知能力保存一定的滞后性，，，，，，，，往往在清静事务爆发后才华爆发响应的告警。。。。。。这是由于态势感知系统中缺乏单独的数据感知？？？？？？？，，，，，，，，导致对勒索事务的感知和其他网络威胁感知处于统一层级。。。。。。为阻止这种情形，，，，，，，，可以在态势感知系统中单独构建数据清静态势感知？？？？？？？，，，，，，，，以实现数据清静事务爆发时的实时告警与处置惩罚。。。。。。

二、以“量化”理论应对勒索攻击的防护计划

1. 以检测为主的数据清静量化实践思绪

检测是数据清静量化的要害办法。。。。。。现在，，，，，，，，部分单位已实验了数据清静治理的相关服务。。。。。。然而，，，，，，，，无论是政策、数据、营业照旧攻击的形式，，，，，，，，都是完全动态的历程。。。。。。数据清静治理历程往往缺乏时效性，，，，，，，，当上述恣意环节爆发变换时，，，，，，，，数据清静治理的效果往往需要举行响应的调解。。。。。。因此，，，，，，，，本计划团结 ATT&CK 勒索攻击模子和 ASA 架构的勒索攻击防护模子，，，，，，，，假设了一种动态的检测流程（如图所示）。。。。。。

图 以防御为主题数据清静量化实践思绪

身份检测。。。。。。通过在营业会见的多个要害环节建设检测点来实现，，，，，，，，主要针对用户会见营业的场景。。。。。。在用户加载操作系统前，，，，，，，，可以接纳可信根手艺对用户举行身份鉴权。。。。。。在启动操作系统后，，，，，，，，则可在用户登录时验证其身份。。。。。。在用户接入内部网络或外部网络前，，，，，，，，应设置准入战略核查用户的入网身份。。。。。。在会见营业应用时，，，，，，，，可通过营业内置的权限治理或统一身份治理平台对用户身份举行鉴权。。。。。。身份检测流程除上述认证历程外，，，，，，，，还可通过零信任建设统一基线，，，，，，，，针对用户鉴权后的操作举行动态检测，，，，，，，，以发明并阻止非正常身份使用行为。。。。。。

行为检测。。。。。。是针对被会见客体的主要检测步伐，，，，，，，，可在种种被会见客体安排响应的检测步伐，，，，，，，，这些步伐可体现为清静产品或会见战略剧本。。。。。。详细而言，，，，，，，，可以针对 BIOS、操作系统、营业系统等安排行为检测步伐，，，，，，，，并将身份按须要权限划分为多个角色，，，，，，，，为差别角色限制差别的操作权限。。。。。。当清静装备或检测剧本检测现实操作与基线偏离时，，，，，，，，便会触发阻断操作并爆发告警。。。。。。

状态检测。。。。。。是将所有营业涉及的主体与客体的运行状态作为检测工具的检测历程。。。。。。主体在差别会见流程中可体现为用户、接口、应用、盘算资源等，，，，，，，，所需的检测流程将在这些要害位置安排。。。。。。当对用户举行状态检测时，，，，，，，，将关注用户的身份、权限、活跃状态、请求地点等。。。。。。当对应用举行状态检测时，，，，，，，，将关注应用的软件物料清单（SBOM）清单中各组件的版本、运行性能及效率等信息。。。。。。当对盘算资源举行状态监测时，，，，，，，，则将关注盘算资源的 CPU、内存、存储和网络等的占用情形。。。。。。

2. 以防护为主的数据清静量化实践思绪

通例的网络清静防护系统难以防御攻击规则库之外的威胁，，，，，，，，也难以管控所有黑客可能入侵的攻击途径。。。。。。针对此类情形，，，，，，，，本计划提供的量化防护实践思绪将以零信任为中心，，，，，，，，以一连全方位感知防御系统为基础，，，，，，，，以专项数据清静防护为底线，，，，，，，，以营业映射为通用接口，，，，，，，，构建结构化的动态感知防御系统。。。。。。该系统可分为清静防护、清静加固、服务隐藏和数据加固四个部分。。。。。。

清静防护。。。。。。随着信息系统网络规模和营业类型的一直更新扩容，，，，，，，，面临的网络清静危害也逐渐多样化。。。。。。针对通用信息系统的防护步伐总体可划分为网络清静防护、盘算清静防护、存储清静防护和治理清静防护。。。。。。大都被勒索的企业已完成相关的清静防护建设，，，，，，，，但勒索团伙仍然能够抵达目的，，，，，，，，凭证清静保；；；；；し务职员的现场视察，，，，，，，，主要缘故原由在于清静防护战略的不对理。。。。。。大大都企业的清静防护以政策合规为最终目的，，，，，，，，完成检查评估后，，，，，，，，往往缺乏对清静装备的运营和维护。。。。。。这导致清静装备威胁库可能较为陈腐，，，，，，，，或保存战略冲突而失效，，，，，，，，给勒索团伙的入侵留下了可乘之机。。。。。。针对此类情形，，，，，，，，可以安排统一战略治理平台，，，，，，，，按期举行清静战略检查，，，，，，，，并执行自动库更新和战略下发等操作。。。。。。同时，，，，，，，，态势感知系统能够监测信息系统中所有接入装备的运行状态，，，，，，，，当装备运行异常时，，，，，，，，实时告警并通知相关运维治理职员实时维护，，，，，，，，以动态且一连地包管整体信息清静防护系统的清静。。。。。。

清静加固。。。。。。通常；；；；；谇寰布觳庑Ч笛橄晗阜阑げ椒，，，，，，，，这些检测包括终端清静检测、网络清静检测、盘算情形清静检测和数据清静检测。。。。。。大大都企业对大规模全量的清静检测较为抵触，，，，，，，，由于这些清静检测可能会影响整体营业短期内的正常运行。。。。。。别的，，，，，，，，由于信息治理部分在企业内部的话语权有限，，，，，，，，这些检测行为往往会被拒绝或未能按妄想完成，，，，，，，，从而导致响应的加固步伐缺失，，，，，，，，给系统带来整体性危害。。。。。。

针对此类情形，，，，，，，，可在现有的清静防护装备中设置基于人工智能的清静检测引擎，，，，，，，，设置按期检测战略，，，，，，，，并调低运行时对整体信息系统的性能占用率。。。。。？？？？？？？山远觳庹铰缘鹘馕谝辜浠蚍鞘虑槭奔渥远葱，，，，，，，，并为所有的检测装备设置统一的日志网络地点举行综合整理，，，，，，，，自动天生检测报告和修改意见。。。。。。最终，，，，，，，，运维职员可凭证报告中的清单，，，，，，，，对需要调解的情形按修改意见举行加固。。。。。。

服务隐藏。。。。。。在通例状态下，，，，，，，，员工在企业内部会见的信息系统资源是有限的，，，，，，，，每个角色都有差别的营业会见清单。。。。。。然而，，，，，，，，普遍情形是企业未能提供分类分级的会见战略组，，，，，，，，而是接纳简朴的地点段会见战略，，，，，，，，这为熏染型勒索病毒在企业内横向移动提供了可乘之机。。。。。。针对外网情形，，，，，，，，在威胁情报平台上也常能发明由于企业设置不当，，，，，，，，导致不应果真的营业系统袒露在公网。。。。。。通过构建零信任系统，，，，，，，，可以同时知足这两种情形下的服务隐藏需求，，，，，，，，即默认服务完全不果真，，，，，，，，只有在终端情形认证和运行情形认证通事后，，，，，，，，才华对营业举行会见。。。。。。

数据加固。。。。。。为了增强数据保；；；；；，，，，，，，，可接纳综合的数据保；；；；；げ椒。。。。。。在会见数据的客户端安排病毒查杀、网络准入、误差治理等基础防护能力。。。。。。同时，，，，，，，，在数据备份逻辑中集成防病毒软件，，，，，，，，以保；；；；；ね绱娲⒆氨钢械氖菝馐芏褚馊砑损害。。。。。。外地备份应具备清静快照功效，，，，，，，，确保数据备份的完整性和可靠性，，，，，，，，以便快速恢复数据。。。。。。通过引入WORM（Write Once Read Many）手艺，，，，，，，，可实现数据和清静快照的双重保；；；；；，，，，，，，，避免数据被改动或删除。。。。。。清静治理员需要识别可能受到勒索软件威胁的数据源，，，，，，，，并制订切合备份规则的战略，，，，，，，，凭证数据的主要水平和恢复需求，，，，，，，，设定合适的数据恢复点目的（RPO），，，，，，，，以确保要害数据的按期备份和可靠恢复。。。。。。通过综合应用这些数据保；；；；；な忠，，，，，，，，信息系统能够有用抵御种种威胁危害，，，，，，，，确保数据清静可靠地存储、传输和恢复，，，，，，，，提高系统的清静性和稳固性。。。。。。

三、结 语

随着数字化转型的推进，，，，，，，，数据已成为要害的生产要素，，，，，，，，其清静性对国家信息化生长至关主要。。。。。。面临日益严肃的数据清静威胁，，，，，，，，特殊是勒索病毒攻击，，，，，，，，应团结基于量化评估的综合性检测与防御战略举行防护。。。。。。通过对勒索病毒攻击途径的深入剖析，，，，，，，，可以有用识别包括误差入侵、恶意邮件、软件注册机等在内的多种攻击手段。。。。。。同时，，，，，，，，需要熟悉到现实操作中可能会遇到的种种挑战，，，，，，，，包括手艺实验的重大性、资源限制以及清静战略的一连更新。。。。。。因此，，，，，，，，未来的事情需要进一步验证这些战略在差别场景下的有用性，，，，，，，，并探索怎样更有用地将它们集成到现有的清静治理系统中。。。。。。

（本文刊登于《中国信息清静》杂志2024年第8期）