勒索病毒演进加速，防御“屏障”该怎么建？

　　中新财经记者 夏宾

　　当前勒索病毒全球肆虐，勒索病毒攻击已成为网络安全最大威胁，并已形成大量分工细致、专业化、职业化的勒索团体组织。

　　勒索软件的“鼻祖”诞生于1989年，而在那个互联网的“蛮荒”时代，攻击者还没有找到“高效”且“安全”的敲诈方法。时代变迁，现在勒索攻击造成的经济损失甚至超过一些国家的年GDP总量。

　　据全球知名威胁情报机构RiskIQ数据统计，每1分钟就有6家单位遭受勒索攻击，全年超315万家单位被勒索，每分钟因网络安全导致的损失高达180万美元，全年超过6万亿人民币。

　　事实上，历经数年演化，勒索病毒经历了与比特币支付方式结合、与钓鱼邮件结合、攻击目标转向大型政企、与蠕虫木马结合、出现RaaS服务、数据泄露与多重勒索等多个发展阶段，无论从攻击形式、攻击技术、勒索形式等都发生了翻天覆地的变化，并形成了产业化发展态势，勒索攻击已经成为网络安全最大的威胁之一。

　　北京邮电大学网络空间安全学院教授、副院长彭海朋表示：“勒索病毒的攻击能力十分惊人，一方面勒索病毒的作者在延续开发周期，其制作新变种的更新速度和攻击方式变化极快，加强软件弹性、驻留能力、无文件、免杀逃逸等额外功能也将成为勒索病毒的标配。另一方面，RaaS的攻击形式进一步增强了攻击的隐蔽性，且勒索攻击已由个人或单个黑客团伙攻击转向层级分明、分工明确的黑色产业活动，勒索行为日益专业化。”

　　事实上，勒索病毒已经正式进入一个全新时代，即勒索团伙APT( Advanced Persistent Threat，高级可持续威胁攻击)化，其以符合网络安全行业对APT组织的认定标准，即几乎所有的勒索攻击都基于经济目的；所有的勒索攻击都是潜伏的，多阶段的持续性攻击；现代勒索攻击主要是针对企业组织的定向攻击；勒索的攻击方式多样，包括鱼叉攻击、商品化与定制化恶意软件、远端控制工具，漏洞利用等。

　　在此背景下，亚信安全近日召开“全面勒索治理即方舟计划”发布会，基于“现代勒索攻击团伙就是APT组织”的最新威胁研判，介绍了“方舟”计划并全面解读了勒索治理的最新理念与解决方案。

　　据悉，上述“方舟”提供了从勒索攻击发现到响应，再到恢复的全链条综合治理体系，帮助用户提早发现隐患、及时封堵攻击、避免二次勒索，最大化降低客户受勒索攻击风险和影响。这背后与亚信安全提供的三大能力密不可分，即勒索体检中心、全流程处置机制、现代勒索治理解决方案。

　　亚信安全副总裁刘政平介绍：“勒索病毒攻击可以分为6个阶段，包含初始入侵、持续驻留、内网渗透、命令控制、信息外泄、执行勒索，而单一防御安全体系很难对这种有别于传统病毒的‘杀伤链’发挥作用。”

　　例如：现代勒索攻击团伙在入侵后会潜伏几天、几周甚至数月，他们在真正运行勒索病毒加密删除文件之前，都会偷偷寻找有价值的文件或数据，并将其外传。另外，在勒索加密代码真正启动之前，一般都会进行免杀处理，以此让防毒软件失效。

　　亚信安全首席研发官吴湘宁提到，由于勒索攻击深度结合APT攻击技术手段，要解决各种来源的威胁情报杂乱无章，安全团队缺乏完整的威胁可见性、应急响应流程“纸上谈兵”等问题，势必需要相应的联动方案，从威胁的检测、控制，再到威胁狩猎、调查、归因等整体联动防御，方能产生更好的效果。

　　腾讯研究院产业安全中心主任翟尤认为，由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性，并不建议将防治重点放在遭受攻击后的解密环节，而应该着重做好预防工作，不给勒索病毒以可乘之机。从个人用户来讲，增强员工安全意识与加强数据备份同等重要。从企业用户来讲，解决勒索攻击的核心是构建“安全能力前置”，提升自身的“免疫力”。

　　翟尤称，企业数字化程度越高，潜在的安全风险也就越大，甚至会有致命风险。被动防御性的安全思路难以应对多样化、动态化的网络攻击。因此，一方面要利用AI、大数据、云计算等新技术实现安全能力在业务环节的前置，提前预判潜在安全风险，另一方面要对安全专家或人才能力量化，使过往积累的安全经验与能力标准化、流程化，以实现安全能力的量化部署。