《中國信息安全》 2024年第8期

北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司

近年來，勒索攻擊的手段不斷演變，從最初的簡單文件加密發(fā)展到現(xiàn)在的高級持續(xù)性威脅和供應(yīng)鏈攻擊，其復(fù)雜性和危害性持續(xù)增加。勒索載荷通過加殼、代碼混淆和加密等手段可以越過基于規(guī)則的檢測，而通過環(huán)境檢測、運(yùn)行多態(tài)、遠(yuǎn)程加載等方式也能越過基于基因檢測和特征識別的防御手段?，F(xiàn)有的網(wǎng)絡(luò)安全防護(hù)手段難以對勒索攻擊進(jìn)行有效的檢測和防御，防護(hù)效果微乎其微。

隨著全球數(shù)字化進(jìn)程的加速，越來越多的業(yè)務(wù)系統(tǒng)轉(zhuǎn)向在線操作，這為勒索軟件提供了更多的攻擊目標(biāo)。攻擊者通過精心策劃的攻擊，不僅能夠造成巨大的經(jīng)濟(jì)損失，還可能對公共服務(wù)和社會秩序造成嚴(yán)重影響。新興的勒索攻擊主要表現(xiàn)為四個新特點(diǎn)：攻擊目的愈加復(fù)雜化、攻擊對象日趨精準(zhǔn)化、攻擊主體日益專業(yè)化和攻擊模式趨于多樣化。勒索攻擊目前已演變?yōu)槿蛐缘陌踩珕栴}，對全球生產(chǎn)與經(jīng)濟(jì)產(chǎn)生了重大負(fù)面影響。跟蹤分析勒索攻擊的新特點(diǎn)，研究針對性防范措施，已成為各國政府和企業(yè)普遍關(guān)注的長期議題。

一、勒索病毒防護(hù)的思考

在當(dāng)前數(shù)字化環(huán)境中，勒索攻擊呈現(xiàn)出越來越復(fù)雜和危險的趨勢，對全球安全和經(jīng)濟(jì)穩(wěn)定構(gòu)成嚴(yán)重威脅。勒索軟件的演變與網(wǎng)絡(luò)安全防護(hù)手段的無法適應(yīng)形成了嚴(yán)峻局面，需要我們加強(qiáng)警惕與應(yīng)對。針對這一挑戰(zhàn)，我們從一個新的維度出發(fā)，以“量化”為基本思路對勒索攻擊各場景進(jìn)行合理的發(fā)散，提出了一種新的防御思路。

常見的勒索防護(hù)手段主要集中在網(wǎng)絡(luò)側(cè)和終端側(cè)的威脅檢測與防御。然而，在勒索事件發(fā)生時，受害者往往并不缺乏相應(yīng)的防護(hù)手段。盡管如此，許多經(jīng)過較高規(guī)格網(wǎng)絡(luò)安全檢測的應(yīng)用系統(tǒng)仍無法完全避免勒索攻擊的侵害。目前，傳統(tǒng)的分類算法在應(yīng)對零日漏洞勒索病毒方面存在響應(yīng)不及時的問題。盡管一些基于機(jī)器學(xué)習(xí)等算法的啟發(fā)式檢測工具不斷涌現(xiàn)，但它們普遍存在局限性和滯后性，并不利于快速迭代。同時，勒索病毒的開發(fā)不斷演進(jìn)，采用了加殼、代碼混淆、反沙盒、內(nèi)存動態(tài)映射等策略，給防御勒索病毒帶來了巨大挑戰(zhàn)。

我們從漏洞、業(yè)務(wù)、權(quán)限和威脅情報四個風(fēng)險暴露面綜合考慮，而不僅僅局限于傳統(tǒng)網(wǎng)絡(luò)安全角度來考量數(shù)據(jù)勒索場景下的防護(hù)措施?！傲炕笔墙鹑诮灰字谐Ｓ玫母拍?，旨在避免人類的主觀缺陷。在網(wǎng)絡(luò)安全防護(hù)手段的實(shí)施過程中，引入此概念也可有效減少由于人為因素帶來的負(fù)面影響。

1. 基于暴露面的防護(hù)思路

針對暴露面的量化主要涉及漏洞暴露面、業(yè)務(wù)暴露面、權(quán)限暴露面和威脅情報暴露面。這些暴露面的評估將從內(nèi)部和外部兩個維度進(jìn)行綜合考量，以實(shí)現(xiàn)將數(shù)據(jù)所面臨的勒索風(fēng)險降至最低。

漏洞暴露面量化。基于漏洞暴露面的量化考量主要是為了降低由于漏洞利用而導(dǎo)致數(shù)據(jù)勒索發(fā)生的概率，主要可以從內(nèi)部和外部兩個維度進(jìn)行量化。由于企業(yè)內(nèi)部環(huán)境在互聯(lián)網(wǎng)環(huán)境中屬于不可直接感知的部分，但仍存在通過“內(nèi)鬼”攻擊、軟件注冊機(jī)等方式進(jìn)行侵入的可能性。因此，針對企業(yè)環(huán)境的漏洞量化需完整覆蓋企業(yè)的全部網(wǎng)絡(luò)環(huán)境。量化體現(xiàn)在根據(jù)具體的量化評分采取對應(yīng)的加固措施。除了常規(guī)的補(bǔ)丁加固外，還可通過固化操作環(huán)境，內(nèi)部業(yè)務(wù) SaaS 化改造和數(shù)據(jù)無感加密等方式進(jìn)行業(yè)務(wù)組件的削減，從而降低漏洞暴露面。

業(yè)務(wù)暴露面量化。業(yè)務(wù)的暴露面包含公網(wǎng)（連接互聯(lián)網(wǎng)的區(qū)域）環(huán)境和內(nèi)網(wǎng)環(huán)境可訪問業(yè)務(wù)的暴露面分析，這些暴露面可能包含郵件應(yīng)用、文件應(yīng)用、API 服務(wù)、業(yè)務(wù)應(yīng)用、虛擬資源、網(wǎng)頁應(yīng)用、公眾號和小程序應(yīng)用等。當(dāng)前，中大型企業(yè)面臨的主要問題是無法精準(zhǔn)梳理暴露資產(chǎn)。隨著企業(yè)的快速擴(kuò)張，外部資產(chǎn)往往無法得到全面發(fā)現(xiàn)與管理。業(yè)務(wù)暴露面的量化首先需要對資產(chǎn)進(jìn)行梳理，明確資產(chǎn)臺賬及對應(yīng)的負(fù)責(zé)人；其次，針對每項(xiàng)業(yè)務(wù)建立明確的業(yè)務(wù)基線，構(gòu)建統(tǒng)一的感知體系。

權(quán)限暴露面量化。在企業(yè)中，員工可能具備多重身份，這些身份具備不同的訪問和操作權(quán)限。中大型企業(yè)一般會建立統(tǒng)一的身份管理體系，但這些管理系統(tǒng)維護(hù)的內(nèi)容通常僅限于業(yè)務(wù)本身，對員工使用各類權(quán)限執(zhí)行其他類型操作缺乏審計和監(jiān)管措施。這類需求一般通過 UEBA（用戶實(shí)體行為分析）實(shí)現(xiàn)，但此類系統(tǒng)的監(jiān)控范圍有限。當(dāng)員工通過不在監(jiān)控清單內(nèi)的非常規(guī)方式執(zhí)行異常操作時，無法及時觸發(fā)告警。因此，需要結(jié)合網(wǎng)絡(luò)安全行為監(jiān)控和用戶實(shí)體行為監(jiān)控兩個維度進(jìn)行綜合監(jiān)控。

威脅情報暴露面量化。當(dāng)前，網(wǎng)絡(luò)安全威脅情報平臺市場已較為成熟，這些平臺上具備了大量的威脅情報信息。企業(yè)獲取與自身環(huán)境相關(guān)的情報信息一般有以下幾種形式：一是威脅情報平臺提供 API 接口，直接對接至企業(yè)態(tài)勢感知平臺或其他安全設(shè)備；二是采購情報服務(wù)，當(dāng)發(fā)生與企業(yè)相關(guān)的威脅情報時，通過信息推送的方式告知企業(yè)的安全負(fù)責(zé)人。

在勒索事件發(fā)生的全生命周期內(nèi)，來自威脅情報平臺的信息主要用于勒索事件發(fā)生后的溯源。在預(yù)防方面，更需要的是數(shù)據(jù)安全威脅情報，如失陷主機(jī)清單、憑證泄露清單以及 RaaS 服務(wù)采購的訂單數(shù)據(jù)。通過這些數(shù)據(jù)可與企業(yè)實(shí)際資產(chǎn)進(jìn)行交集分析，從而預(yù)測企業(yè)發(fā)生勒索事件的概率并提前預(yù)防。

2. 基于身份的防護(hù)思路

基于身份的量化參考了零信任中“以身份為中心”的理念，將用戶、設(shè)備和應(yīng)用程序全部抽象為實(shí)際的身份。這樣，對整體信息系統(tǒng)的量化便可簡化為針對身份體系的量化。通過零信任體系“永不信任，始終驗(yàn)證”的建設(shè)，可有效避免勒索事件的發(fā)生，或阻止其進(jìn)一步擴(kuò)大。

3. 基于安全感知的防護(hù)思路

態(tài)勢感知系統(tǒng)在整體安全防護(hù)體系中充當(dāng)“安全大腦”的角色，企業(yè)管理人員可通過態(tài)勢感知系統(tǒng)明確了解整體企業(yè)的資產(chǎn)狀態(tài)和安全防護(hù)情況。然而，針對勒索事件，態(tài)勢感知系統(tǒng)的感知能力存在一定的滯后性，往往在安全事件發(fā)生后才能產(chǎn)生相應(yīng)的告警。這是由于態(tài)勢感知體系中缺乏單獨(dú)的數(shù)據(jù)感知模塊，導(dǎo)致對勒索事件的感知和其他網(wǎng)絡(luò)威脅感知處于同一層級。為避免這種情況，可以在態(tài)勢感知系統(tǒng)中單獨(dú)構(gòu)建數(shù)據(jù)安全態(tài)勢感知模塊，以實(shí)現(xiàn)數(shù)據(jù)安全事件發(fā)生時的及時告警與處置。

二、以“量化”理論應(yīng)對勒索攻擊的防護(hù)方案

1. 以檢測為主的數(shù)據(jù)安全量化實(shí)踐思路

檢測是數(shù)據(jù)安全量化的關(guān)鍵步驟。目前，部分單位已實(shí)施了數(shù)據(jù)安全治理的相關(guān)服務(wù)。然而，無論是政策、數(shù)據(jù)、業(yè)務(wù)還是攻擊的形式，都是完全動態(tài)的過程。數(shù)據(jù)安全治理過程往往缺乏時效性，當(dāng)上述任意環(huán)節(jié)發(fā)生變更時，數(shù)據(jù)安全治理的成果往往需要進(jìn)行相應(yīng)的調(diào)整。因此，本方案結(jié)合 ATT&CK 勒索攻擊模型和 ASA 架構(gòu)的勒索攻擊防護(hù)模型，假設(shè)了一種動態(tài)的檢測流程（如圖所示）。

圖 以防御為主題數(shù)據(jù)安全量化實(shí)踐思路

身份檢測。通過在業(yè)務(wù)訪問的多個關(guān)鍵環(huán)節(jié)建立檢測點(diǎn)來實(shí)現(xiàn)，主要針對用戶訪問業(yè)務(wù)的場景。在用戶加載操作系統(tǒng)前，可以采用可信根技術(shù)對用戶進(jìn)行身份鑒權(quán)。在啟動操作系統(tǒng)后，則可在用戶登錄時驗(yàn)證其身份。在用戶接入內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)前，應(yīng)設(shè)置準(zhǔn)入策略核查用戶的入網(wǎng)身份。在訪問業(yè)務(wù)應(yīng)用時，可通過業(yè)務(wù)內(nèi)置的權(quán)限管理或統(tǒng)一身份管理平臺對用戶身份進(jìn)行鑒權(quán)。身份檢測流程除上述認(rèn)證過程外，還可通過零信任建立統(tǒng)一基線，針對用戶鑒權(quán)后的操作進(jìn)行動態(tài)檢測，以發(fā)現(xiàn)并阻止非正常身份利用行為。

行為檢測。是針對被訪問客體的重要檢測措施，可在各類被訪問客體布置相應(yīng)的檢測措施，這些措施可表現(xiàn)為安全產(chǎn)品或訪問策略腳本。具體而言，可以針對 BIOS、操作系統(tǒng)、業(yè)務(wù)系統(tǒng)等部署行為檢測措施，并將身份按必要權(quán)限劃分為多個角色，為不同角色限定不同的操作權(quán)限。當(dāng)安全設(shè)備或檢測腳本檢測實(shí)際操作與基線偏離時，便會觸發(fā)阻斷操作并產(chǎn)生告警。

狀態(tài)檢測。是將所有業(yè)務(wù)涉及的主體與客體的運(yùn)行狀態(tài)作為檢測對象的檢測過程。主體在不同訪問流程中可表現(xiàn)為用戶、接口、應(yīng)用、計算資源等，所需的檢測流程將在這些關(guān)鍵位置部署。當(dāng)對用戶進(jìn)行狀態(tài)檢測時，將關(guān)注用戶的身份、權(quán)限、活躍狀態(tài)、請求地址等。當(dāng)對應(yīng)用進(jìn)行狀態(tài)檢測時，將關(guān)注應(yīng)用的軟件物料清單（SBOM）清單中各組件的版本、運(yùn)行性能及效率等信息。當(dāng)對計算資源進(jìn)行狀態(tài)監(jiān)測時，則將關(guān)注計算資源的 CPU、內(nèi)存、存儲和網(wǎng)絡(luò)等的占用情況。

2. 以防護(hù)為主的數(shù)據(jù)安全量化實(shí)踐思路

常規(guī)的網(wǎng)絡(luò)安全防護(hù)體系難以防御攻擊規(guī)則庫之外的威脅，也難以管控所有黑客可能入侵的攻擊途徑。針對此類情形，本方案提供的量化防護(hù)實(shí)踐思路將以零信任為中心，以持續(xù)全方位感知防御體系為基礎(chǔ)，以專項(xiàng)數(shù)據(jù)安全防護(hù)為底線，以業(yè)務(wù)映射為通用接口，構(gòu)建結(jié)構(gòu)化的動態(tài)感知防御體系。該體系可分為安全防護(hù)、安全加固、服務(wù)隱藏和數(shù)據(jù)加固四個部分。

安全防護(hù)。隨著信息系統(tǒng)網(wǎng)絡(luò)規(guī)模和業(yè)務(wù)類型的不斷更新擴(kuò)容，面臨的網(wǎng)絡(luò)安全風(fēng)險也逐漸多樣化。針對通用信息系統(tǒng)的防護(hù)措施總體可劃分為網(wǎng)絡(luò)安全防護(hù)、計算安全防護(hù)、存儲安全防護(hù)和管理安全防護(hù)。多數(shù)被勒索的企業(yè)已完成相關(guān)的安全防護(hù)建設(shè)，但勒索團(tuán)伙仍然能夠達(dá)到目標(biāo)，根據(jù)安全保護(hù)服務(wù)人員的現(xiàn)場調(diào)查，主要原因在于安全防護(hù)策略的不合理。大多數(shù)企業(yè)的安全防護(hù)以政策合規(guī)為最終目的，完成檢查評估后，往往缺乏對安全設(shè)備的運(yùn)營和維護(hù)。這導(dǎo)致安全設(shè)備威脅庫可能較為陳舊，或存在策略沖突而失效，給勒索團(tuán)伙的入侵留下了可乘之機(jī)。針對此類情形，可以部署統(tǒng)一策略管理平臺，定期進(jìn)行安全策略檢查，并執(zhí)行自動庫更新和策略下發(fā)等操作。同時，態(tài)勢感知系統(tǒng)能夠監(jiān)測信息系統(tǒng)中所有接入設(shè)備的運(yùn)行狀態(tài)，當(dāng)設(shè)備運(yùn)行異常時，及時告警并通知相關(guān)運(yùn)維管理人員及時維護(hù)，以動態(tài)且持續(xù)地保障整體信息安全防護(hù)體系的安全。

安全加固。通常基于安全檢測結(jié)果實(shí)施具體防護(hù)措施，這些檢測包括終端安全檢測、網(wǎng)絡(luò)安全檢測、計算環(huán)境安全檢測和數(shù)據(jù)安全檢測。大多數(shù)企業(yè)對大范圍全量的安全檢測較為抵觸，因?yàn)檫@些安全檢測可能會影響整體業(yè)務(wù)短期內(nèi)的正常運(yùn)行。此外，由于信息管理部門在企業(yè)內(nèi)部的話語權(quán)有限，這些檢測行為往往會被拒絕或未能按計劃完成，從而導(dǎo)致相應(yīng)的加固措施缺失，給系統(tǒng)帶來整體性風(fēng)險。

針對此類情形，可在現(xiàn)有的安全防護(hù)設(shè)備中配置基于人工智能的安全檢測引擎，設(shè)置定期檢測策略，并調(diào)低運(yùn)行時對整體信息系統(tǒng)的性能占用率?？蓪⒆詣訖z測策略調(diào)整為在夜間或非工作時間自動執(zhí)行，并為所有的檢測設(shè)備配置統(tǒng)一的日志收集地址進(jìn)行綜合整理，自動生成檢測報告和修改意見。最終，運(yùn)維人員可根據(jù)報告中的清單，對需要調(diào)整的環(huán)境按修改意見進(jìn)行加固。

服務(wù)隱藏。在常規(guī)狀態(tài)下，員工在企業(yè)內(nèi)部訪問的信息系統(tǒng)資源是有限的，每個角色都有不同的業(yè)務(wù)訪問清單。然而，普遍情況是企業(yè)未能提供分類分級的訪問策略組，而是采取簡單的地址段訪問策略，這為感染型勒索病毒在企業(yè)內(nèi)橫向移動提供了可乘之機(jī)。針對外網(wǎng)環(huán)境，在威脅情報平臺上也常能發(fā)現(xiàn)由于企業(yè)配置不當(dāng)，導(dǎo)致不該公開的業(yè)務(wù)系統(tǒng)暴露在公網(wǎng)。通過構(gòu)建零信任體系，可以同時滿足這兩種情形下的服務(wù)隱藏需求，即默認(rèn)服務(wù)完全不公開，只有在終端環(huán)境認(rèn)證和運(yùn)行環(huán)境認(rèn)證通過后，才能對業(yè)務(wù)進(jìn)行訪問。

數(shù)據(jù)加固。為了加強(qiáng)數(shù)據(jù)保護(hù)，可采取綜合的數(shù)據(jù)保護(hù)措施。在訪問數(shù)據(jù)的客戶端部署病毒查殺、網(wǎng)絡(luò)準(zhǔn)入、漏洞管理等基礎(chǔ)防護(hù)能力。同時，在數(shù)據(jù)備份邏輯中集成防病毒軟件，以保護(hù)網(wǎng)絡(luò)存儲設(shè)備中的數(shù)據(jù)免受惡意軟件侵害。本地備份應(yīng)具備安全快照功能，確保數(shù)據(jù)備份的完整性和可靠性，以便快速恢復(fù)數(shù)據(jù)。通過引入WORM（Write Once Read Many）技術(shù)，可實(shí)現(xiàn)數(shù)據(jù)和安全快照的雙重保護(hù)，防止數(shù)據(jù)被篡改或刪除。安全管理員需要識別可能受到勒索軟件威脅的數(shù)據(jù)源，并制定符合備份規(guī)則的策略，根據(jù)數(shù)據(jù)的重要程度和恢復(fù)需求，設(shè)定合適的數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)（RPO），以確保關(guān)鍵數(shù)據(jù)的定期備份和可靠恢復(fù)。通過綜合應(yīng)用這些數(shù)據(jù)保護(hù)技術(shù)，信息系統(tǒng)能夠有效抵御各種威脅風(fēng)險，確保數(shù)據(jù)安全可靠地存儲、傳輸和恢復(fù)，提高系統(tǒng)的安全性和穩(wěn)定性。

三、結(jié) 語

隨著數(shù)字化轉(zhuǎn)型的推進(jìn)，數(shù)據(jù)已成為關(guān)鍵的生產(chǎn)要素，其安全性對國家信息化發(fā)展至關(guān)重要。面對日益嚴(yán)峻的數(shù)據(jù)安全威脅，特別是勒索病毒攻擊，應(yīng)結(jié)合基于量化評估的綜合性檢測與防御策略進(jìn)行防護(hù)。通過對勒索病毒攻擊途徑的深入分析，可以有效識別包括漏洞入侵、惡意郵件、軟件注冊機(jī)等在內(nèi)的多種攻擊手段。同時，需要認(rèn)識到實(shí)際操作中可能會遇到的各種挑戰(zhàn)，包括技術(shù)實(shí)施的復(fù)雜性、資源限制以及安全策略的持續(xù)更新。因此，未來的工作需要進(jìn)一步驗(yàn)證這些策略在不同場景下的有效性，并探索如何更有效地將它們集成到現(xiàn)有的安全管理體系中。

（本文刊登于《中國信息安全》雜志2024年第8期）