对话「亚信安全」：现代勒索攻击团伙其实就是APT组织，单纯靠数据备份治标不治本

勒索软件已经成为最引人注目的安全威胁之一。全球威胁情报机构RiskIQ曾发布统计数据称，每1分钟就有6个单位遭到勒索攻击，每分钟因网络安全造成的损失高达180万美元，全年超过6万亿元人民币。因此，如何有效地保护和控制勒索软件也成为了一个话题。

关于这一话题，36Kr获悉，亚信安全近日专门召开了“全面勒索治理，即方舟计划”发布会。

在发布会中，亚信安全继续强调现代勒索攻击团伙实际上是APT组织。基于这一判断，亚信安全推出了方舟计划，希望通过这一计划并结合自身现有的产品和技术能力，帮助企业降低被勒索的风险。

会议期间，亚信安全介绍，勒索软件的“鼻祖”诞生于1989，但在互联网的“蛮荒”时代，攻击者尚未找到高效且“安全”的勒索方法。然而，经过几年的演变，勒索软件经历了与比特币支付方式的结合、与钓鱼邮件的结合、攻击目标转向大规模政府和企业、与蠕虫木马的结合、RaaS服务的出现、数据泄露和多次勒索等几个发展阶段。因此，无论从攻击形式、攻击技术还是勒索形式的角度来看，勒索病毒攻击和防御的矛盾游戏已经变得越来越激烈。

在这种情况下，亚信安全认为大量“堆叠”的安全产品和分散的安全检测技术无法与勒索软件竞争。合理的方式应该是参照与APT对抗的模式来应对勒索软件。

在具体逻辑上，亚信安全认为，现代勒索攻击的转型升级主要体现在打击模式、攻击目标和勒索手段上。

首先，勒索软件即服务的兴起使勒索的运作模式从传统的小规模团伙单打独斗转变为模块化、工业化和专业化的大规模团伙斗争，这导致勒索攻击的覆盖范围更广，危害程度显著增加；其次，勒索攻击的目标也从过去的蠕虫式攻击升级为针对政府、关键信息基础设施和各类企业的针对性攻击；此外，从勒索的角度来看，现代勒索攻击已经从支付赎金到恢复数据的传统勒索方法发展到同时进行双重勒索甚至三重勒索。

此外，亚信安全还认为勒索软件完全符合网络安全行业对APT组织的标准:

1。几乎所有的勒索攻击都是基于经济目的；

2.所有勒索攻击都是潜伏的、多阶段的持续攻击；

3.现代勒索攻击主要是针对企业组织的针对性攻击；

4.攻击勒索有多种方法，包括鱼叉攻击、商业化和定制的恶意软件、远程控制工具和利用漏洞。

同样按照这一思路，亚信安全为方舟治理提供了三大能力:

勒索体检中心:通过部署端点和网络探头，运营团队对勒索攻击进行全面调查和分析，帮助客户及早预防、发现、预警、判断和处置。最新的勒索威胁信息用于数据碰撞，以确认企业环境中是否存在勒索，并降低勒索攻击的风险。

全流程处理机制:亚信安全方舟覆盖管理和响应勒索软件攻击的全过程，并根据攻击状态协助用户建立勒索保护策略、勒索软件攻击的预先保护、识别和阻止勒索软件攻击的方法以及勒索软件攻击的应急响应。

现代勒索管理解决方案:基于亚信安全的XDR技术，现代勒索管理解决方案可以覆盖勒索病毒的攻击链，通过“事前预防、事中处理、事后扫雷”三大手段构建立体化、平台级的运营防护能力。

在具体落地上，亚信安全表示，目前行业用户已通过亚信安全勒索体检中心对IT环境进行了安全评估，并针对潜在的勒索威胁风险获取了安全治理方案和建议。同时，亚信安全还配备了覆盖全国3/kloc-0省市的服务网络。通过由安全服务工程师组成的本地团队和由云安全运营专家、病毒样本专家和威胁情报专家组成的总部团队，帮助企业确认环境中是否存在勒索行为。

发布会后，36Kr和其他媒体还与亚信安全首席R&D官吴向宁、亚信安全副总裁许和亚信安全副总裁刘正平讨论了勒索软件等话题。

以下是对话节选:

记者:APT攻击与现代勒索攻击没有本质区别。做出上述判断的理由是什么？这一判决对勒索治理有什么影响？

许叶莉:过去，我们所知道的APT基本上都是悄悄窃取数据的。窃取了所有数据后，我们没有发出声音，客户也不知道东西被盗了。这个时候为什么不发声？因为APT的目标不是让组织或企业立即付款，而是窃取技术，窃取客户，然后在获得这些数据后私下出售给竞争对手。

事实上，整个网络安全攻击造成的损害只有三种:一是窃取数据；第二，破坏企业的信息系统；第三，绑架信息系统中的这些主机或组件来使用它们并做坏事。那么现在的敲诈团伙其实和APT一样，背后的组织者也不亚于APT组织。勒索团伙还采用加盟的模式，在暗网形成成熟的商业模式。只要黑客或黑市从业者有一定的攻击能力，他们就可以加入勒索团伙一起干坏事。这些组织的行为与APT没有什么不同。此外，我们网络安全行业认可的APT组织不超过200家，有40多家APT组织，它们都参与了勒索攻击。所以APT组织本身和勒索团伙没什么区别，是一个等号。

那么将勒索团伙认定为APT组织的目的是什么？首先，我希望整个行业都意识到这种勒索攻击非常阴险且具有破坏性，每个人都应该对此引起足够的重视，而不是使用传统的反病毒或老式的保护手段。我们必须建立立体防御，我们必须有运营团队的参与，我们必须用真实的产品来分担客户的担忧，提前发现并及时阻止黑客的内网渗透，并将其逼退。这是第一部分。

在第二部分中，我们将其识别为APT组织，这实际上是一种意识上的进步，使整个网络安全行业可以共同努力应对广泛的勒索攻击趋势。网络安全仅靠一家公司无法解决所有问题。只有当整个行业对它有足够的了解并携手合作时，它才会有更好的结果。

最后，我们将其定性为APT组织，我们也希望监管部门意识到，实际上，勒索攻击的团伙也应该用APT的手段来处理，而不是简单的黑灰产小团队。

记者:演讲中提到了勒索软件攻击的六个步骤。前五步实际上更多的是关于亚信安全网关的检测和保护功能。那么在勒索软件的执行阶段，即在终端上执行时，亚信安全是如何被视为最后一道防线的呢？

刘正平:其实终端层面的能力需要在两个层面加强。一个是保护，也就是我们所说的传统杀毒软件，它是针对勒索的智能软件。例如，如果我们检测到异常的加密行为，我们可以直接阻止该进程。尽管黑客可能使用了一条路径来入侵系统，但他无法加密您的文件。

第二，在终端被黑客攻击后能够检测到它对您来说非常重要。黑客在丢下这个攻击武器时接受了测试。由于传统的病毒模式无法检测到，因此可以检测到的肯定是我们现在正在进行的端点EDR的能力。威胁情报部门发现了EDR，国际奥委会对其进行了匹配。检测出来后，我们需要快速分析样本，然后在沙盒中运行或在实验室中自动分析，这就是做出决定。有了这个机制，即使它被攻破了，我们也可以迅速做出反应来处理这个风险点。

许:在正常情况下，勒索攻击会试图破坏您的防御能力，例如捕获ID和破坏反病毒系统。假设勒索软件在破坏成功后被执行，那么处理这种情况的好方法真的不多。第一企业应加强自身备份能力的恢复，并增加平时的演练。但最重要的是我们能否及时发现并制止这种行为。这些确实是比较先进的东西。

记者:有人认为目前勒索后的数据恢复方法仍以备份为主。我想知道备份在方舟勒索威胁的治理中处于什么位置。

吴向宁:反勒索主要靠后援吗？我们认为，这件事的当务之急是追查这起勒索案的源头。

今天被勒索并不意味着有了备份，勒索的问题可以通过打开和解密数据来解决。这是一个临时解决方案。想想看，当你被勒索时，数据被泄露了。如果我们只是简单地恢复数据，我们还没有解决这次勒索中的数据泄露问题。同时还有一个问题，就是即使恢复了数据，下次不会被勒索吗？毕竟勒索的源头还没有找到。

所以我认为，如果我们认为数据备份可以防止勒索，这种观点是片面的甚至是不正确的。数据备份更多是防止敲诈勒索的必要补充手段。每个人都应该明白，如果有数据备份，当然恢复效率更高，但更重要的是事先保护这些数据不被泄露。同时，一旦被勒索，如何才能追根溯源尽快找到被攻击的漏洞。

我们现在看到，一旦你被勒索，就会有许多勒索接踵而至。如果你有备份，不支付赎金，在恢复之后，过不了多久（比特币交易量）就会遭遇第二次勒索，甚至第三次勒索，而且每次勒索的价格会越来越高。这些都是问题。

记者:方舟项目的主要目标客户群体有哪些？收费模式有哪些？

刘正平:方舟计划是一个体系，实际上包括我们的平台、产品和服务。我们将研究客户的业务场景，包括其当前的安全阶段、成熟度等。如果我们缺乏某些能力，我们应该帮助客户提高这方面的能力。因此，这个方案不可能是单一定价。我们应该为每个客户设计方案，只有在方案设计后才能有相应的价格。

记者:亚信安全实际上一直在谈论XDR系统，今天它发布了方舟计划。两者之间有什么关系？

吴向宁:过去两年，我们分别发布了XDR1。0和2。0。XDR1。0，我们讨论威胁感知、安全性和可操作性。后来，我们发布了XDR 2.0，其中谈到了威胁感知、安全和智能运维。我们今天发布了勒索保护计划，这是亚信安全在整个XDR中不断实践的重要表现，也是其能够更清楚地认识到（虚拟货币交易发展）威胁的重要表现。

比如我们把勒索分为九个阶段，这九个阶段有不同的特点，也就是一种认知。此外，我们提出了防范敲诈勒索的六个阶段，这也是一种认知。而且，我们还将这六个阶段的攻击步骤总结为72个检测点，确切地告诉客户如何防范以及在哪里防范，这也是认知的重要一步。从勒索的九个阶段，到攻击步骤的六个阶段，再到72个检测点，这些都是我们彻底实施XDR的整个概念的过程，威胁是可识别的。

今天方舟计划更大的内容是我们通过平台+产品+服务提供给客户。这个服务不仅有本地服务，还有远程服务，所以这其实是我们整个XDR 2.0落地的一些方式。

再拆开。平台+产品+服务中的平台就是我们的XDR平台。我们希望使整个安全，尤其是检测和响应的能力原子化。把这些原子能力放到我们端到端云网的所有产品中，最后汇聚到平台端进行统一的精准联动和精准排列。今天，亚信的安全产品是开放的，通过排列和联动实现自动化、智能化和云化。这个平台就是XDR的平台。

如今，这些国内客户有着不同的背景，比如能源和金融行业的头部企业，他们本身就有非常强大的安全运营能力，还有产品+平台+服务，可以做自己内部的整合。但是对于很多制造企业来说，没有整合资源的能力，在安全点上的投入也没有那么大。这类客户应该追求性价比，平衡投入和产出。所以现在我们有了基于云的、远程的、相对低成本和轻量级的运维，也就是托管运维。这也是我们希望能够让大量企业用户普遍受益的商业模式。

报告/反馈

注册有任何问题请添加 微信：MVIP619 拉你进入群

文章转载注明 网址：https://netpsp.com/?id=65951