《中国信息安全》刊登：基于量化指标的勒索攻击检测与防护方案

《中国信息安全》 2024年第8期

北京天融信网络安全技术有限公司

近年来，勒索攻击的手段不断演变，从最初的简单文件加密发展到现在的高级持续性威胁和供应链攻击，其复杂性和危害性持续增加。勒索载荷通过加壳、代码混淆和加密等手段可以越过基于规则的检测，而通过环境检测、运行多态、远程加载等方式也能越过基于基因检测和特征识别的防御手段。现有的网络安全防护手段难以对勒索攻击进行有效的检测和防御，防护效果微乎其微。

随着全球数字化进程的加速，越来越多的业务系统转向在线操作，这为勒索软件提供了更多的攻击目标。攻击者通过精心策划的攻击，不仅能够造成巨大的经济损失，还可能对公共服务和社会秩序造成严重影响。新兴的勒索攻击主要表现为四个新特点：攻击目的愈加复杂化、攻击对象日趋精准化、攻击主体日益专业化和攻击模式趋于多样化。勒索攻击目前已演变为全球性的安全问题，对全球生产与经济产生了重大负面影响。跟踪分析勒索攻击的新特点，研究针对性防范措施，已成为各国政府和企业普遍关注的长期议题。

一、勒索病毒防护的思考

在当前数字化环境中，勒索攻击呈现出越来越复杂和危险的趋势，对全球安全和经济稳定构成严重威胁。勒索软件的演变与网络安全防护手段的无法适应形成了严峻局面，需要我们加强警惕与应对。针对这一挑战，我们从一个新的维度出发，以“量化”为基本思路对勒索攻击各场景进行合理的发散，提出了一种新的防御思路。

常见的勒索防护手段主要集中在网络侧和终端侧的威胁检测与防御。然而，在勒索事件发生时，受害者往往并不缺乏相应的防护手段。尽管如此，许多经过较高规格网络安全检测的应用系统仍无法完全避免勒索攻击的侵害。目前，传统的分类算法在应对零日漏洞勒索病毒方面存在响应不及时的问题。尽管一些基于机器学习等算法的启发式检测工具不断涌现，但它们普遍存在局限性和滞后性，并不利于快速迭代。同时，勒索病毒的开发不断演进，采用了加壳、代码混淆、反沙盒、内存动态映射等策略，给防御勒索病毒带来了巨大挑战。

我们从漏洞、业务、权限和威胁情报四个风险暴露面综合考虑，而不仅仅局限于传统网络安全角度来考量数据勒索场景下的防护措施。“量化”是金融交易中常用的概念，旨在避免人类的主观缺陷。在网络安全防护手段的实施过程中，引入此概念也可有效减少由于人为因素带来的负面影响。

1. 基于暴露面的防护思路

针对暴露面的量化主要涉及漏洞暴露面、业务暴露面、权限暴露面和威胁情报暴露面。这些暴露面的评估将从内部和外部两个维度进行综合考量，以实现将数据所面临的勒索风险降至最低。

漏洞暴露面量化。基于漏洞暴露面的量化考量主要是为了降低由于漏洞利用而导致数据勒索发生的概率，主要可以从内部和外部两个维度进行量化。由于企业内部环境在互联网环境中属于不可直接感知的部分，但仍存在通过“内鬼”攻击、软件注册机等方式进行侵入的可能性。因此，针对企业环境的漏洞量化需完整覆盖企业的全部网络环境。量化体现在根据具体的量化评分采取对应的加固措施。除了常规的补丁加固外，还可通过固化操作环境，内部业务 SaaS 化改造和数据无感加密等方式进行业务组件的削减，从而降低漏洞暴露面。

业务暴露面量化。业务的暴露面包含公网（连接互联网的区域）环境和内网环境可访问业务的暴露面分析，这些暴露面可能包含邮件应用、文件应用、API 服务、业务应用、虚拟资源、网页应用、公众号和小程序应用等。当前，中大型企业面临的主要问题是无法精准梳理暴露资产。随着企业的快速扩张，外部资产往往无法得到全面发现与管理。业务暴露面的量化首先需要对资产进行梳理，明确资产台账及对应的负责人；其次，针对每项业务建立明确的业务基线，构建统一的感知体系。

权限暴露面量化。在企业中，员工可能具备多重身份，这些身份具备不同的访问和操作权限。中大型企业一般会建立统一的身份管理体系，但这些管理系统维护的内容通常仅限于业务本身，对员工使用各类权限执行其他类型操作缺乏审计和监管措施。这类需求一般通过 UEBA（用户实体行为分析）实现，但此类系统的监控范围有限。当员工通过不在监控清单内的非常规方式执行异常操作时，无法及时触发告警。因此，需要结合网络安全行为监控和用户实体行为监控两个维度进行综合监控。

威胁情报暴露面量化。当前，网络安全威胁情报平台市场已较为成熟，这些平台上具备了大量的威胁情报信息。企业获取与自身环境相关的情报信息一般有以下几种形式：一是威胁情报平台提供 API 接口，直接对接至企业态势感知平台或其他安全设备；二是采购情报服务，当发生与企业相关的威胁情报时，通过信息推送的方式告知企业的安全负责人。

在勒索事件发生的全生命周期内，来自威胁情报平台的信息主要用于勒索事件发生后的溯源。在预防方面，更需要的是数据安全威胁情报，如失陷主机清单、凭证泄露清单以及 RaaS 服务采购的订单数据。通过这些数据可与企业实际资产进行交集分析，从而预测企业发生勒索事件的概率并提前预防。

2. 基于身份的防护思路

基于身份的量化参考了零信任中“以身份为中心”的理念，将用户、设备和应用程序全部抽象为实际的身份。这样，对整体信息系统的量化便可简化为针对身份体系的量化。通过零信任体系“永不信任，始终验证”的建设，可有效避免勒索事件的发生，或阻止其进一步扩大。

3. 基于安全感知的防护思路

态势感知系统在整体安全防护体系中充当“安全大脑”的角色，企业管理人员可通过态势感知系统明确了解整体企业的资产状态和安全防护情况。然而，针对勒索事件，态势感知系统的感知能力存在一定的滞后性，往往在安全事件发生后才能产生相应的告警。这是由于态势感知体系中缺乏单独的数据感知模块，导致对勒索事件的感知和其他网络威胁感知处于同一层级。为避免这种情况，可以在态势感知系统中单独构建数据安全态势感知模块，以实现数据安全事件发生时的及时告警与处置。

二、以“量化”理论应对勒索攻击的防护方案

1. 以检测为主的数据安全量化实践思路

检测是数据安全量化的关键步骤。目前，部分单位已实施了数据安全治理的相关服务。然而，无论是政策、数据、业务还是攻击的形式，都是完全动态的过程。数据安全治理过程往往缺乏时效性，当上述任意环节发生变更时，数据安全治理的成果往往需要进行相应的调整。因此，本方案结合 ATT&CK 勒索攻击模型和 ASA 架构的勒索攻击防护模型，假设了一种动态的检测流程（如图所示）。

图 以防御为主题数据安全量化实践思路

身份检测。通过在业务访问的多个关键环节建立检测点来实现，主要针对用户访问业务的场景。在用户加载操作系统前，可以采用可信根技术对用户进行身份鉴权。在启动操作系统后，则可在用户登录时验证其身份。在用户接入内部网络或外部网络前，应设置准入策略核查用户的入网身份。在访问业务应用时，可通过业务内置的权限管理或统一身份管理平台对用户身份进行鉴权。身份检测流程除上述认证过程外，还可通过零信任建立统一基线，针对用户鉴权后的操作进行动态检测，以发现并阻止非正常身份利用行为。

行为检测。是针对被访问客体的重要检测措施，可在各类被访问客体布置相应的检测措施，这些措施可表现为安全产品或访问策略脚本。具体而言，可以针对 BIOS、操作系统、业务系统等部署行为检测措施，并将身份按必要权限划分为多个角色，为不同角色限定不同的操作权限。当安全设备或检测脚本检测实际操作与基线偏离时，便会触发阻断操作并产生告警。

状态检测。是将所有业务涉及的主体与客体的运行状态作为检测对象的检测过程。主体在不同访问流程中可表现为用户、接口、应用、计算资源等，所需的检测流程将在这些关键位置部署。当对用户进行状态检测时，将关注用户的身份、权限、活跃状态、请求地址等。当对应用进行状态检测时，将关注应用的软件物料清单（SBOM）清单中各组件的版本、运行性能及效率等信息。当对计算资源进行状态监测时，则将关注计算资源的 CPU、内存、存储和网络等的占用情况。

2. 以防护为主的数据安全量化实践思路

常规的网络安全防护体系难以防御攻击规则库之外的威胁，也难以管控所有黑客可能入侵的攻击途径。针对此类情形，本方案提供的量化防护实践思路将以零信任为中心，以持续全方位感知防御体系为基础，以专项数据安全防护为底线，以业务映射为通用接口，构建结构化的动态感知防御体系。该体系可分为安全防护、安全加固、服务隐藏和数据加固四个部分。

安全防护。随着信息系统网络规模和业务类型的不断更新扩容，面临的网络安全风险也逐渐多样化。针对通用信息系统的防护措施总体可划分为网络安全防护、计算安全防护、存储安全防护和管理安全防护。多数被勒索的企业已完成相关的安全防护建设，但勒索团伙仍然能够达到目标，根据安全保护服务人员的现场调查，主要原因在于安全防护策略的不合理。大多数企业的安全防护以政策合规为最终目的，完成检查评估后，往往缺乏对安全设备的运营和维护。这导致安全设备威胁库可能较为陈旧，或存在策略冲突而失效，给勒索团伙的入侵留下了可乘之机。针对此类情形，可以部署统一策略管理平台，定期进行安全策略检查，并执行自动库更新和策略下发等操作。同时，态势感知系统能够监测信息系统中所有接入设备的运行状态，当设备运行异常时，及时告警并通知相关运维管理人员及时维护，以动态且持续地保障整体信息安全防护体系的安全。

安全加固。通常基于安全检测结果实施具体防护措施，这些检测包括终端安全检测、网络安全检测、计算环境安全检测和数据安全检测。大多数企业对大范围全量的安全检测较为抵触，因为这些安全检测可能会影响整体业务短期内的正常运行。此外，由于信息管理部门在企业内部的话语权有限，这些检测行为往往会被拒绝或未能按计划完成，从而导致相应的加固措施缺失，给系统带来整体性风险。

针对此类情形，可在现有的安全防护设备中配置基于人工智能的安全检测引擎，设置定期检测策略，并调低运行时对整体信息系统的性能占用率。可将自动检测策略调整为在夜间或非工作时间自动执行，并为所有的检测设备配置统一的日志收集地址进行综合整理，自动生成检测报告和修改意见。最终，运维人员可根据报告中的清单，对需要调整的环境按修改意见进行加固。

服务隐藏。在常规状态下，员工在企业内部访问的信息系统资源是有限的，每个角色都有不同的业务访问清单。然而，普遍情况是企业未能提供分类分级的访问策略组，而是采取简单的地址段访问策略，这为感染型勒索病毒在企业内横向移动提供了可乘之机。针对外网环境，在威胁情报平台上也常能发现由于企业配置不当，导致不该公开的业务系统暴露在公网。通过构建零信任体系，可以同时满足这两种情形下的服务隐藏需求，即默认服务完全不公开，只有在终端环境认证和运行环境认证通过后，才能对业务进行访问。

数据加固。为了加强数据保护，可采取综合的数据保护措施。在访问数据的客户端部署病毒查杀、网络准入、漏洞管理等基础防护能力。同时，在数据备份逻辑中集成防病毒软件，以保护网络存储设备中的数据免受恶意软件侵害。本地备份应具备安全快照功能，确保数据备份的完整性和可靠性，以便快速恢复数据。通过引入WORM（Write Once Read Many）技术，可实现数据和安全快照的双重保护，防止数据被篡改或删除。安全管理员需要识别可能受到勒索软件威胁的数据源，并制定符合备份规则的策略，根据数据的重要程度和恢复需求，设定合适的数据恢复点目标（RPO），以确保关键数据的定期备份和可靠恢复。通过综合应用这些数据保护技术，信息系统能够有效抵御各种威胁风险，确保数据安全可靠地存储、传输和恢复，提高系统的安全性和稳定性。

三、结 语

随着数字化转型的推进，数据已成为关键的生产要素，其安全性对国家信息化发展至关重要。面对日益严峻的数据安全威胁，特别是勒索病毒攻击，应结合基于量化评估的综合性检测与防御策略进行防护。通过对勒索病毒攻击途径的深入分析，可以有效识别包括漏洞入侵、恶意邮件、软件注册机等在内的多种攻击手段。同时，需要认识到实际操作中可能会遇到的各种挑战，包括技术实施的复杂性、资源限制以及安全策略的持续更新。因此，未来的工作需要进一步验证这些策略在不同场景下的有效性，并探索如何更有效地将它们集成到现有的安全管理体系中。

（本文刊登于《中国信息安全》杂志2024年第8期）