防患于未然 消弭于无形 对抗勒索攻击的以始为终 ——《2022产业互联网安全十大趋势》安全系列研讨会原创

各位线上的嘉宾朋友们，大家下午好，欢迎大家来到由Co时代新基建创新研究院和腾讯安全联合打造的2022产业互联网安全十大趋势安全系列研讨会的线上会议室。我是本场研讨会的主持人，来自CIO时代的刘晶。那在上两期的研讨会中呢，我们与行业专家共同探讨了数据安全和您信任架构两大安全话题，也收到了我们嘉宾的广泛认同和极大的好评。感兴趣的朋友们呢，可以在我们COO时代的微信公众号上查看上两期节目的回放。那我们知道啊，随着全球数字化进程的不断推进，数据价值越发凸显，网络攻击攻防的双方啊，均围绕数据展开角力，其中呢，对数据强行加密的勒索手段成为最常用的攻击方式，给企业带来了机密数据泄露、系统瘫痪等重大危害。那本期研讨会呢，就将聚焦对抗勒索攻击的以始为终这一主题，与业界的专家共同探讨交流。

本次做客我们直播间的四位嘉宾啊，他们分别是来自北京赛博英杰科技有限公司创始人、董事长谭小生，小申总，中国信通院安全所数字产业部主任郑威，郑主任，上海交通大学网络空间安全学院高级讲师，IC上海分会主席施勇，腾讯安全总经理杨玉斌。四位嘉宾呢，将围绕勒索攻击的事前、事中和事后环节，探讨如何应对勒索攻击，为企业数字化转型保驾护航。我们知道啊，勒索攻击已经成为未来一段时间网络安全的主要威胁，它不仅隐蔽性强，而且危害显著，攻击路径、攻击目标具有多样化和多元化的特点。那么企业该如何应对勒索攻击呢？接下来就让我们首先有请来自北京赛博英杰科技有限公司创始人、董事长谭晓生，谭总将为我们带来用体系化作战思想应对勒索软件攻击的主题分享。有请谭总，您可以打开您的摄像头和麦来开始您的分享，谢谢。

好的，我要分享一下我的PPT啊，各位朋友下午好，呃，咱们今天下午来这个呃，探讨一下这关于勒索的这个攻击这方面的这个情况啊，其实呃勒索攻击呢，呃在呃最近这一波的这个勒索攻击引起我的重视大概是在1415。那时候是在360嘛，当时遇到各种各样的这种这个像C等这种软件的这样的，当时主要攻击的对象呢，还是个人消费者，是对相册呀，对文件进行加密，呃，而当时要求的这个赎金呢，也是价值大概呃两三千块钱人民币的这样的比特币。

当时这个勒索攻击出现了之后呢，我当时呃，就是看了一下，当时觉得这是一种完美的犯罪方式。因为当时的这个对比就是咱们可以对比的抢银行，银行的这种方式呢，在这个过去的这几年都已经比较比较少见到了，为什么呢？因为银满银。然后呢，这个被抓的可能压力很大，抓住之后呢，就差不多都要毙掉，那对于一个犯罪分子来说呢，它是属于成本高，然后呢，这个风险大的这么一个事情。然后呢，相对比的来看啊，我们来看这个勒索。勒索呢，当时他对于消费者的勒索还是撒大网，这个捕鱼的这种这种方式，他用这个木马的方式去不分这个呃目标的去广泛的撒网。

还是从捞到的这个客户来来讲啊，他每次就是要的钱又不是特别多，当时呢，我就给这个在我这实习的同学们讲，我说你这个呃，如果说你实习，你这个毕业的论文写了一半，然后被人勒索了，说找你要3000块钱人民币，你付费的这个意愿会。那最后的这个结果呢，是大部分人是愿意付费的，因为他不愿意自己码的字，那么长时间的这个东西就就白费了，那这种呢，当时呃，这这个时段的勒索呢，就是用这个广撒网这种方式，每个要的钱不多，然后呢，就有相当高的比例愿意愿意支付，而支付的方式呢，又是用这个数字货币，又是可以匿名的。那这种呢，其实犯罪分子被抓到的可能性就非常之小。那这样子就是从这种犯罪模式来讲，它是远优于抢银行的这个模式的。

我们再来看一下，再横向的去这个呃对比一下就是这种呃，这个呃和电信诈骗这个东西相比又是如何。电信诈骗呢，就是这是这些年呢，也是在中国呢，是一直比较肆虐的一种犯罪的活动啊，那么由台湾人为主导的这样一些这个犯罪团伙，然后呢，他也实现了高度的社会化的分工。那么呃，这个为了对抗的这种，呃这种犯罪呢，就是各地的公安机机关呢，都成立了大量的这种反诈中心，呃像最近呢，就是这今年的工作做的尤其是出色，当我们收到了国外的一个电话，然后哪怕你识别出来它是这个诈骗，然后给挂断了，很快的你就会收到警方的来电。等等，即使在这种的打击力度之下啊，他的这个呃电信呃这个诈骗的这个这件事儿呢，他还是没有能够彻底的刹住，为什么呢？那就是因为他诈骗一个用户，他可以能骗到从几十万到呃这数千万呢，这样的这个这个资金，那么他是在他的这个编排的这个剧本编排的如何精巧。

等能利用了人的心理这样的一种实现的，那么相对于这个来说啊，就是这个勒索攻击，它对于这个呃，人们的这个这个这个攻击来说，他还具备有更好的隐藏性，因为呢，比如对于电信诈骗呢，我们用打击水房的这种方式，就是可以让他的诈骗到的钱呢，最后是是转不出。因为它电信诈骗的时候，还涉及到有这个资金流，资金流呢是通过传统的银行。这本身呢，就是不是具备有匿名特性的，所以他在各地要雇大量的车手来去，呃，ATM机去取钱，就这种呢，就个能赃物要这具。

中间有一段时间呢，我们曾经和警方合作，就是来打击这个水房，曾经让这个，呃台湾的水呢，最后就是有把的这个方式，最后就不敢做了，因为他之前的这个模式呢，就是说这个如果我因钱这个取取不出来等等这样的他是赔的，他当利也比较。后来呢，在警方的仲裁打击之下呢，就让他的资金呢，有一部分会会转化不出去，即使在这种情况之下，他的这个就是呃，电信诈骗的这种活动呢，还能够是这个依然不下去，这种就以向的来比较啊，就说这个呃这种勒索这种情况就是会更难对付的一种情，呃一种这个危险。那么勒索呢，我们每年都做分析，每年看到的数字其实都是大概是这样的一种情况的，就是他要的这个赎金越来越高，这个主要是呢，它现在勒索的对象产生了这个改变。由过去勒索个人消费者逐渐的向勒索机构。

逐渐的就向勒索这个关键基础设施这方面在进步，像呃去年的colonial pipeline呢，这个被勒索，这次呢是呃确实让我们吃了一惊，因为呢，这个地方呢，就是犯罪呢，它其实和这个打击犯罪的之间，它是有一个平衡。就是当你这个就是做的不是太厉害的时候呢，就是这个，呃，执法机构对他的打击呢，可能也不会下那么大决心。但是像去年呢，像对colonial pipeline这样的这个攻击呢，最后确实是我觉得会触发一个这种呃国家级的这种力量，然后呢，对抗这样的呃，勒索这种团伙的这种情况，这个我不知道这个犯罪团伙是怎么想的啊，但是呢，我觉得这是对于犯罪团伙这个来说呢，他可能一次这个能够要到的赎金确实是量是高了，他去年要了将近5000万美金的这个比特币。

那但是呢，其实它会触发一个国家级对于他的呃，就是这个国家的运行的这个担忧，那这样呢，会加大犯罪对他的这种打击的这样的这种力度，那么这种呢，因为呃，勒索的这种对象的变化，勒索的这个目标越来越重要，那么他我们能看到他要求的赎金的这个额度每年都在涨。像我看到这个报告是2021年的，去年的，呃，这个勒索的赎金呢，普遍认为是在50，平均数在50多万美金。就这种，呃，这个情况，这个从原来的几千块人民币的这种，到了这个数百万人币的这个，这个勒索赎金，然后呢，每年就是被勒索的这些，呃呃，受害者所支付的赎金也都是在至少是百分之几十的速度在增长。可以说勒索攻击这件事情呢，就就确实是，如果当时看到之后那个判断说这是一种近乎完美的犯罪方式，他在我后面的话呢，肯定会这个这个越来越越越越普及，那么就到今天来看，这个势头依然没有刹住。

然后去年呢，这个勒索呢，又产生了一些新的变化的趋势，呃他最早呢，从勒索数据，就是你不给钱呢，我就不给你密钥，然后呃这样的就是呃来迫使用户来来支付赎金，去年呢，能看到的一个趋势呢，就是说我不仅仅是勒索数据，我还威胁公开你的数据。这个就叫name and shame name and shame就是我点名并且是辱你，那这这种的这个企业呢，他哪怕他的数据呃有备份等等这样的，但是他会担心呢，他的这个数据被被窃取，然后再被公开，可能会对他的客户会造成这个进一步的损失，对他的商誉也会造成损失，那这时候呢，他的平衡的这个筹码呢，就不仅仅是说我的业务停掉多长时间。对这个会造成多损，而会造成损户信的这样的，这这个造会投奔。

那么，呃。最新的又又有了一个态势，就是他还会配合像S攻击这种这种方法，那就是你恢复你的数据，OK，我还除了偷了你的数据，我公开你的数据，我还用地道攻击来迫迫使受害者来缴纳租金，那这种呢叫做这种双重勒索，这种方式，现在的双重勒索呢，已经变成了勒索攻击的主流。那这种呢，对于呃这个受害者来说呢，它是呃就是我们过去啊，就是在只有加密勒索的时候呢，他有这个用通过备份加强数据备份，通过备份数据来恢复等等这种方法来对抗呃勒索，那么现在用在公开数据再用工具等等这些方法的话呢，就是用了多种综合的手段来迫使用户来来。这是一个双重勒索的趋势。第二个趋势呢，是这个ras，所谓service勒索及服务这种这个呃日益的流行，那这种呢，它其实就是有一些呃服务商，他来生产这样的这个勒索软件，然后呢，还给你提供各种各样的服务，包括和呃受害者谈判的服务等等这样的这些这些东西，那现在呢，全世界比较流行的有十几个这样的service，这样的这种这个家族。

那他提供的这个服务呢，就是这样的，这个勒索攻击呢，变成了一条协同的产业链。而且呢，是通过互联网去进行的，这个协同的产业链，在早些年的时候我们就分析过，就是这种像呃这种木马的，为什么会在过去的十年多时间里面呢，就是有有非常大规模的流行，就是因为它是一个无头组织。他是用互联网的方式把这个这个攻击的这个产业链上的多个，呃组织呢就联系在一起，他做马的人，他就是这个去算传播木马的人，呃，然后呢，去做控制肉鸡，做去做攻击的人等等这些东西都是分离的，而且他们呢，是通过互联网协同，他们在物理世界中也并不知道对方是谁。

那这种呢，现在ransom of service这种呢，也就进入到了这种情况，而这十多个这样的勒索软件的家族呢，广泛的招募做勒索攻击的人，并且为他们提供这个更高效的工具，让他们能够去呃实施勒索攻击。那这样子的话呢，其实是让勒索的这样的变成了一个产业好。那么随着这个产业的这个呃，就是这个呃越来越呃越红火吧，然后呢，他呃能够呃赚到的钱也在越来越多，那这种攻击的手段呢，其实也在升级。今天的勒索攻击里面呢，使用零漏洞的这个比例越来越高。那么这种呢，也是一个就是这个呃，攻击的强度在呃进一步提高的这样的这种现实。

那么今天呢，在产业界对付勒索攻击的方法主要有哪些呢？就主要呢是第一个是呃，有终端安全软件的厂商纷纷的都提出来了它反勒索软件的功能，那这里面呢，他用的方法呢，就是有就用诱饵文件的方式。啊，这是这是有一一种是走这个路子，还有呢，第二种是走这个文件操作的行为监控这种方式，因为对于文件去进行加密操作的时候，你会要进行一些特定的一些操作，如果说我来监控的这个呃文件文件操作，然后呢，这样的就是其实和防病毒的原理是非常非常像的，然后他能够知道这个这个电脑中了这样的这个勒索软件，然后呢，我可以去对他去进行呃相应的这样的这种呃呃。比如说恢复，那这种呢，其实是对于文件的一种保护方式，它可以用一个类似箱的一种机制，那可以是让你对操文件的操作呢，最后它做到可以可以去进行呃，Robot可以做呃叫回滚，这这这种方式来来去进行，这个就是勒索的软件，勒索攻击的检测。

还有第三种的方式呢，是用访问权限控制。那这种呢，是你保护相应的文件文件夹，比如你设定若干种类型的文件，我是要要受保护的，那么如果你对这种文件呢，去进行操作呢，它就会进行这个执行程序上的这种验证，那这个或者执行的这个身份的验证，那用这种方法来这个防护，呃，勒索攻击。第四种方法呢，是用免疫的这种方法，这个和呃过去做杀毒的这个路子也还是呃一个路子，因为勒索软件呢，它要避免对于同一个文件进行重复的加密，那么这这种情况呢，它就会有一些特征的判定，那这种呢是呃把这个相应的特征判定呢给制上，然后呢，这种勒的软件呢，就不会去对这个去进行攻击了。还有呃最后一种的话呢，是通过这种呃比如有家公司叫conness，它其实呢是做的是这个在线的备份，就是呃我给你的文件呢，是做呃这种呃这种线上备份，然后呢，这种呢，如果说你呃呃如果说这个被勒索了，我可以通过备份来进行恢复，这是终端安安全厂商提供的反勒索软件的几种常见的做法，那么除此之外呢，还有数据备份已恢复的厂商，呃来做这样的这种这种这种呃这个方法，那是你不是了吗？那么我这个数据，如果说我给你留的有多个版本的备份，那我能及时的给你备在线上，或者说你线下的这个备份的这个集群，那么当你被勒索了之后呢，你只需要用暴力的把文件给恢复过来就就就可以了。

那这种做法的话，包括富士康做的一个对抗工业系统勒索的一个，呃，这个对抗的一个系统也也也是一样的，他把工业控制系统上面从这个系，呃，这个操作系统镜像就开，就开始做，那么一旦遇到攻击的话，他就做快速的力恢。

那么就这种呢，它能够就是比较快的去恢复呃这个系统，那其实呢，这种方法虽然粗暴，但是也是非常有效的一种方法，在这个只有用文件加密的方法进行这个攻击的情况之下，如果说这个客户在这个勒勒索攻击者要公开你的文件在辅助以B攻击，那这种的方法就就这个。效果就不是那么好。还有呢，有一部分厂商呢，是提供解密工具的，但是解密工具这件事儿呢，其实是越来越不靠谱，在早期的勒索软件呃出台的时候呢，它的因为呃一些程序写的还有问题，它就是存在有用呃这个就是呃用暴力暴力破解啊或等等这种方法去就进行数据恢复的方法，呃或者是有有它利用了一些这个技巧能够去恢复它的数据。这种呢，但是在今天这种情况呢，它这个这这么几年过来，就是勒索软件呢，也是在进步，那普遍的是用非对称密钥加密，那么它的这个呃，就是加密算法，或者是它的这工加密机制的这个也也越来越完善了，那这种方法呢，其实就是这个已经变成一个小众的一个呃情况了。

那么其实呢，就是在怎么样来有效的对抗勒索攻击的时候呢，就要做一个分析，它到底是什么样的，就是我们需要看用多大的劲。那其实呢，就是我认为今天的勒索攻击是一种极高Roy的犯罪。就像前面的对比的，它是比电信诈骗和这个比，呃，这种抢银行都是要这个回报比都要高很多的一个犯罪，这个犯罪绝没有可能是用数层面的攻击去能够去和他去对抗的，因为他呃这种呢，就是就是咱们在安全行业工作这么多年啊，你会知道人们对中对金钱的追求。其实呃是永无止境的，而且就是在嗯，我过去的老同事里面，就是从事了呃20多年的安全工作的这样的同事，呃他在谈起来，过去我们的一个小伙伴，呃后来出去其实做的也是类似于黑产这方面的东西，但是今天呢，他可以买豪宅。

这个拥有大批的豪车，在他家的地库里面停满了各种各样的豪车，可以这个呃，有香车美女等等，这些情况之下，大家去谈到的时候呢，其实都还是这个有更有艳羡之色吧，就是他还是很羡慕这样的人的，嗯，就就就是这种样子，就是那这种其实就让人看到就是金钱对人的诱惑。就是哪怕呃，就是在安全行业中，很多人呢，其实是既从事白的，也从事一些这个灰黑的这样的这个事情，那么就在拥有大量的金钱的诱惑的时候呢，很难让人去去不做坏事情。那这种情况呢，就是我们指望他会自然消退，呃，这个不太可能，除非有了比勒索攻击更挣钱的这样的犯罪模式出现，他才可能会这个，呃，这种这种犯罪模式才可能会，呃，这个会减少。

那么我们对抗它的手段就应该是什么，那对抗的手段呢，就是让它的LY变差。你包括过去这些年我们打击呃电信诈骗的时候用的方法，其实就是让犯罪分子的RO要变差，我们通过打击水房，让对方呢把钱黑了，但最后拿不走，拿不走水房拿不到钱呢，最终他的最终这个实施电信诈骗的人呢，他的钱他他也收不到。那么这种这是这是一种第二种的话呢，是让他失去人身自由，包括咱们国家就是在海外打击电信诈骗的活动，整飞机整飞机的把对方的犯罪分子，包括呃台湾人，呃在多说一句，就是呃电信诈骗这种呢，就刚开始他是用一些大陆的人出去去来打这些诈骗电话，后来呢，就是国内打击严了之后呢，他就逐渐的就开始就是只用台湾人来打这些诈骗电话，那利用在执法上的一些困难。

你比如我们把这个台湾人给这个抓，从海外抓回到这个大陆之后呢，这个在呃判刑啊等等这上面呢，其实还是会更加的慎重一些，这个会有这个呃证据固定，证据的采信等等这种问题，你怎么能确定说这个诈骗电话就是某某某打的这种呢？就是当时我们也和公安部合作做过一些项目，这等等这种事儿，那就这种呢，其实就是我们要让他失去人身自由。失去人身自由呢，这个情况呢，就是对于诈骗呢，对于呃勒索的这种情况呢，它是呃就是和诈骗情况是类似，其实往往也是跨国实行的，那这里面呢，就有这个呃，国际之间的呃，这种呃执法协作上的这种困难。因为像去年line这件事，最终呢，最后这个罪分子被抓，很多人是在罗斯，最终是由俄罗斯的执法机构去去去抓的，那这种呢，其实在国际之间的，呃，这个呃。

警察之间的合作呢，中间难度是非常之大的，但这件事儿呢，就是依然是要努力努力去做，至少在勒索针对于比如呃这个呃，关键基础设施了，这种勒索的这个领域内呢，就是国际上其实要展开这种协同，要共同去打击这个，但是在现在的国际的形势之下，你比如说乌克兰战争。那么这样呢，俄罗斯和美国呢，又掐得厉害，那么就这种事儿啊，你指望这个在警警方在要能联合的这个呃，行动它的难度就会更大，那这种呢，就是确确实是让犯罪分子失去人身自由，把他扔进监狱里，不管是一辈子还是多少年，那这个对他来说都是这个终极的一个威慑，因为对他来说是有命去挣钱，但是没有钱对于很多人来说，他也是会要去考虑的。还有这个在两这两者结合来说呢，其实我觉得就是呃，对于勒索的攻击的这种打击，要由国家的这种执法机构，要能够去下定打击电信诈骗更大的决心。

才能够有有可能去把。这个勒索攻击能够呃去呃，就是把他的势头能够去打下去。但是现在来看，我觉得对在击勒索这方面呢，国家还是远不去年击。就是能看到FBI的，后来在执法上面，像colonial pipeline就是FBI后来呃出手去又黑掉了，呃攻击者组织的这样的一个服务器，然后最后呃拿到了其中的比特币，他把的就一大半的比特币，最后还是追回来了，那等等的，就我们可以看到对方的执法机构呢，是有比较大的这个这些呃这个决心去做，那其实对于中国这这边来来讲呢，对于勒索的攻击。

对于警方就是肯定是要有更更多的重视，我觉得他的这种程度至少要比电信诈骗要更重视，要投入更多的资源，这样的话呢，才有可能能够去把这种犯罪的这个势头能够去打下去。这个所以首先从这个定位上来看，就是勒索攻击是一种什么类型的攻击，我觉得勒索攻击是仅次于国家级的PT的一种强度的攻击。他的资源不是近乎无限，它是这个有非是非常挣钱，能让他驱动它能够去去这个去花很大的代价去买0DAY，去这个就是去雇高手来去做这个攻击。这就像这个早些年我在320招这个安全人员的时候，当时遇到的是什么人和我们抢人呢？他是黑产和我们抢人。因为当时我们应届毕业生能给到几十万的年薪，而黑产呢，当时对于应届生中优秀的人呢，动不动就能给到百万年薪。那就这种呢，就是这个做白道的就是和黑道的去去去抢人，如果说你不是能够有这个呃，这个这个其他的辅助的，让让这个他失去人身自由啊等等这种威胁去的话啊，这种是非常难以竞争的，因为很多优秀的安全人员是会被这个黑产所吸引去的。

那么这种呢，就是下面来细说，就是我们的如何去做这个体系化作战，第一个呢，就是要降低勒索者的收益。勒勒索者的收益，那怎么办呢？就第一个呢，就是加大的成本，你就像电信诈骗，我们让他这个呃这种一个呢，是他呃这种呃，就电话一落地了之后，咱们警方的电话直接就跟上了啊，降低他的这个犯罪的成功的比例。第二个呢，是在他这个呃，资金的回转的过程之中，我们通过打击水房啊这种方式呢，能够让他的钱呢转不出去，就让他收收入呢，就会会这个降低，那相对他的这个呃，这个犯罪的成成功率它又下降了，那就是我们就是降低他的收益，然后呢，抬高他的成本，实际上他RO变差。

那这种这种方法还有一种呢，就是像呃，就是FBI去年干的，这次我觉得干的非常漂亮。就是让这个就是追踪加密数据的这个加密货币。从而呢，让这些这个钱呢，他让他这个挣着走，最后最后他就是花花就是呃，没办法真正的拿走。那这种呢，其实呃，咱们现在呢，过去这些年呢，就是公司或者警方对于比特币的这个，呃，在区块链上的这种转账记录啊，等等这些东西都有追踪。那这种呢，就是长久以往，它其实呢，也会是让比特币的匿名的交易的，这些情况呢，其实也能够得到一定程度的，这个就和现实世界的对照。这两种方法是这个，呃，是体系化作战的一种，就是我们叫降低勒索攻击的这个RO。

现在呢，就是ras这种勒索及攻击的这十几个家族，他呢是就是呃，大大的降低了做勒索攻击的门槛，那这种情况怎么办？那就是集中力量打掉这这十几个RSS运营商。如果我们拿出来这个PT的这样的这个这些这些经历去，那这些对方的这个犯罪分子呢，即使他再专业，但如果说对这个就是乎家的这样的这种呃的这能力的时呢，也是会有疏忽，会暴露自己一。把这个罪从批勒这个，呃，暂时就是减少它的这个工具和系统的这个供应。

那这样的一个手段，那这个呢，其实就是需要加大执法的力度，要开展全球警方的协同，开展政府和民间的合作，就是警方和安全公司的合作啊，全球警方的合作。那这种呢，就是要求这个呃就是这种在呃一八年的时候，当时去美国参加呃一个闭门的呃智库的一个会议，呃和美国的一些官方的人员也聊过，那么其实因为意识形态的问题。就是在呃，网络空间的安全上面呢，就是做中美之间的合作是比较困难，但当时呢，我们就出来，那么在打击网络犯罪方面是不是可以，呃，就是我们先抛开意识形态的，其他的国家安全的这样这个这个来来来讲，我们就是纯粹从能够大家都能够达成共识的，这是网络网络犯罪。那这种情况下能不能去开展更多的合作这个方面呢？我觉得依然是这个要继续去努力的，不管中美之间的这个这个其他方面的斗争会怎么样，但是呢，在全球的执法力度上，对于网络犯罪的这个打击。

这个是可以呃去呃合作的，尤其是相对于勒索这种针对于关键基础设施的这些勒索这种的，这个更是需要这种执法上的合作。还有一个呢，是其实是云管边端的协同的防御，那么今天呢，就是我们说勒索攻击是一个近乎于强度是仅次于apt的这样的攻击。我们可以看apt攻击过去式用的是什么样的这个呃方法，攻击者用的什么方法。他是无所不用其极的。那么是不管是这个作为呃钓鱼这种这个呃社工的这样的攻击，还是利用N倍的漏洞，还是利用这个零的漏洞，不管是对于客户端的攻击，还是对于服务器的攻击，还是对于呃应用层面的攻击，甚至用后门类型的攻击，这些呢，其实都会采用。

那么对于勒索攻击来讲啊，它这个呃，因为它的收益足够高，那么其实刚才说的这若干种攻击方式在里面都会碰到，我们防御的不仅仅是端。我们防御的也有服务器，也有各种这个安全设备本身的漏洞，也有各种各样的这种社会工程攻击的等等这样的这种方法，那其实这种情况呢，其实对抗勒索攻击就几乎是等同于。咱们的整个的网络安全，所以这个勒索攻击我觉得特别难对付，它不能当做一个单一的某种这个，呃，这个具体的攻击的方式来来做，它是一个就从任何一个方向来，他他的目的是达到达到某个目的，达到这个目的呢，他对他来说呢，就是它是可以用任何的手段的。我们呢，这时候呢，在现在能看到云管边端。这里面我还没收到新。收到片，那么今天的安全其实云管端都要，但是今天看这个索呢，还是呃这个络，呃边缘计算和在终端这个四个层面呢，要做协同联动，共同来去对抗勒索攻击，那这里面呢，有勒索威胁的情报的共享。

那么对于边界安全设备呢，它这个就是刚才前面看到了，我们看到现在比较多的抗抖索的这个，呃东西呢，是由于终端安全的厂商，他在在在在做，那么其实呢，在边界的设备上面，我们是不是可以去扩充呃这个呃利用威胁情报来阻断勒索攻击的这样的这种这种可能。还有抗呃勒索攻击的这个软件的也呃这个终端上的这种软件呢，它应该是一个把抗勒索攻击呢，当做一个必备的功能，而不是现在做终端安全的，中间有一些厂商在提供这个索的这样的这种攻击。呃。再者的方法呢，就是我们在过去在攻防里面也常用的就是用兵不厌诈的这些方法，要设置各种各样的。

这个人蜜罐的这个设定呢，就是针对于是呃，我能够其实最主要的呃，这个作用呢，是能够零误报的，能够知道对方的攻击来了。那么还有一个呢，是他设定了加量的大量的假目标，能够去分散呃攻击者的这样的注意力。那这种方法呢，我觉得是在这个就是勒对抗勒索的工具中间也应该会采用的。对于广大的中小企业，其实你让他去采购各种各样的防勒索的这样的这个服务，呃，防勒索的工具，这个其实是不太现实的，你让他买了这个工具，他真的能不能很好的用起来也是问题。那这里面呢，就是这个，呃，是我一贯的一个思想，是要通过在线服务来为中小这个为广大的中小企业提供抗勒索的攻击。这里面呢，就是在二一我们看到了比较好的态势，比如像这个信也在推的M服务，像启，像这个呃前信呃，像这个呃安恒都在做MSS服务，但他的这个客户呢，这个客户群还不太一样。

就是在未来的呃，在整个广大中小企业做数字化转型的时候，它的呃抗勒索攻击服务和它的其他的安全服务，我觉得最终都是应该通过secret the service，通过在线的云安全服务的这种形式来提供。这种呢，才能够让用户呢，才花最少的钱，就能够把安全这件事儿呢，做到相对来说比较好。那他们为什么要关心这个勒索问题呢？主要是这些中小企业呢，它呃呃一个呢是如果比如生产型企业吧，现在生产制造的它的呃自动化程度越来越高，我觉得下面一个就是勒索攻击的重点应该是对于各种各样的这个工业互联网的这样的设施。

因为呢，因为各种各样的这个历史的原因吧，它的工业控制系统，它的安全漏洞是比较多的，而且现在的它的工业系统安全护的这些东西，防火墙I。等等这些东西，我觉得其实还是这个实用性还比较差。即使用户买了，他也很难能够去去去搞得好，那么是这种情况呢，就是会有大量的生产制造型企业，它已经进入到数字化的这个呃制造的这样的时代了，但是它的安全能力还差很多。那这种情况呢，我觉得是最终是要通过让他少操心他的这个呃，企业的主要的还是做好他自己本身呃的的业务，那么他的安全的这事呢，应该由专家来负责去帮他搞定。还有一个是呃，网络勒索险，勒索险呢，这个呢，美国这边呢，已经有了相应的实践，但是说它的利与弊呢，利它确实能够降低呃被勒索者的这个损失。

但是呃，弊端的话也很大，因为呢，有勒索险的发生之后呢，呃，勒索的这个索取的赎金也在也在增加。因为呢，他觉得这个钱有有人出了，就是会更利索的付钱，那就这样的他勒索的攻击这个这个这个问题呢，就怎么解我还不太清楚，但是觉得呢，对于呃这个勒索来说，这个呃这种呃用保险的方式去做的一个一款救济，这还是有有常有的，有它的价值。那最后呢，是。其实是提高人的意识，还是说人人为我，我为人人要做好安全意识教育，来树立勒索攻击的人防的公式。好，谢谢大家。感谢谭总的精彩分享，从国家层面，企业的层面，同时不同呃，规模的企业，从大企啊，中小企业等等各方面都给了我们用细化作战思想来应对勒索攻击的这样一个分享，那稍后呢，也邀请谭总在我们的对话的环节来继续您的精彩的分享，好，再次感谢。

那我们知道啊，随着虚拟货币的兴起，利用虚拟货币恶意挖矿呢已经成为网络安全中的常见威胁，企业应该如何防范恶意挖矿行为呢？接下来就让我们有请到来自中国信通院安全所数字产业部主任郑威，郑主任呢为我们带来虚拟货币恶意挖矿的安全风险分析的主题演讲，欢迎郑主任，您打开摄像头和麦就可以开始您的分讲。好，呃，谢谢主持人啊，谢谢各位领导，嘉宾啊，大家下午好啊，我是新通源安全所的郑威啊，非常荣幸啊，有一个报告的机会。呃，刚刚其实这个唐校长已经讲的非常的完整了哈，我就基于这个小陈总这个这个大的背景的介绍，然后向大家报告一个关于虚拟货币恶意挖矿的这样的一个场景。

那么近年这个恶意挖矿已经成为这个网络中常见的威胁类型，那么这类的威胁类型呢？具有良好的隐蔽性和非化非破坏性的特点，那么目的呢？是为了感染并长期驻留在用户的设备上。那么通过侵占设备计算资源来挖掘加密货币，那么尤其是加密货币的这个水涨船高啊，那么货币价值越来越呃诱人，那么收益性又非常的这个。引发这个黑灰场等产业链的一个总体的一个效应哈，那么从而成为了这个网络犯罪的首选啊，那么我今天向大家报告呢，这个。主要的内容分为了五个部分。那么先是总体的背景。那么然后是态势的分析，以及是具体风险的研究啊，然后面的一些内容是包括保护的一些思路以及对策的建议。那首先是这个顶层设计以及相关的政策背景，那么从国内来看，这个定性与定调离，呃，包括从去年的这个时候，比国家总理呃发布的这个呃一些一些关于顶层的一些呃指导要求，包括要求打击。

这个。比特币挖矿和交易的一些行为来防范。这个。总体的金融风险，以及多部委联合发布的关于整治虚拟货币外放活动的一些通知，还包括央行与前段时间公布的关于经一步防范和处置虚拟货币交易炒作风险的通知等等，这都为我们做总体的虚拟货币挖矿、相关的安全防护与相关的安全治理工作奠定了坚实的政策的基础。那么有几个简易的概念啊，现在报告一下。整个这个呃，虚拟画画。

这个其实就像是解一道数学题，那么通过这个破解数学的答案就可以获得对应的数字货币的奖励，那么挖呢，实际上就是对计算资源呃求解，并且验证数字的猜想的过程。那么快其实就是指某种这个数字的货币。那包括这个具体的矿机啊，其实指的就是运行挖矿程序的计算机服务器的设备，还包括矿池啊，其实就是挖矿的集合池，可以将全球的算力资源集合到一起进行挖矿，那么从而大大的提升这个挖矿的效率。那什么是恶意挖矿呢？其实指的就是在未经用户同意或者知情的情况下，来使用设备呃，计算机呃、智能的手机、平板电脑或者服务器等等来挖掘加密的货币，并以隐藏呃这种不易察觉的方式使其计算设备的计算资源的行为。那这个挟持系统呢的过程，其实就是这个加密挟持的过程，也是通常大家称道的这个恶遗忘患的过程。

虚拟货币的定义和特点，呃，其实早在这个一四年，呃，这个欧洲银行的管理局就对虚拟货币进行了定义，那么指的是呃，价值的一种数字表达。它并不是由这个中央银行或者公共的权威机构发行的，也不是由某一个特定的呃，法定货币。所所挂钩，那么他但是呢，被自然人或者法人接受，用于支付的这种手段啊，可以用于电子化的这种转移储偿或者交易，那么截止呃，去年的11月份，那么全球的加币或。亿的种类超过了9000种，那么其总市值呢，也达到了2.7万亿元，万亿美元，那么而且呢，还处在不断的增长的过程中，那么以比特币为代表的虚拟货币主要的特征其实就包括了采用以加密算法为核心的区块链的技术，那包括了这种呃，在去中心化的网络中运行，不受任何中心化机制构所控制的这样的一个特性，那么同时呢，可以用来购买各种的商品服务。

那么与法定的货币双向的对话，那么也是基于这样的去中心化的一些特点，那么确实呢，它在黑灰场领域有非常广泛的一个这种这种灵活的应用。常见的虚拟货币，那呃包括了比特币，狗狗币，还有莱特币等等啊，那么呃，这个不同类型的货币呢，呃也在不同的市场上在快速的流通，那也引发了一些不同监管层面的一些关注。恶意挖矿活动。呃，恶意挖矿活动，那其实呢，通常情况下，整体的恶意挖矿就都与设备的感染挖矿木马有关系，那么主要呢，可能分为这几个方向的一些风险，那包括了政企内部的人员，他自主去挖矿，那还包括一些终端的设备感染了挖矿的不满，那还包括网站的页面存在一些挖矿的脚本。

那笔机服务器呢，可能。准备。植入了这个。画面。他换的一个工作的方式。那我们通过一些基本的技术分析呢，呃，初步研判下来，这个主要是分为这两种，一种是基于浏览器的驱动式的这种页面的挖矿，那另一种呢，是这个二进制文件的这种恶意挖矿。怎么来判断这个感染万花木马的一个迹象呢？那从很简单的用户来看呢，包括了这个设备性能的下降，包括性呃设备的过热，包括处理器存储器的这种使用资源率的飙升，还包括设备能源的这个损耗加速等等啊这个都是。

呃，在经历了这个恶意包换以后的一些表征的一些行一一些外在的一些，呃，外化表现哈。呃，后面重点跟大家报告一下这个，呃，国内的呃。虚拟货币恶意挖矿的一些态势分析，那么过去呢，我们也是针对这个2021年整个自然年度做了一些相关的数据一些监测啊，那我们这个以这个20121年第四季度为例，那包括了这个全球设计挖矿主机的通信行为统计约为。呃，1309亿次，那么共涉及1072万个挖矿的IP，那么其中呢，将近这个80%的IP地址，这都是位于我国境内的。那么对境内的挖矿主机的IP分析中来看，那归属在广东呃，江苏，浙江等省份的这个挖矿主机的IP，呃相对占比较高，那么相对而言呢，从这个呃总体分布上来看呢，我国的31个省市景区存在一定的挖矿的行为，呃，需要引起我们的一些重点关注。

那么以第四季度为例呢，全球的矿值的服务呢，其实共涉及到了585万个挖矿的IP，那么其中呢，26.10%，呃，这个总体的IP的地址呢，是在我国的，呃，境内的，这个是从这个矿石资源分布来看。那么在境内的挖矿主机IP当中呢，归属于像广东，北京，江苏相对发达的省份的这样的一个挖矿主机，呃，占比也相对较高。那么总体上来看，呃，我国境内的这个挖矿主机的通信的活跃度非常的高，那挖矿的问题呢？呃，非常严峻，那另一方面呢，虽然大量的矿石存在于海外，但是我国矿石的部署占有量也不容小视。

整体的这个矿池的不断增长，对于这个资源的损耗的问题也带来一定的挑战。呃，通常情况下，这个攻击者其实是处于经济的这个动机啊，才会进行恶意挖矿的一些活动，那因为矿机这个挖矿本身是一个非常有利可图的业务啊，就跟刚刚这个小任总谈到的，那其实可能很多从事于这种黑灰叉。的这样的一个空间的一些安全从业者，他的这个收益是非常丰厚的，那么与勒索软件、网络犯罪的业务相比呢？恶意外矿的业务，它的攻击成本其实更低啊，且更易于实施，它的这个收益啊，是直接可见啊，一定意义上呢，它单靠个人其实就可以完成整个攻击的过程，那么这个整个呢，也会导致这个虚拟货币的恶意外放的业务呢，在黑灰船领域会备受青睐，也是这两年呃，非常火的一些这种呃。

类似于这种勒索攻击的一些，呃。安全领域的一些，呃，非法的业务工作。那么从包发木马的常见感染的方式上来看啊，我们统计为这么几大类啊。比如第一类是这种呃，钓鱼邮件类的传播，那么攻击者可能伪造各类的邮件，那么通过附件来传播恶意软件啊，那导致这样的一个病毒的感染，那通过一些呃，可执行的这种脚本来横向的渗透入这个网络。那么从而呢，为这个部署挖矿程序，进行这个作业啊。那么第二个部分呢，其实是包括了这种像网页和浏览器的插件的传播，呃，通常会在一些呃，色情网站啊，或者在线赌博等非法的网站上嵌入一些网页挖矿的一些脚本，那么用户在进行访问的时候呢，就会进行相应的一些挖矿的操作。那还以及包括了这种软件捆绑的下载传播啊，尤其是去去搜索一些类似于这种破解软件啊，激活软件，游戏外挂等等盗版软件的时候。

那其实呢，会经常呃，有这样的一个感染木马的呃，捆板下载，那但也包括了这种。呃，僵尸网络的一些传播啊，当然也还有包括传统的基于网络安全的这种，包括呃，漏洞的一些传播等等。那以及呢，现在新型的传播领域方向呢，还有包括供应链的一些感染。嗯。那还包括了这种云容器的一些传播，包括移动存储介质的一些传播，那其实这些呃，基于挖矿木马的常见感染方式，这个和勒索病毒，还有一些常见的网络安全病毒的感染方式是呃非常接近的，只是说在应用的场景方向上有一些不同。那我们简易做了一些技术上的分析，那么整个包括木马漏洞利用的流程上啊，也是包括了这种通过已知漏洞来获得这个相应主机的控制权啊，也包括下载远程的挖矿的脚本，然后呢，可能他也会去删除本机中已经存在的一些其他外矿的一些进程，那这个也就类似到黑车黑的这样的一个。

呃逻辑，那么从而生成自己特征文件，那么并避免了去去重复的感染，那么判断主机的这种系统的类型，然后进而隐藏自己的挖矿脚本，那么如果有GPU呢，则会进行GPU的一些呃挖矿，那么挖矿的进程的驻留以及呃持续性的一种呃持久化。那么呃，在利用。当前外方的一些主机作为跳板在本机上啊，会有更长时间的一些驻留。总体的这个恶意挖矿的，呃，趋势上来看，呃，一个是虚拟货币的价格激增，那么各种的这种呃手段都是为了来提升这样外放的效率，那其实还是为了经济的收益性。

那么包括黑吃黑，包括黑船的组织去不断的争夺不同的文化的资源，呃，这也是现在在市场上呃，表现出来的一个一个非常明显的一个趋势。那么从基础的角度来看呢，那常见的手法黑车黑理可能包括了这么几种，那包括了他去，呃，第一步呢，首先会备置相应的IP的筛选器来阻止竞争对手，呃，像指定的矿石IP地址，呃，发起这样的PCB的连接，那么第二步呢，它会删除竞争对手的外换进程。那么将相应的进程和正在使用的IP添加到黑名单来禁止其进程运行或者发起网络的连接。那么第三步呢，会修复访问的控制的权限漏洞，来防止系统感染其他的恶意软件。那么同时呢，最后一步它会删除竞争对手呃添加的一些呃驻留的手段，那比如注册表啊，提供服务呃，计划任务等等，那么这种呃，黑吃黑，或者说黑糖组织中争夺挖矿资源的这种情况，在物联网上其实也是经常发生的，那么因为总体的在网设备的数量，呃，这几年的增量其实是有限的。

那么呃，通常情况下也发生过多克挖矿的家族去同步的去感染啊同一批类型设备的这种情况，那么最终呢，只有这个技术更为高明的一方，可能才能够呃，长久存活下来。啊，因为如果你不清楚对方的一些这个文化的不满，那可能就会被对方清除，那么这种同行竞争的情况呢，一定意义上在这样的一个呃，经济利益驱使下，也成为黑灰场的一个趋势。那么还有一种非常，呃值得我们关注的点在于，呃，现在一些这个恶意用户啊，他现在已经盯上了这个工业控制系统。因为传统的BC机还包括移动设备作为外换工具，它的性能和这种高处器的这种能力与工业控制系统相比呢，确实还存在一定的呃差距，那么尤其的公共系统其实存在很多呃未达补丁啊，或者是这种信息系统的这种落后性的一些问题，版本可能相对较弱，那么基本上我们从呃一七年开始在关注这种工业控制系统时，我们就会发现，近几年它的针对工业控制系统相关的挖矿攻击其实一直是处于上升的趋势。

啊，因为工厂是一个呃非常诱人非常诱人的目标哈，它的很多传统的机械的操作啊，它都不需要耗费大量的这种呃处理的能力，但由于呢，这个工厂本身就是耗电量的大户，那么这个就使得呢，挖掘的恶意软件呃能够通过掩盖其CPU的GPU的一些功耗啊能这个这个这个有更好的这个隐蔽性的一个一个。

呃，状态，所以呢，工业控制系统。进行恶意挖矿的这种趋势也会越来越凸显出来。呃，然后第三大部分是跟大家报告一下这个总体的一些风险分析，那么从这个能源损耗上来看，这个挖矿的活动呢，其实是需要通过专用的矿机计算，那么会导致电力资源的大量的损耗，那么这总体上来看，对于也于国内提出的这种碳达峰，碳中和以及高质量发展的这个目标背道背道而驰，呃，损耗了这个呃电量部分。那么虚拟货币的这个恶意挖矿呢，也对正常的经济活动有呃，非常重要的一个影响啊，那其实包括了一些呃，洗钱的行为，黑灰船的一些交易等等，那么从国内的这个定性的角度呢，呃，其实已经对这种虚拟货币的这种交易，已经炒作的一些风险，那么做了一些顶层设计上的一些治理上的一些定调。

那么尤其这种虚拟货币啊，它基于这种去中心化啊，盈利的这种交易，以及缺乏内在的这种这种稳定性的这种这种。呃，特点呢啊，他其实为这种非法的这种跨境的资产转移，勒索洗钱，金融传销等等的违法犯罪活动提供了这样的一个渠道，那一定意义上呢，这个是对国内的这种综合的经济管理制度是带来了非常大的冲击与挑战啊，其实包括勒索病毒啊，就基本上交易的这个这个。部分就是这个都是通过类似于比特币啊，或者这种虚拟货币来进行的啊。这个呢，从根本上对正常的经济秩序呢，也是一个扰乱。那么从这个网络安全风险的角度来看呢，那因为它的这个呃。经济的驱动性，那么如果感染了这个虚拟货币恶意外矿的一些木马，那么整理也是相应的一些主机或者服务器已经受到了黑客的入侵，那么并且被植入了挖矿的木马等恶意的程序，那么在开展挖矿攻击的同时呢，也可能进一步的导致相关的受感染者的一些数据泄露啊，包括呃，勒索病毒，包括拒绝服务等等一系列的一些网络攻击，那么从而带来连锁的网络安全的风险隐患。

对企业与个人而言，呃，整个挖矿的这种活动呢，其实它是损耗了设备的一些资源，加速了设备的老化，那么对于大型的企业而言，本身也是一个经济的损失，包括这种可能潜在的业务中断啊，数据泄露啊，等级化的一些风险啊。啊，也包括了在这种这种近两年这个GPU的一些市场上面呢，可能很多这个二手商贩也好，还推高了一些显卡一些销售一些价格等等，那这些都是给企业个人带来一定的一种经济的一些损失。

呃，防护的思路，呃，这个从这个防范。呃，勒索病毒的角度，或者说防范虚拟货币恶意挖矿木马的角度呢？呃，我们总体梳理了这么样的一个一个挖矿治理的一个流程，或者一些逻辑来供大家参考啊，包括去做这个识别的检测，去做这个呃分析的处置，包括去做这个溯源的定位，还包括做持续的运营啊，这个都可以作为我们在这种面向企业级或者面向这种，呃。组织机构的一些安全管理的一些思。那么在这个食品检测方面啊，可以更多的关注到挖矿的协议啊，挖矿的特征，挖矿的情报，来用于识别与检测挖矿相关的一些事件。那么在分析处置的这些环节呢？我们可以根据包括事件进行。呃，分级呃来对文化世界进行抑制，那从而联动相关的一些安全设备进行呃响应与处置，那么在溯源定位方面呢，可以结合一些大数据关联的一些技术去定位威胁扩散的情况，来实现攻击的一些溯源，那么以及同时呢，结合一些企业内已有的一些安全设备或一些安全资产管控的。

运营的中心来定期做资产的盘点，去核查基线啊，更新相应的漏洞，修复漏洞，来优化策略，来做统一的这样一个总体安全的保护。从识别检测的角度，呃，那我们也会重点的来进行说，包括从呃DNS的检测防御的一些系统来做呃这种这种统一的监测，来从而发现这个挖矿主机以及矿石，来为处置工作呢提供有力的支撑。那么基于威胁情报的识别检测的部分呢，那其实也包括了在与外部的威胁情报库进行联动，那包括在结合本地的一些情报的SDK，那么再结合呃，这个发现本地出现矿石的相应一些地址，来及时的做这样的安全的联动与识别监测啊，并且呢，为溯源定位提供一个很好的基础资源条件。

那基于的这种呃，安全高效的这种分析能力与联动处置能力啊，那其实更多的也是在强调说，把这个挖矿的这种特定的协议与特应特定的这种呃处置的流程进行自动化的编排，来实现自动化的响应处置的过程，那么也是在强调基于已有的一些企业的安全态势的能力，来联动一些包括不同的袜，不同的一些安全设备啊，来减少人工的一些干预，来更高效的这个来应对虚拟货币恶意，包括为代表的这样的不同的勒索病毒，不同的恶意网络攻击与网络安全事件的一些应急处置。

还包括溯源定位啊，那么结合虚拟挖矿的这样的一个特性，那我们快速梳理了一些供大家参考的溯源定位，来做这个还原攻击路径以及定位根源问题的这样的一个，呃，几个步骤，那首先是包括了对挖矿事件呃，告警事件的一些呃。启动来查询相应的信息啊，包括受害的主机，外联的主机等等，还包括它的特性的一些通信协议啊，那以至于方便做调查的取证啊，在联合关联不同的，呃，数据日志啊，来进行这个溯源，来总结输出相应的报告，那并且呢，来做这样的一个修复。吕加固。啊，形成一个问题解决的闭环。那么持续运营呃，持续运营方向上呢，也是建议呃，相关的一些安全从业者，或者说在企业里负责运营安全运营的团队，可以更加的关注识别检测能力的持续优化，来关注安全机械这个水平的定期核查，来加强这个响应处置策略的不断的完善，来综合的提升这个呃挖矿治理的一些。

安全能力。那最后是一些，呃，对策建议。那么是从这个，呃，政府的监管层面，那包括一些政策的引导，呃，包括健全相关的法律法规，来推动相关跨部门的协作，来建立这样的一个长效工作机制啊，这个是从监管层面来看。那么从这个监管合力层面呢，其实包括了金融管理的部门，包括网信，工信部门啊，其实也会加强针对挖矿的这样的一个专项行动的一些治理，来实现对相关主体的这种监测分析，还包括穿透式的监管。

那形成这种呃全链条的治理能力，那么同时呢，呃，其实各地方政府也会有，也会和这个中央的一些什么呢，进行联动，来强化敦促落实，那最后呢，也会包括了一些加强宣传教育等等。那从安全厂商的呃角度来看，那应该是要充分发挥呃不同厂商的技术能力的优势，从这个检测识别啊，阻断的拦截，定位的溯源，预防保护等各个方面来为这个社会各界提供一个综合的一个解决方案。那么包括企事业单位，包括在这个管理方面，技术方面，这都需要针对虚拟货币，恶意挖矿为代表的这样的特性的一些网络安全的攻击与防范啊，做不同类型的培训，做相关的一些防防护策略的应对。

那么在我们个人方面，那其实更要加强个人的一些安全意识啊，去及时更新补丁啊，去防放本地的系统啊，包括浏览器不被恶意包换等等的，这种情况下要做好个人终端的一些。呃，安全的防护。呃，那从这个个人的这个技术角度来看，我们可能有时候会发现这种呃，计算机它经常会以最大的性能来进行运行啊，系统速度会运行的很慢，那通常情况下，呃，普通的网民用户其实很难做这样的技术的排除的。呃，那么最常见的方法呢，其实呃，包括了在大家的浏览器里去禁止那类似于这种javascript的脚本的运行，那么虽然呢，这个功能呢。呃。可以有效的阻止这种路过式的网页挖矿攻击，那同样呢，也会阻止一些用户插件，用户浏览器插件的一些功能，那么另外一种方式呢，其实是安装专门用于防范浏览器挖矿的一些拓展程序啊，其实包括在C括湖海opera的一些拓展程序里，其实都可以找到类似于呃，No啊或者block啊这些的，呃。

这这些这个安全的防护的专门的小工具，那么另外一种的防范本地系统感染恶意挖矿的方法，其实它是与常规的恶意软件的这种基本防护的逻辑是类似的，而且包括去提高自我的意识啊，不要从这种非正规的第三方渠道来下载一些呃，安全的应用软件，那包括不要轻易去点击或者访问一些具有诱导性的不良网页。啊，那包括要使用一些安全的终端啊进行防护，并且定期的杀毒，还包括要及时的修复系统的漏洞，来更新系统版本，软件版本，应用版本等等。那这都是我们从个人的角度可以进行完善的一些安全防护的能力。

以上呢，其实是我是简易的向大家报告了一下虚拟货币恶意外矿这样的一个网络安全的风险，其实它是作为勒索病毒也好，或者是作为网络安全风险中的一个新型的场景啊，其实还多有不足之处，还请啊。各位领导、专家，多多批评指正啊。谢谢各位。好的，感谢郑主任的精彩分享啊，那其实您在分享过程中，我们群里面大家也在提一些相应的问题，其实就到您最后分享这个板块，对于安全厂商，企事业单位以及个人如何做好相应的措施和防范啊，我相信在讨论环节大家能够呃更深度的交流一下，也期待稍后您在讨论环节的精彩分享。谢谢，谢谢您的分享，好，我们知道啊，当前安全领域各种勒索病毒及变种呢层出不穷，勒索成为让企业谈资社变的敏感词，面对层出不穷的勒索病毒呢？我们如何来保障数据安全？接下来呢，就让我们有请到这也是一位老朋友，来自上海交通大学网络空间安全学院高级讲师、IC上海分会主席施勇，施老师来给我们带来防范网络勒索，保障数据安全的主题分享。有请施主席打开您的麦和摄像头，开始您的分享，谢谢。

啊，大家好。呃，各位参会的嘉宾大家好啊，那很荣幸今天能够在这里和大家来分享一下关于网络勒索防范和数据安全的一个话题。那么我这个话题就三个板块啊，一个就是呃，网络勒索的一些目前的几个案例啊，我想通过案例呢，和大家呃简要的介绍一下现在勒索的一些变化啊，那最后呢，我想以点带面的和大家来探讨一下关于如何正确的处理。

目前存在的一些网络勒索的这个问题和事件。那其实我一直在谈，就是，呃，网络勒索是中国企业的一个达摩克里斯之剑啊，这个事情呢，是。呃，非常容易落到每个中小企业甚至大型的企业的头上吧啊。那我们中国的企业在这几年呢，它的网络速度发展非常的快。啊，但是呢，网络安全滞后比较严重啊，那前面唐总也说了，就是国家层面也好，我们的安全厂商层面也好，实际上大家都在不懈的努力来解决一系列的这个安全的问题，但实际上呢，现实的情况是大部分的企业在网络安全方面的投入是非常堪忧的。啊，那我所接触的很多客户当中呢，呃，在业务运行非常良好的情况之下呢，往往在安全投入呢，基本上进步于零。

啊，这种企业在中国是大批存在的啊，那么当发生网络勒索事件的时候呢，基本上是无所适从的啊，那很多老板跟我说的就是说，呃，说老师我们我作为作为企业的老板这块我是交给底下的it负责人的，呃，It负责人实际上完全和安全没有任何的这个。背景知识啊，他只是负责业务的一个运行，所以像这种安全的事件呢，未来在中国的大量的企业中出现呢，依然是一个比较普遍的一个情况。呃。美国的这个输油广告的这个事件呢，前面我们嘉宾也谈到了啊，那我想谈的这个事情，就是像这一类的事情，由国家出面来解决网络勒索的情况，在整个事件的比例当中是少之又少的。啊，甚至99%的企业是得不到这样的一个支撑的啊，那之所以美国的油管公司能够得到这样的一个帮助，主要是由于它的一个问题，会导致整个美国政府，包括整个社会陷入一个紧急状态。

而在我们的现实的这个企业的过程当中啊，大部分的企业如果出现勒索事件的话，它并不会真的对社会和国家造成这种紧急的状态啊，除了你是关键基础设施这样类型的公司之外啊，因此呢，可能极少数的国家，在目前的这个环境底下，你能够得到政府和国家权力的一个这个安全的一个支撑是比较困难的。啊，当然我们也希望未来在不断的建设过程当中，我们政府会有很多的这个资源跟能力来帮助我们的企业来度过这样的一些危机。因此呢，在现金情况之下呢，遭到勒索依然会是一个企业非常头疼，而且非常麻烦的一个问题啊。

那这是国际汽车租赁巨头在这个刚刚过去的四暂遭到了一个网络攻击啊，那么这个攻击呢，也导致这个企业在全球100多个国家的2000多个业务网点，呃，发生了业务中断。啊，这种跨国型的企业在近几年发生的重大的网络勒索的事件是层出不穷的啊，因此可以看到就是说并不是说你这个企业是五百强，你的企业的it有多强大，你就能够避免这个情况，因为it的强大跟安全的强大往往是两条线啊，这个完全是没有任何的关联性的。啊，往往一个it非常强大的公司遭到勒索之后，它所暴露的问题和所带来的后果，往往比一个it比较弱小的公司来的严重的多啊，所以我们看到的大量的这个集团公司啊，或者这些五百强遭到勒索的时候，可以发现，实际上呃，所谓的公司的安全，在真正防范这种事件的过程当中呢，并没有发生它的有有效的这个效力啊，这个是目前。

比较麻烦的，麻烦的一个问题啊。那么另外呢，就是呃，目前这个赎金的这个。尺寸啊，正在不断的变大啊，那这是这个去年11暂，当时欧洲零售巨头巨头遭到攻击的时候，黑客索要的资金是2.4亿美元。啊，那么上亿的这个赎金在这两三年当中是呃非常常见的啊，并不是说只有这么一家啊，动辄一两亿这个人民币啊，甚至这个五六千万美金的这种赎金是非常普遍的啊，攻击者他根据的是这家公司的营业情况，而不是你这个攻击的这个难度啊。那只要攻进去之后，这家公司在支付的起的赎金的范围内，黑客都是可以漫天要价啊，那么核心在于说你被蔑视的数据和业务的影响，是不是值这样的一笔钱啊，这是用户最终判断这个支付的这个依据。

那么另外呢，就是现在有些勒索的软件的攻击呢，已经没有任何的下限啊，它开始攻击一些非营利性的卫生系统啊，甚至会导致一些患者的手术中断，也就是说他不管这个我攻击的这个类型到底是什么，会不会造成人命啊，甚至其他的这个损失，已经不不不顾及这些问题啊，完全是一个纯利益方面的考虑。所以最近呢，很多医疗体系啊，也逐逐渐被成为一个重灾区啊，像我们华东地区有很多的医院啊，实际上都遭受过这个勒索的攻击啊，那么问题也都比较严重啊，医疗体系的一旦中毒之后呢。往往会导致大量的病患的这个看病啊，包括这个急诊出现一些这个问题，那么这些问题都会导致整个社会面出现一些问题，包括个人的这个家庭啊等等，会遭受比较大的影响。

啊，那这个是最近已经比较普遍的一个情况。那么随着我们去年数据安全法跟个保法的一个推出呢，实际上在勒索当中呢，又出现了另外一个问题。就是我们数据的问题呢，会成为现在很多被勒索者，他会再考量的第二个痛点啊。在2019年，我们高院的司法解释就呃，已经对数据泄密。做了一个明确的说明啊，就在导致一些大量的用户数据，比如这个征信信息，查找信息500条以上，住宿信息5000条以上，还有其他的一些用户信息5万条以上的。如果这个。被泄泄露信息的这个这个企业没有尽到网络安全义务的话，它是可以刑法进行追责的。当然目前来说就是。从企业来讲啊，这个我们的数据安全法，我们各报告推出之后啊，因为还在一个逐步逐步落地的一个阶段啊，所以很多企业并不是太了解这些信息，真的会触犯刑法，触犯我们的这个网络安全法这样的一些问题啊，当然一旦发生这个情况的话，确实对于企业来说压力是比较大的啊。

那呃，案例的部分我就不多说了，因为呃，其实在我们现在的网络环境当中的，每天啊，在中国都在发生这个网络安全的事件啊，只不过大量的事件呢，其实它是不会公之于众的啊。网络安全事件，它一旦发生以后呢？呃，大部分的企业会选择息事宁人啊，他不希望。嗯，这个事件会被公共的平台所报道啊，因为这个会影响企业的商誉啊，甚至会影响企业的客户啊，有些企业遭到勒索之后呢，呃，甚至可以一夜之间关门大吉啊，这个情况其实是是普遍的存在的一个情况，所以大部分的企业他是不愿意。把这个情况披露出来。

那么另外呢，现在网络安全的这个勒索呢，除了原先的这个呃简单的logo之外呢，开始对数据啊进行了一些控制啊，主要就是呃进行窃密啊，那么这些勒索的团队呢，攻击完系统之后呢，它不但是把这个数据进行加密，而且它会在加密之前的大量的拖拽用户的数据啊，并且呢，像一些受害的信息啊，包括数据啊公布在呃互联网上供。这个所有人免费的下载啊，所以在一些这个发生勒索的情况的企业当中，它会呃发生一个情况，就是企业会去做一些定向的舆情的监控啊，啊对互联网，对暗网来去看有没有这样的一些报道出现啊，包括在这个欧洲啊，美国有一些专门负责报道这样的一些博主，会不会发布这样的一些事件啊，这些东西呢，都会成为。企业在处理这个事件的时候的一个风向标啊。

那么勒索者在网上有大量这样的一些泄密网站来公布这些呃，被拖拽和盗窃的一些数据啊，那这些都是泄密的网站。这个网站非常的多啊，非常的多，那么被泄密以后呢，这个受害者的企业呢，会承担巨大的这个法务的压力啊，因为里面如果包含一些公民的数据信息啊，那么如果是包含了一些企业的商业机密啊，合同啊，包括一些开发源码等等，企业的it负责人和企业的这个董事会呢，都会承担前所未有的一个。这个压力啊，那这个压力呢，实际上就会迫使这个企业最终妥协去支付这个赎金。那么另外呢，勒索的演变呢，他开始收割一些中小企业用户啊，那么在过去的一段时间里面呢，大部分的勒索者呢，他对一些大型的企业比较感兴趣。啊，因为同样是一个网络攻击。

攻，攻击大中型企业得到的这个收益啊，要比攻击小企业得到的多得多啊，但是在这一两年当中的勒索软件开始有下沉和内卷的趋势啊，开始对中小企业，小微企业甚至一些个人的用户进行收割。啊，因为这些小众企业呢，它这个呃，It的防护能力非常的薄弱，基本上是没有任何的安全可言啊，而各类用户呢，在这一块呢，也是比较容易上当受骗啊，除了这个。加密这个数据之外呢，还通过邮件，通过一些恐吓的方式去收割这些个人的用户，那这种情况呢，在这一两年开始普遍的出现。那么这种赎金呢，有的就是五万十万啊人民币啊，不是美金五万十万人民币，有的甚至是几千块钱，这种对于个人用户这个情况开始呃，逐步逐步在出现啊，因此呢，对于这个很多企业来说，并不。像过往这个前几年来说，哎，我我因为公司不大，我的企业就五个人，十个人，我就不太需要去关注这个问题，那么从现在开始并不是这样的啊，我们在杭州接触到一些这种中小的电商啊，公司规模很小，业务形态这个相对相对来说是比较不错啊，它是一个挣钱的公司啊，那么这种企业呢，他的it就一个人。

啊，往往还是这个这个老板的亲戚啊，像这种情况呢，开始出现了这种被勒索的这种这种案件啊，开始逐步逐步在增多，那这种公司基本上它是安全是完全没有的啊，不要说备份啊，加密啊，包括一些这种入侵检测，这是不可能的事情。啊，所以这种情况也是要逐步开始引起重视，这种小企业被攻击之后，它的唯一选择基本上就是植物属性。啊。那关于勒索的这个情况，其实我就不再赘述了，因为前面呃两位这个嘉宾啊，已经讲了非常多啊，那实际上我们来看，就是从处置网络勒索来来说，当然防御是最核心的啊，以防为主，我们非常希望是通过防御的方法来使得我们绝大多数的企业避免遭受网络勒索的这个。

攻击。啊，但是呢，呃，从实际的情况来看啊，我们中国的网络安全的发展的这个阶段呢，它是相对比较缓慢的一个过程啊，虽然这几年我们网络安全是有一个比较快速的一个增长，但实际上呢，大部分的企业的网络安全呢，它还属于一个初级阶段。啊，不管是从。这个防护勒索还是防护挖矿，还是防护APP来说，很多企业并没有这样的能力啊，那么这个能力的建设呢，不管是从国家的这个层面，从我们安全厂商的努力，还是从个人和企业用户的这个能力的提升，它需要一个相对比较长的周期。啊，这个周期呃，可能会长达五年甚至十年的时间，我们逐步来建设这样一套体系，但是在这个过程当中呢，我们大量的企业碰到的问题是，我正在遭受这个网络的攻击啊，正在遭受勒索啊。

所以我们来看呃，勒索的这个整个这个呃防护啊，我想今天就介绍几个点啊，我觉得比较重要的。首先勒索的处置啊。如果你能防得住，当然是最好的啊，那防不住的话。那么我们就要考虑勒索的处置了，那么处置这个勒索的事件，我们一般认为是分为几个大的阶段啊，那么从预处理到整个数据和业务的恢复。那接下来黑客的驱离啊，那加固和防护我们的安全系统，最后到达我们的安全意识教育啊。那么这五个阶段应该是比较明确的啊，比较明确的，那么大部分的用户呢，他主要关注的是数据跟业务，业务的恢复阶段。啊，因为这个是他的生命线啊，但是在完成这个阶段之后，它往往会有很多的这个缺漏啊，那特别像我们说的黑客躯体。

实际上这些被勒索的用户，他在恢复好业务之后呢，他并没有很好的去反思自己的安全问题。并没有很好的去处理，系统内部依然存在着大量的黑客后门和木马程序啊，像这种企业呢，非常容易遭到二次的这个勒索。啊，而这个问题呢，往往又是很多用户不愿意去处理和难以去处理的一个环节，但是又非常的重要。那么另外呢，在勒索事件整个处置完之后呢，能不能做好有效的安全的加固，能不能避免未来的勒索？这个是很多企业想做又没法做的事情啊，因为成本预算还有各个方面的考虑啊，大部分的企业是这个好了伤疤忘了痛啊，呃，解决了勒索事情之后呢，实际上他并没有真正有意识的将自己的预算和投入放到这个防护勒索跟防护。

安全的这个领域里面去啊，所以在这种企业以后呢，又会反复的遭到这个情况啊，所以我们现在想强调的第一个问题就是说在处置勒索事件当中，要非常关注对于陆侵源头的溯源。要非常关注如何将攻击者和黑客从你的网络中驱离干净。好避免这些这些攻击者，呃，改头换面重新来一次啊，这个情况其实在实际的这个案件当中是非常普遍的一个情况。那么另外呢？在整个处置的过程当中，应该是要做好全程的监控跟持续的响应的，这个其实也并不是这么容易。那我来讲几个勒索处置方面的一些误区吧，啊，那因为防御这个问题呢，我想呃，从威胁情报啊，从这个整体的防御来说，这个我们网络安全体系已经非常完整啊，关键是大家能不能够。

按照现有的安全的最新的技术跟防护，有足够的预算和能力把这个东西布置到位啊，如果布置到位的话，实际上基本上是可以防范出一大部分勒索事件的。啊，当然很难啊，很难那几个误区，第一个就是没有事先的一些相关的。预算啊。那么这种没有事先预算来处置勒索事件的情况，就会导致一个问题，企业在发生勒索事件之后，它是四处拉壮丁的情况。我们碰到的比较普遍的这个情况是，企业会将自己的it供应商跟安全供应商全部。拉过来。要求他们啊，甚至是强制要求他们协助企业来处理此类问题。

那么这个拉状筋的情况呢？的问题就比较大了，第一个因为这些企业的这个供应商是和企业有长期合作的，所以在要求这些供应商来提供服务的时候，一般供应商都会。都会默认啊，我必须来。帮助企业渡过这个难关，但是由于没有相关的预算，所以企业在布置资源的时候捉襟见肘啊，那常见的问题就是说。会安排一支给这个这个甲方啊，提供服务的这个技术工程师或者产品工程师，提供相类似的这个应急处理服务，但这种情况呢，就会出现各种各样的问题啊，因为呃，厂商的产品。这个服务的工程师啊，和这个一些咨询的工程师。他们实际上本身的能力并不是在应急处置这个象限里的，他们对于产品的能力和安全一些防护能力非常的强，但是在这种环境底下呢，他并没有呃接触过这样的一些训练啊，甚至也没有接触过类似事情的处置啊。那么。

能力是相对有限的啊，所以我们碰到的很多情况就是说呃拉壮丁的导致的一个结果就是事件处置非常的呃混乱啊，甚至处置的过程也不专业啊，那甚至引起一些反复加密甚至攻击者报复的这种情况也是时有发生的啊，因此我们是建议啊。就企业应该预设一笔应急响应的预算啊，那么当发生这样一些事件的时候，能够快速的将预算调拨出来。同时应该和一些相对比较优质的安全服务商签订框架的合作协议。那么当发生事件的时候呢，就可以大大的加速你的商务流程啊，同时有预算，这样呢，可以让这个相关的安全服务商提供出最为专业的这个资源跟能力，帮助企业渡过难关啊，而不是到处这个求求人，这个帮忙的方式来解决这种问题啊，这种呃，应该来说是更容易把这个问题在最初的时候比较快速的解决掉啊。

第二个呢，就是缺乏一个应急预案了啊，那么应急预案这个问题呢，其实在优处组织当中是非常关键的。啊，那我们知道，其实应急预案在我们网络安全法和各个层级的网络安全的要求当中，对企业都是非常这个强制性的要求的。但实际上，嗯，很多企业在写一举案的时候都是敷衍了事啊，并没有真正认真去完成这个工作，那么因此呢，在发生这个问题的时候，就容易病急乱投医。啊，手忙脚乱。啊，比较常见的问题就是在百度上面去各种搜索啊，解决问题的方法啊，那么呃，非常容易掉坑里啊，呃，这个我们待会还会再谈啊，这种病急乱投医是非常不可取的。

所以我们希望说企业一定要设立好一个非常完备的预案啊，做好这个。流程啊，怎么在事件发生的时候，12345怎么去做啊，应该是有可靠的这个预案的啊。那么另外呢，就是这个容灾了啊，就是说核心数据。啊，我们说网络勒索，之所以他能够勒索，关键的问题在于你的核心数据被蔑视了。那能不能够在发生勒索的时候真正保住自己的数据，不会？控制在黑客手上。这个是对付勒索。缴纳赎金与否的一个核心观点。那么我们可以看到就是大量被勒索的企业。并不是没有数据灾备，没有数据备份的70%被勒索的企业，实际上它是具有数据备份的机制的。

但问题在于，它的数据备份同时也被黑客删除了。也就是说问题出在什么呢？就是我们现在很多的企业的数据备份并不是针对勒索这类攻击的。它只是一个简单的数据拷贝跟去虫。本身这个数据备份的流程跟机制就存在非常重大的问题。所以攻击者在攻击完这个系统整体之后，他第一件事情就是要破坏你的备份系统。将你的备份数据删除，那么这种情况呢，在当攻击者拿到内部系统的核心用户账号的时候，是比较容易做到的。所以你的备份灾备系统是不是真正能够防护住、保护住你的核心数据，这个是需要考量的。所以建议这个企业有备份的这个机制的企业应该要。回去好好的审查一下。按照这个场景来做一个模拟，如果核心的管理员，核心的这个服务器被黑客控制的时候，你的备份数据是不是能够保住？

这个就非常重要了啊。那么第四个就是演练的问题。有了预算，有了预案，有了灾备，有没有演练过？演练其实非常的重要啊，我们现在非常建议一些这个有相对来说有好的这个团队，有好的预算，有好的供应商的企业啊，应该花一点小的费用啊。把演练这个事情把它好好做一下啊，因为缺乏实操的这个预案，缺乏实操的这个。工作人员，他是没法在紧急情况下进行配合的啊。如何将这个演练做好，也是我们勒索处置的一个非常重要的。环节啊，那我们建议是要将演练的部分要把它融合起来的啊，那这个问题我稍后稍后再稍微展开一点。

好，那我想就是，呃，针对这几个问题，我想呃重点再点几个点啊，第一个像病居一样，这个部分大家可以看到右边有很多的图啊，这是从百度上面搜索关于网络勒索处置的这个词条啊，每个词条都是几百万上千万的一个这个。结果啊，诶，这个结果当中，你可以看到有大量的结果都是以广告方式置顶的。啊，就大量的广告，就是这些企业告诉你说我可以协助你去帮助你处理这些问题啊，那甚至有些这个用户们发现还会在QQ上面，在一些这个微信群里面去寻找这样的一些这个帮助啊，这都是比较常见的。所以。能不能找到一个规范的安全服务公司？这个是企业发生勒索时候，你要考虑的一个核心问题。

那我们建议有两点啊，第一个这个公司你一定是要线下能够见到面的。第二，我们要求，如果有一家公司帮助企业来处置这个问题的话，你必须签订纸质的、具有法定效益的服务合同。因为这种问题呢，如果你是网上认识的，在网上去请求帮助的话，呃，问题是非常严重的，我们碰到过一个呃案例，就是用户在网络上面寻找了一家公司，这家公司要求用户必须以个人转账的方式跟他这个。这个支付费用，但是当这个服务商和攻击者去沟通完之后，这个个人向企业居然提出了要求加价的这个要求。而企业拿他没有任何办法。啊，这种情况呢，实际上是由于用户在选择规范的这个服务里面没有做好很好的筛选啊。

也是因为事先没有很好的应急的预案和一些相关的流程啊。那么另外呢，我们还想提醒一下，很多如果发生这个事件的用户，就是。如果发生勒索的事件，原则上来说是不允许把需要解密的数据通过网络传输出去的。有些用户呢，这个。得到了一些服务商的首肯，或者说同意之后呢，他觉得说大家达成了一致的这个合作啊，也签订了合同，所以他将这个数据呢，通过网络呃，把这个加密的数据传给对方，由对方来进行解密，事后他也获得了这个解密的这个完整的数据啊。但是呢，在这个过程当中，用户没有考虑过这些数据，实际上在服务方也复制了一份，而且复制的是一个解密的数据，这种情况呢，就可能导致数据的二次贩卖和泄露啊。

所以原则上呢，我们尽可能去要求用户不要将数据从网络上面传递给第三方啊，解密的话是可以在本地进行解密的。当然自自己要做好备份啊。那么另外呢，要签订保密协议啊，签订保密协议最好找一些大型的安全公司啊，一些正规的安全公司来提供这样的服务啊，不要找一些网络上面的安全公司啊。那么另外不专业处置还有一些风险，比如说支付了比特币之后，你拿不到解密工具啊，那么这个我们也碰到过啊，甚至是一些这个厂商也会发生这个情况，就不知道解密的这个。呃，正确的方法啊，他支付的比特币的这个情况呢，非常的复杂啊，那么本身有些用户，呃，服务商他也没有处理过这个事情，在支付过程当中出现问题以后。拿不到解密工具啊，这种情况也是有的啊，当然这个都是各种问题了啊。还有就是解密工具拿完以后不会用啊，数据解不开。

那么在赎金方面呢，我们一般尽量要求用户是不允许去支付赎金，因为支付赎金这个事情本身就是不合规的啊，而且我们在中国目前的法律条框内支付比比特币啊，它是具有法律风险的，首先这个过程是不受法律保护，甚至会遭到法律的追究。啊，那么另外一个呢，就是呃，如果在不知情的情况之下，不要随意去去点击一些支付的链接，这些链接点击之后呢，会产生赎金翻倍啊，各方面的这个问题啊，所以在原则情况之下，不专业的用户呢，千万不要随意去去触碰这个领域啊。啊，那么目前有很多的这个勒索的病毒加密的文件，它是可以通过其他的方式来进行解密的，并不是只有支付属性一条线啊，通过数据恢复啊，通过一些对于勒索病毒的分析和逆向是能够把数据解开。所以进，呃，一定是要在。

足够的这个技术的保证，底下来对数据进行一个解密，而不要一走之后第一反应就是我要交赎金啊，我通过这个网上找人，我通过其他的方式让别人支付赎金，就可以把数据解开，这种方式是存在巨大的风险的啊。那么美国当年公司，这个当年安全公司samri呢，也做了一个研究。就是在勒索攻击后，支付赎金的组织非常容易遭受二次攻击啊，那这个大家也很容易理解啊，第一个被攻击的这个组织呢，往往它的数据，包括内部的it结构已经泄露了啊。这些logo的软件组织，实际上它有大量这个企业的一些呃，非常隐秘的信息，包括它的it结构，包括它内部的业务密码。那么这些数据实际上都可以进行贩卖。所以有可能这个勒索的组织可以第二次，甚至把这个数据转卖给其他的勒索组织，由他们来实施二次的攻击，这个难度会大幅度下降。

那么由于用户支付过赎金，所以攻击者会默认这家用户，他是比较容易去接受赎金这个处置方式的，所以这种公金呢，又变得更加的有价值啊，因此呢，就是呃，非常不建议大家在数据被加密的情况之下，以这种方式来处置啊。但是呢，就是如何在攻击之后把这个投资能够投下去，能够把安全政策做起来，这个又变成很多企业呃，非常困扰的问题了，但我们来说的一个东西就是这个其实并不是一个选择题，而是一个。必选。在攻击之后的网络安全投资，能够真正的做好网络安全，做好数据的备份，是这家企业被攻击之后一个B选项。而不是你可以可做可不做的一个问题啊，如果不做的话，那么接下来将会无穷无尽的这个攻击的问题啊。

但实际上啊，在真实的这个我们现实的环境当中，有很多企业在处置完勒索之后，往往在这个攻击后投资这一块。投入并不大啊，投入并不大，在几个月之后就会遭到第二次，第三次这样的一些攻击，这种情况是比较普遍的啊，并不是。并不是一个少见的情况。啊，那么演练呢，这个问题呢，其实它并不是这么简单的，大家可以看到，呃，我们认为勒索的模拟演练呢，应该是一个多维度的，它不只是你的技术部门需要参与的啊，首先应该要建立一个跨部门的应急响应团队来处置这个问题啊，包括你的法务，包括你的人事，包括你的it，包括你的这个一些其他的这个部门都需要，包括你的公关啊，原则上都应该加入这样的一个团队啊，那我们在一些处置勒索事件和数据安全事件的过程当中，其实公司的法务是非常重要的。哦，他需要全程来参与这个事情。

那么应该有一个标准化的一个处置的流程啊呃，能够很好的去通过演练协调内部的一个技术资源和服务资源，同时应该通过演练来整合外部服务供应商的能力。你怎么在一个紧急事件的时候，能够充分的用好你最大的资源啊，包括你的服务供应商，这个是。非常非常关键的啊，那每个供应商它有不同的这个能力象限，比如说有情报的厂商，有这个，呃，防火墙的厂商，有入侵检测的厂商，有你的一些咨询的供应商，还有你的一些专门就为勒索处置的准备的一些供应商，那这些人怎么能够把他们有机的组合在一起，这个大部分的企业是没有考虑过这个问题的。更不要讲演练了啊，但实际上如果你练过一次两次以后，那么这些人能够很好的进行组合的话，对于事件处置的帮助是非常巨大的。啊，所以我们现在非常强调就是说能不能够在用户这边帮助他们去真正的做好一个网络安全的应急演练啊，把这个勒索的演练能够实打实的做到位啊，能够调集所有最好的资源。

在真正发生事件的时候为我所用啊，处理这个问题。啊，能够确保业务在这种病毒底下快速的能够恢复出来啊。那么大家可以看右边这个图，就整个这个过程其实是呃，非常多人需要参与的，包括他的调查遏制谈判协调报告。等等等等啊，溯源证据取证等等，所以我认为演练它实际上是一个蛮重要的一个过程啊，除了预案之外，演练真的能做好是非常不容易的啊，这也是我们现在在很多用户那边是反复去强调希望他们能做好的一个工作。那我在演练当中，我举两个小的例子，比如说谈判。什么叫谈判？就是跟黑客去洽谈这个事情，大家怎么来协商解决？那谈判这个事情并不代表我们一定要交赎金。

为什么我们要去演练谈判呢？因为你演练谈判，你能够知道攻击者已经在这个里面潜伏了多长时间了。你可以去通过这些东西去套他的话。你可以了解攻击者的心态，甚至他的年龄。你能够知道这个攻击者真正来你们公司，他是非常有针对性的目标还是怎么样，他对于这个攻击的一个心态怎么样，他会不会报复你，如果你不交赎金的话，这些心态实际上是从谈判当中是可以获知的。那么另外呢，通过谈判可以很好的去了解对方的一些情况和他可能入侵的一些路径，比如这个人是美国人还是欧洲人，还是中国人，这个可能对后面的事件处理都会有点不一样。那么甚至可以了解到他是从什么地方来的。啊，如果他了解你的分布，比如他知道你的美国分公司，诶，这个攻击者可能是从美国那地方跨过来。啊，所以通过谈判实际上是了解很多这方面的信息了啊，还有就是通过谈判可以保护我们自己，比如说。

可以通过谈判拖延时间。对吧，甚至可以避免在我们准备完整的情况之下，用那个黑客就首先披露数据了。给我们争取一定的这个缓冲和处置这样的一个时间啊，另外呢，谈判可以缓和一些环境，有效的谈判，我们是说啊，那避免攻击者在拿不到赎金和恶意的报复啊，所以并不仅仅只是说我就跟你谈一个价钱，这不是买东西啊，我们是说真的能够演练，能够对这些问题和环境，你要有一定的概念，能够熟悉这些问题，那么真正在处理事件的时候呢，你就相对来说就比较从容了。那么另外再举一个演习的例子，比如说证据固定啊，那么这个实际上很多用户在发生问题的时候从来不考虑的。那为什么要证据固定呢？可能有商业的问题，可能有司法的问题。

企业要对自己进行免责，那么我们碰到有家公司就是如果企业能够证明。用户数据损失是由黑客造成的，而不是他的疏忽。那么这个企业就可以和他的客户签订的合同当中的一条条款做成免责要求和避免对用户进行赔付。那么在这个过程当中，你就必须首先做好证据固定，如果你没有这个证据，到你处置完事件之后再来做的时候，很多证据是无效了。那么这时候很多用户就会说，那你没有有效的司法证据能够证明这个黑客攻击的，虽然你是处置了这个问题，但是我是可以告你的，在法庭上你就要对我的数据损失，对我客户的业务进行赔付。那么另外呢，证据固定，它是有合规要求的，它并不是你自己可以做的啊。在商业上的法律上面有商业法律的证据固定要求，在司法上有司法的证据固定法律要求。

你的固定下来的证据是不是真正的有效，能不能够在法律诉讼时候帮到你。这个你必须。要了解的。啊，证据固定是有专业的公司的啊，比如说呃，公安的指定的这些授权的这个机构，它是可以出具有。司法机关认可的这个。流程跟盖章的证据，一般的企业你是做不了啊。啊，所以你知不知道这个事情。那么另外比如说我们演习中还可以演习什么报案。因为网络安全法对于报案这个问题啊，它是有合规要求的，你必须报案。但是他没要求你什么时候报呀。或者说没有非常明确的要求，你必须立即马上报案。那么当中可能会有一点短的时间给你去。去考虑啊，你不能说我拖一个月报案，这个不行啊，他有要求你要快速尽快啊，但是他没有很明确，三天两天没有。所以这个事情要不要演练一下？另外，跟谁报案，你知不知道找报案的人？

是跟整个城市的总队，还是跟这个区域的晚安，还是跟一个民警报案？报案？谁去报案？法务总监去报案，还是it总监去报案，还是公司找一个什么行政去报案，报案的格式、内容，报案完之后对公司有没有什么影响？公司怎么来避免报案以后公安的进一步的处罚？这些问题有没有考虑过？啊，其实当这个问题就可以做一个很好的场景的演练了。还有就是下游责任啊。出现问题的时候。我怎么通过证据固定？把一些安全的责任转嫁给真正出现安全问题的这个下游，比如说你的供应商。你这些合作伙伴。是由他的这个路径入侵到你们企业的。那么根据合同可能规定有效责任，这个事件的真正的后果需要他来承担，那么这个证据有没有固定住？那么一旦需要来讨论这个问题的时候，大概率是会打官司。

那你的证据是不是足以佐证这个问题？在关系当中是不是能够给你做到一个很好的这个。这个帮助，那这个实际上都是需要去考虑啊，我从几个点来。矩阵一个演习的这个重要性啊。那么时间关系啊，我我想我今天讲的问题呢，更多的还是侧重在一些具体的这个。点上啊，那当然了，呃，我们非常希望企业不要遭受到网络勒索的这个攻击。但是，呃。像我们几个嘉宾说的一样，这个攻击的形态是很难去消除的，因为它并不是一个攻击，而是一个攻击变现的模式。只要虚拟货币永远不能够禁止，勒索攻击就一定会存在啊，因为网络攻击从网络诞生的那一天开始就一直有。只不过现在有了虚拟货币之后，它的勒索这个形态它完全成型了，它可以用一个非常小的法务代价和金融追踪的这个成本来得到这样的一个利益啊，并不是说网络勒索会消失，因为攻击只要不消失，勒索永远都会存在。

那希望说大家在碰到这个问题的时候，能够更有针对性的，更有准备的来应对这样的一些事件啊，那么获得一个最小的这个损失，甚至是没有损失。OK啊，我今天的内容就到这里，谢谢大家。好，感谢石老师的精彩分享啊，从呃，我们如果遭遇到这种勒索攻击，我们的处置的误区，以及给出了很好的这种建议，那再次感谢施主席的精彩分享，那接下来这位嘉宾呢，就是把我们的这个防勒索攻击做到了事前，面对勒索攻击呢，我们应该怎样提高预防意识，并且建立应对勒索攻击的安全防线，构建前置安全，接下来我们就有请腾讯安全总经理杨玉斌，杨总呢将为我们带来足牢对抗勒索攻击的三重防线的主题分享，有请杨总，您可以打开摄像头和麦开始您的分享。

诶好的啊，各位下午好啊，那么呃呃刚才几位那个老师，呃已经讲了很多关于呃勒索攻击的一些。呃，现状还有趋势啊，包括呃刚才施老师讲了，就是碰到落实攻击之后，呃该怎么样进行一些这个事后的一些处置工作，呃那呃重复地方我就不讲了哈，那呃可能呃时间呃还是呃需要加快一点啊，那我的主题就是呃牢固防御啊，防防御勒索攻击的三重防线。呃，前面会讲一下背景吧，最主要就是说呃一些我们发现的一些呃不同点，那另外呢，我们分析一下呃勒索攻击的一些入侵手段，呃从这个呃攻击者的角度，我们去看一下防御该怎么做，那最后呢，给出一个三重防线的一个对策。

啊，那这是这个呃，2021年呃，腾讯安全啊做的一个这个呃报告，那么这里面呢，就是关于这个2021年上半年的勒索病死啊病毒的一个攻攻击态势，大家可以看到哈，就是经济发展比较比较。对，比较好的地方啊，广东浙江啊，山东啊都是啊这个受攻击严重的一个省份啊，然后从这个行业来看呢，啊，最主要的行业呢，呃，还是这个呃，传统的一些这个啊制造业啊，那么呃，还有呢，就是医疗啊，政府啊，教育啊，互联网啊，那么看到这个呃，受到感染的一些行业呢，是越来越呃重要。那第二点呢，就是啊，勒索病毒的一个变种啊，或者勒索软件家族的一个变种是越来越多吧，啊这个是2022年的一个一个统计吧，那么呃，在国内活跃的家族320多个，那么变种呢是1000多个。

啊，那主要攻击手段呢，最主要呢，还是一些弱口令爆破啊，那么跟着呢，就是呃，通过一些这个呃，垃圾邮件，钓鱼邮件啊，僵尸网络，那么还有就是一些这个高级的渗透手段。那我们也发现了勒索病毒呢，是有一个视化的这样的一个趋势吧，那首先呢，就是APP化啊，那么啊，因为呃，面对的一些这个受害的企业呢，是越来越高端，比如说一些制造业啊，关键基础设施啊啊，那么包括金融啊，啊医院呢，那么所以呢，犯罪团伙的目标呢，是越来越呃明晰啊，对赎金的要求呢，也是越来越高啊，所以呢，他的这个作战手段呢，就采取了APP的这种啊高级持续化的分析，面向的就是高价值的一些企业。

那第二点呢，就是呃，谭校长刚说到了，就是勒索记服务啊，那么啊通过勒索记服务的这样的在暗网里面的一个服务平台呢，那么啊勒索犯罪的一个门槛的就是越来越低了，比如说有专门是啊采取这个初初啊初级渗透去获取账号密码的这种I啊初始访问代理的一个业务的啊，那么也有黑客是专门啊制造专属的恶意软件的，那么也有人代理如何向受害者要赎金，那包括恶意软件该如何进行实施等一系列服务，那整个产业链呢，就从啊软件制作啊到这个如何渗透到如何啊得到赎金，如何转移钱，整个链条呢，基本上都是可以以服务的方式去呃获得。那呃第三个话呢，就是流氓话了，那么呃呃比如说这个双重勒索，刚才呃几位嘉宾也都谈到了，那么呃这个呃呃勒索者呢，他不讲武德啊啊那么如果呃企业呢，不愿意支付啊，支付赎金呢，他们就会把这些数据呢公开在暗网里面啊，那么包括呃公开在这个呃这个实际的啊一些，这个呃比较重要的一些呃呃呃网络的一些发布啊体系。

啊，那么我们也统计到呢，啊，那么过去的一年80%以上的成功勒勒勒索呢，都有双重或者三重的一个勒索现象啊出现。那第四个呢，就是产业化了，整个产业的链条非常成熟，那有专门的这个勒索病毒的作者啊，那么有专门啊去这个实施勒索的这样的啊，勒索的这样的啊，犯罪分子，那么也有专门去做这个，呃，渠道的传播的，渠道传播的，比如说这个僵尸网络传播啊，各种的传播渠道渠道商。啊，那么啊，包括钓鱼网站啊，那么还有呢，就是啊去啊代理赎金啊这个业务的一些，呃，解密代理。

啊，那我我们在这个幺八年呢，呃呃，五月份呢，腾讯安全也披露了一个呃，勒索产业链的一个一一个新的角色叫做代理角色，那么这个代理角色呢，大家可以在网上看到很多的一些这个呃能够号称能够解密的一些公司哈，能够解密这种啊勒索软件啊公司啊有些呢啊是啊纯粹是坑钱的，那么有些有可能啊啊就是这种啊勒索中间代理，那么他们呢，是跟这个勒索犯罪集团呢，是有紧密联系的。啊，那么他们代理呢，就是呃，通过呃一个折扣价，比如说50%或者更低的折扣价啊去啊去获取这个呃解密的一个权利啊，然后跟勒索者进行合作，在中间啊赚取赚赚取呃差价。啊，那我们在前段时间呢，也破获了这样的一些这样的一些团伙。呃，还有一个新的一个趋势哈，就是啊这个是啊最近啊报的一起哈，就是啊内鬼配合的一些呃勒索的一些攻击渗透案件，那比如说呃，这个是呃哥伦比亚的啊一起案件啊，那么呃科呃勒索软件攻击爆发以来呢，已经影响了哥斯达黎加27个政府，其其中九个受到严严重的影响啊，那么啊这个呢，其实就是有证据显示国内有内鬼配合这个呃犯罪团伙去敲诈政府。

那我们来来看一下这个啊勒索攻击的一个啊入侵的手段，这是常用的入侵手段哈，那么不代表这个入侵手段是呃呃这种呃一些手段，那么呃首先呢就是呃信息收集，所以呢，我们建议的措施呢，就是对呃企业的一个I资产进行一个全面的梳理啊，包括域名端口啊么，全面的加固。

那第二个呢，就是刚刚我们也看到了，像这个呃账号爆破啊，漏洞利用啊，都是呃这个犯罪分子常用的一些手段，而且呢呃是占比是非常高的，所以呢，首先呢，就建议是能够对这种啊弱口令啊，那么还有漏洞啊进行一个这个加强和修补。那当然还有啊，利用这个社会功能学的钓鱼软件啊，钓鱼文件URL啊，钓钓鱼网站，那么这一类的方式去引诱啊，员工去点击的，这时候呢，要进行一些啊，更好的一些安全意识的一些教育。啊，那第呃第三个呢，就是呃呃入侵完之后呢，进行一些权限的一些这个呃提升，那么呃这里面呢，其实就是要对呃各自的一些呃呃重要资产进行一些加固，比如说对安全机械进些检查，那么呃采取一些最小化授权啊进进行了一些控制，那包括啊对后门的啊一些隐藏，对异常账号的一些检测，异常连接的一些检测。

啊，那进入到内网之后呢，那攻击者一般都是采用一些内部啊，内网渗透的手段，去寻找一些有价值的一些目标，这时候呢，我们啊就要做一些啊这种异常连接的一些检测啊，那么呃，包括一些这个内网的呃，一些这样的呃隔离啊和对IP的一些封锁，如果发现了有内网扫描行为之之后。那么同时呢，也要防范一些横向的受渗透，对恶意软恶意文件的一些传播，进行一个全网的一个呃追踪扫查啊呃追踪和检查。那啊入侵完成之后呢，那么一般来说呢，黑客都会进行啊一个呃痕迹的一个清除啊，那这时候呢，对啊一些这个呃进程啊，包括啊有些呃呃呃这种呃启动，启动项呢，我们要进行一些呃检查，然后去发现一些蛛丝马迹。好，那我讲讲就是我们建议这个方案吧，那我们建议的就是一个三横三纵的这样的一个三重防御手段，那首先呢，就是啊我呃呃这个三纵的就是从这个整个事件的事前啊，事中事后啊，那么事前如何去防患于未然，事中如何做一个精准的一个主机啊，包括事后该如何备份还原，那这里面呢，呃最基础，最基础的就是一个这个人的意识和组织的意识啊，那么在事前呢，需要对用户啊，包括这个整个流程，涉及到人员和这个我们的呃安全和呃运维人员进行一些安全意识和技能的培训。

啊，那么如果在私有化环境里面呢，啊，先要做一些数据备份啊，对主机的安全啊，进行一个这个有效的保护啊，通过比如说e drr0的啊一种模式，那么然后呢，就是通过安全运营中心进行一个整体的一个安全态势的一个感知。那在公有云上呢啊，同样要做备份，备份是最主要的，然后对漏洞进行一些扫描，包括这个啊云主机，云负载层啊，一些安全的一些呃，保护手段。

那在事中如果啊，确实有勒索软件，勒索病毒啊，在网啊网络中传播，该怎么办呢？那所以呢，呃，在人和意识层面呢，刚才施老师已经讲了非常多了，就我们要做一些应急演练，那个各个角色啊，在碰到这个问题的时候，该如何处置？啊，包括在私有化环境里面啊，如何去做一些动态权限的限制和动态的一个，呃这样的一个行为的监控，通过这个零信任啊，呃nta啊，啊包括啊其他的一些这样子啊，有效的一些工具啊，进行一个联动啊，进行全网的一个啊态势感知。啊，那么包括在云端的同样要采取这种呃网和这个呃流量，流量侧就拿呃这个呃呃东西侧的流量，以及呃这个云主机的一些相应的呃安全的防御和保护。啊，如果确实不幸啊，中了这样的一个呃，勒索病毒之后该怎么办呢？这时候呢，就是啊是不是能够尝试去恢复啊，以及呃，更多的是进行一个溯源加固和去挽回措施，通过备份还原的方式啊去挽回措施。

那我们先说一下，就是呃用户的一个意识培训，因为这个是一个非常呃这个呃基础的问题，呃大多数呢，都是利用啊这个用户的啊风险意识不强啊，那么进行的一个渗透，那所以呢，这时候呢，日常呢要进行一些安全培训啊安安全培训，比如说呃我们是建议叫呃三步三药的一个思路的一个安全培训啊叫做不上钩，不打开，不点击，要备份，要确认，要更新。那第二呢，其实就是在组织的层面，在公司的层面也要啊，有这样的一个安全意识，需要进行一些持续的投入，包括对安全团队的一个投入，对安全的一个整体的体系的规划。啊，那么以及对安全负责人的整体的一个意识啊，以及安全团队啊，面对这种问题的时候，该如何去进行一个啊应急响应。

啊，要认识到这个安全是动态的，是一个持续建设的一个过程。啊，那么还要建立一个体系化的一个安全能力啊，从整个风险的啊，发现处置响应。啊运营啊这样的一个闭环啊，进行一个安全能力的一个建设。啊在私有啊网络里面呢，我们建议就是在啊传统的这种呃云网端的啊一个呃安呃传统的呃这个呃流量侧和这种主机侧，还有网络侧的一些安全防御的呃一些体系呃之上呢，我们在增加这种零星的防御体系，对这个终端安全，身份安全，数据安全呃网络安全采取一些零信任的啊这样的一些加持。那么同时呢，我们要把这个呃，安全运营体系整体的打通啊，包括nta啊，啊，包括这个呃，外脑的威胁情报啊，啊态势感知啊，那么还有这个整个安全闭环的应急响应急响应啊，通过安全运营的方式把它串起来。

啊，那么呃，首先讲一讲林时人吧，那么林时人的理念呢，它其实就是never trust always verify，那么首先假设整个风险点都是不安全的，那么比如我们就假设从这个数据访问的整个链条，它的访问的角色啊，那么他的访问使用的一些终端啊，他他这个呃通过的一些，比如说外部网络，或者是内部网络，以及呃内部这种呃，资产与资产之间，服务与服务之间的一些访问啊，那么我们认为呢，每个访问点呢，都是有风险的，那么我们呃采取呢，就是always啊，Verify啊，持续验证啊，持续去挑战，持续去这个啊监控的方式啊，去发现这些风险点是否啊已经被渗透了，或者已经被利用了。啊，那因此呢，腾讯零啊呃，腾讯也这个有一个IA的一个呃呃离线的一个理念，就是我们啊通过这个最小化授权和持续验证的呃两条原则呢，去构建了访问链条上的一个可信身份，可信终端，可信应用和可信链的一个这个呃访问全流程的啊安全的呃这样的一个呃访问的呃动态权限控制。

啊，那么啊在终端上呢，采取一些终端的一些风险评估啊，那么对终端的呃这个风险呢，它的终端设备的可信程度啊，以及应用的可信度啊进行安全评估，那么对啊呃这个呃访问者的身份啊，我们啊通过比如说m Mac啊或者说啊更严格的一个验证模式啊，去验证他的身份是呃安全的，那么呃防止这种呃黑客啊去盗取身份凭证之后啊，直接是能够渗透到内网里面。那第三点呢，就是网络的一个链路加密了啊，那么采取这双向的一个这个呃，TS层的一些加密手段啊，确保整个连接的一个安全。

那然后呢，对于应用的一个安全的一个评估，那么评估啊，所有的这个应用之间的访问都是安全的啊，那么最主要呢，是有一个这个策略控制平台啊，对所有的这些啊发起访问的端身份链路啊和这个返回的应用啊，都进行一个动态的这样的一个呃，安全状况的一个评估，那么随时呢就可以呃采取啊一些这样的呃。切断连接啊啊或者啊，进行一些呃呃，这种反向的一个反制手段。啊，那么这里面呢，呃，最重要的呢，是一个终端的一个增强化的一个安全设计，那么除了传统的像杀毒啊啊那么啊还有桌管的能力之外呢，还需要对终端的一个动态环境进行一个啊全面的一个合规性的一些检测，对异常行为呢啊能够及时的发现，那么另外呢，在终终端上呢，也也会针对像啊这这一类的这个勒索啊病毒的攻击啊，对终端的文件采取一些更严格的啊一些安全防范措施，比如说文件的备份呢，那么对啊勒索病毒常见的一些渗透和呃呃这种信息进行一个呃全面的记录啊，那么以及对呃这个呃连接啊。

对呃，对这个IP，对URL，对可疑的DNS啊，进行这样的一些呃信息的啊一些呃查证。呃，那呃，我们在这个，呃，平时有有些有些客户在咨询我们的时候啊，通常都会问到你们有没有这个呃解解密的一些这样的一些呃服务或者软件啊，那么这时候呢，我们啊，我们会尝试去去做，但是其实中了勒索病毒啊解密。确实可行吗？那么呃，其实大家也知道啊，因为勒索病毒采取的是这种IC的一个非对称加密手段，你只有拿到这个呃，这个呃呃。拿拿到拿到密钥啊才能够真正的解密，所以呃这这呃这一种这个呃解密的方案呢，实际上还是只有少数情况可以适用啊，比如说它本身的勒索病毒啊，代码存在一些漏洞啊，导致算法可逆啊，那么或者呢啊勒索病毒已经这个释放了自己的密钥，或者呢，呃在这个呃联合警方去打击了啊犯罪团伙之后拿到了密钥，那么实际上确实就是说呃不是一个呃真正的一个解决方案，所以呢，我们也呃这个呃。

啊，奉劝一些这个中了勒索病毒的呃，一些呃呃受害者呢啊，不是说去交了赎金啊，不是说就是说通过啊去查找一些解密的一些手段去不断的去尝试就能够解密的，那么可能会延误啊整个啊一个案件的一个周期或者延误啊最佳的一个这样的啊一个防护的呃周期。那所以呢，我们刚才一直在说呢，最好呢就是以以始为终嘛，那么我们的假设确实已经中了毒，该怎么办？这时候呢，就只能去通过备份还原，所以呢就一定是要做好备份，那呃其实呃腾讯的RV呢，也有两种的文件备份方式，一种呢是常见的就通过这个Linux的一个呃选引机制去做一个啊完完完整的一个文件备份，那对于重要文件呢，我们也有一个非常巧妙的一个方式进行啊，这种无文件格式的一个备份，会打乱文件的格式，让这个呃呃这个。

入侵者呢，是无法查找到啊这个文件。啊，那么还有呢，就是呃，在整个防勒索病毒的对抗能力方面呢，那么IA呢，是从源头到这个呃勒索病毒启动开始啊，以及破坏前呢，我们都都会采取一些更前置的一些这样的一个呃对抗和更前置一些检检检验措施啊，那么同时呢，我们也采取了一个文件保险箱的一个方式，能够呃对这个呃。一些一些这个比较比较低级的，比较低级的一些解，呃，加密的一些文件啊，采取一些解密。

那R终端呢，也有一些这个呃呃勒索病毒的一些对抗的呃能力，包括呃文件的备份，还有一些有限的文件的一些呃解密和一些文档的一些找回工作啊，我们啊啊就通过一个文档时光机的方式去定期的啊对一些啊文档这些备份，包括刚刚说到的这种啊隐藏式的一些备份。那还有呢，因为啊大家也知道，那么呃。一些勒索攻击呢，是结合ad手段的啊，所以呢，我们也啊通过这个啊AAPP的一些主干路径啊，去采取这种啊EDR的一些能力啊，进行一些呃响应和识别，比如说响应常见的一些钓鱼啊和一些横向移动。呃，第三点呢，就是我想说的，其实啊。对于这个，呃。自身网络私有化网络防御能力比较比较弱的一些企业呢，或者它的这个呃文啊，它的这个重资产的重要性呢，啊，并不是啊特别的需要一个私有化网络，或者这样的一个啊隔离的网络去保护的话呢，我们建议它的业务是最好能够上云啊，那么为什么这么说呢？因为上云其实是对抗勒索攻击的一个更优的的选择，那么因为云上呢，是有一些镜像备份呢啊，包括云上的这种啊啊多重备份的一些能力，包括啊云上本身就有一些低bos防御啊，或者一些这个啊防范网络攻击的一些严格的啊这样的一个手段和技术，所以呢，对云内的攻击难度会更高，那么同时呢，云上这些啊主机啊，这些镜像啊啊包括啊像啊。

一些这个啊应用啊，都可以通过云原生的安全能力啊去进行防护，那么最主要的呢是就是云上呢，会有一些更专业的安全团队去可以做到一些云托管的一些服务啊。

啊，那么比如说腾讯云呢，就有一个完善的这样的，呃。工作负载层的一个保护平台CWP啊，对主机上的一些安全啊，包括行为啊，完文件啊，漏洞啊啊都可以做一个非常完善的一个保护啊，包括呃细腻度更细的一些容器级的一些安全保护，那么还还有这个云上的微隔离呢，是可以呃非常这个呃好的去识别啊，一些横向隔离，或者对租户的啊，一些资产和重要的文件啊进行一些隔离。那为什么说安全运营可能会是一个更好的一个安全托管，安全运营会是一个更好啊，安全托管会是一个更好的一个呃安全运营或者安全运维的个模式呢？因为其实传统的安全服务商呢，呃都是提供这种呃安全的设施设备，那么所以呢运呃运维或者运营的难度非非常大，那么通常呢，需呃需要对这个呃各种的安全的设备啊和呃这个日志，还有呃一些这个呃分析，要有非常高超的一些技能啊，那么但是呢，在呃安全托管服务上呢，其实我们呃是采取一些平台交付，然后通过这个呃云上的运营团队，专专家团队进行一个安全的呃这种呃风险的识别和及时的一些应急响应啊，所以这一块来说呢，呃，会更加的是一个更优的个选择。

那比如说这个腾讯云的安全托管服务MSS啊，会啊，有这样的啊，情报的能力啊，有这种攻防啊驱动的一些安全服务能力啊，那么还有呢，更多的是一些数据驱动的一些指标能力，能够及时的发现一些问题，包括啊有一个完善的一个运营团队啊，能够啊对这个啊，无论是技术层面啊，还是在应急响应层面啊，都能够有一个非常好的这样的一个呃体系来支撑。啊，那腾讯云的安全托管服务呢，是啊，覆盖安全的整个生命周期的啊，那么啊啊从从资产的一个暴露面的一个分析啊，从资产的加固到啊有问题之后如何响应啊，到一些情报类，甚至一些暗网情报，比如说啊有些这个呃呃呃，真的有不幸啊的事情发生了，那么我们可以通过一些情报去发现是否已经在啊一些这个暗网啊，或者一些这样的啊平台上泄露了啊数据或者泄露了啊一些资产的状态啊。

那么通过这个MS啊，这样的一个托管服务呢，能够快速啊发现资产的一些风险，能够识别攻击者啊，对已知的资产进行一个梳理啊，那么同时能够跟踪啊，这个呃以这个呃，以攻击者的这样的一个视图啊，站在攻击者的角度上去跟踪这个资产的一个呃呃一个一个一个情况啊。

做了一个闭环管理啊，比如说漏洞的修复的优先级，可落地的一个啊，修复方案最新的一个漏洞的精准预警和漏洞全生命周期的一个管理。啊，那么当发现啊一些这个入侵事件之后呢，可以进行一些主动的一个防御手段。那么当然就说其实在呃MSS服务里面呢，还有一环啊，可以让用户比较放心的就是这种应急啊预案和应急演练，那么因为刚才其实啊施老师也说到了一些啊应急演练，应急预案啊，在实际的做演练的过程中呢，是需要多角色的配合，多角色的参与的，那这时候在云上呢，其实就有一个专业的团队来帮你去做这样的一个呃，应急的演练和应急的啊事件的一个呃，高效的响应，快速的止损。啊，那腾讯的MS服务呢，也是基于实战的一个经验啊，那么有一系列的一些自动化的一些啊，应急工具来支撑啊。

那而且呢，整个服务过程呢，是用户可见的，比如说呃在这个管理者视角能看到的，那么呃在整个这个呃交付过程中，那包括啊所有的事件的一个呃响应的流程和呃这个专家团队啊做的一些处置。啊，那我们这个服务呢，在业界也受到一些认可了，在2021年呢，腾讯云托管服务成功入选这个沙利文的，呃，这个MSS市场报告。好，那我的分享就到这里结束，谢谢大家。好的，感谢杨总的精彩分享。那我们今天四位嘉宾的主题分享环节呢，就到这里结束。进入到我们今天非常精彩的圆桌对话环节。好，在原则对话环节之前啊，我们邀请所有的嘉宾啊，可以在我们群里面去，呃，预先的去提问，然后我们的工作人员也会把我们准备好的三个问题放在我们的PPT上，如果大家想发言的话，也可以示意我打开您的麦，示意我也可以跟我们的工作人员交流，也可以，好，谢谢谢谢，那我们知道啊，当前随着新技术飞速发展，各类数字货币啊在全球市场的持续火爆，勒索攻击已经呈现出持续爆发的态势，成为企业面临的主要威胁之一，那如何有效的防御勒索攻击已成为企业关注的焦点，我们今天的这个是其实是基于2022产业互联网安全十大趋势，呃，这个在二月底发的报告的第三场研讨会，在这个报告中啊，其实也提到勒索软件攻击将变得更加复杂，将从双重勒索转变为多重勒索，并极有可能发生。勒索并。

读和供应链攻击结合的模式，嗯，在我们以上的四位嘉宾分享的过程中，其实也提到了这一点，那我们今天的对话的环节呢，就将聚焦在企业应对勒索攻击之道主题，共同探讨如何应对勒索攻击，为企业数字化转型保驾护航，我们工作人员已经把我们的嗯讨论的内容放在了这个我们的PPT上哈，那今天也非常开心啊，就是在刚刚在我群里交流的时候，同时呢，每个每位嘉宾分享的时候，我们也看到四位分享嘉宾现在都是在呃在线这个状态，所以呢，首先我会先嗯就我们准备好的这几个问题，嗯，先请教一下在线的四位嘉宾，同时呢，其他嘉宾如果有问题，现在就可以在我们的聊天区来提问，稍后我会邀请您来回答，之前呢，我们的工作人员也有请教过今天参会的线上的嘉宾啊，稍后我会把您的。

问题呃，提出来，请我们线上的嘉宾来解答。

先看一下第一个问题啊，我们知道如今勒索软件已经被证明越来越有利可图啊，也就是说它包括获取赎啊等等的，嗯，这个是非常越来越贵，越来越呃，收益越来越高啊，那勒搜软件呢，攻击也比以往更加危险和猖獗，有人说啊，勒搜软件攻击既是增长最快的网络犯罪，也是人类已知的最具传染性的数据病毒。那第一个问题呢，我们就想从事事前这个角度来看一看，也就是遭到勒索软件攻击之前，企业应该如何防范与未然，应该采取哪些防护的措施做好风险管理，那这个问题我们先请教一下我们第一位分享嘉宾，我们台校的。啊，您在线吗。想邀请您，想邀请您打开摄像头和麦先，呃，回答一下这个问题好吗，谢谢，对。呃，这件事呢，其实这个是比较麻烦的，它其实现在的因为勒索攻击呢，它采用了这个网络攻击的所有手段，它就最终对于数据加密或者是窃取等等，那么这种防范呢，就是会就回归到网络安全该怎么做了。

我觉得这个事儿呢，就是可以参照list的service security的框架，就是把它分成IDPR这五个步骤，从首先你了解自己的数据资产。啊，评估自己现在系统都有什么样的这个风险，有什么样的一个漏洞，然后呢，再建立检测的流程，那么做呃保护做做做防护的一些措施上。呃，在最后呢，就是事故响应，事故响应这个过程中呢，前面的嘉宾也讲了，就是你可能要和一些做这个事故处置的一些一些单位啊，能够建立起来联系，最好是有长远的合作关系。然后最后呢，要就有数据备份，能够做数据恢复等等这个事儿呢，可以基本上说回答这个勒索的如何防御的问题，基本上就是网络安全该怎么搞。

这个事儿，然后他就带自己的一些特色，呃，你比如说针对于这个数据的保护的这样的一些一些这种问题，就数据备份。呃，做好，然后呢，呃，就是比如有些像控制系统，像富士康做的，那那那那个路子，他整个把它所有的控制系统，整个全部都做镜像，整个全部做备份，以防这个勒索的时候，他能够快速恢复，都会快速恢复做做一些这个准备。还有呢，如果说回头有网络山这个就是勒索险，然后要买要卖的话呢，呃，及早的买保险。这个可能这个这个这个就是一个路子，我觉得这是基本上是一个全网络安全的防护的方案，用来这个解决勒索问题。嗯，好。好，感谢田校长的分享啊，其实我还有一位嘉宾，他提到这个问题应该是向您提的，我正好就在您刚刚分享的过程中啊，请教您一下，他提到的是体系化的防护安全，是木桶原理，那勒索病毒的整个防护的环节和链条，哪个环节是最薄弱的，应该怎么样来补短呢？

这个其实呢，它哪个最薄弱的是要依靠你的这个是一个什么单位的宝宝，针对于你的这个什么地儿是是最短板。这个木桶原理呢，其实我是不是太赞同的，木桶原理原原则上说的说起来是没错，你这个哪最短的板决定了你会准备工具，但实际呢，木桶原理搞起来它为什么这个原理到现在说的人相对来说少一点，在网光圈里域啊。它是因为它的成本太高了，你要把各处都要防范的好，除非你们家是国家电网，或者是中石油中石化那么有钱，你可以砸几百号人，一年花多少个亿上来搞安全。对于绝大多数的企业，其实是不是不行？他这个时候其实要建个模型。

要要考虑你的网络安全，这个到底该怎么做，我原来在320做的时候这个，呃，320的安全防线也不是所有点都防的。那这个这个确实要量力而行。就是要做，其实做安全的，首先是要做个风险建模，就是你的这个，呃，模型里面会就说你的最大的风险的，然后你你把这个给他，给他这个从最重要的开始搞起。就按照你的业务挣钱的情况，按投入有多少要针对性的说。好，谢谢谭校长，那这个问题我也想请教一下施老师啊，其实刚刚谭校长有提到，就是我们在事前可以买这个保险，当然买这个，呃，勒索险呢，有利有弊，呃，包括石老师您也提到了，就是我们要先准备出一部分的资金来预备，说有可能未来会遇到网络这个勒索的这个情况，嗯，那就这个问题您来延展一下，回答一下，第一个我们探讨的啊，如何做好风险管理，应该采取哪些措施，是不是也是根据企业的不同情况啊，做不同的选择。

呃，我根据我的一些经验吧，我简单说一下就是其实勒索攻击和普通攻击没有区别啊，它其实就是防攻击嘛，那么唯一的变化是说它攻击完之后，它是把数据进行加密和勒索，它只是一个结果，所以原则上来讲，防护勒索攻击和防护普通攻击是没有什么太大的区别。啊，这是第一个，那么当然了就是说有一个不同点，就是我们在过去的一些经验当中，我们发现在情报和对于APP流量的检测这两个方面，对于勒索的防护是有一定比较显著的作用的。我可以举一个例子，就是我们有一个企业啊，就我们这个客户的企业，他们在美国有一个分公司啊，那么当时他们在美国的分公司收到了美国政府发的一个警告的邮件。

说他们公司很可能会遭到勒索的攻击。会被，会被这个黑客所勒索，那当然这封邮件当时这个客户并没有非常的重视啊，只是呃，象征性的做了一些安全的工作，那呃，果不其然，过了三个月之后，这家公司被勒索了2000万人民币。啊，那么我们分析美国政府提出这个告警的一个比较核心的依据应该是，呃，这个政府可能监控了这个公司对外的DNS的一些流量，那么发现这家公司是有，呃，内部有主啊，像一些勒索团队的所属的木马或者黑客的这个站点上面发送请求的这个数据。那么基于这个原则，对他提出了这个警告啊，因此我们就是在一些企业当中，也尝试着在情报这个层面去做一些工作，那发现这样确实是有一定的作用的。当然，呃，情报跟的这个流量检测这一块呢，虽然能够发现一些这个痕迹，但更关键的是说企业有没有资金和能力对发现的事件做一些追根溯源的工作。

啊，如果对这个警告视而不见的话，其实嗯，这些能力建设是没有用的啊，这是一个，那么第二个比较关键，比较关键的就是在于数据的备份核心的问题啊，就是我们一直说，呃，防冷锁，防冷锁最终是数据只要不出大的问题，那么原则上你的赎金是不会去交的。啊，那么关键是你能不能知道自己的核心数据在什么地方，能不能做好有效的离散的一些备份啊。好的，感谢石老师的分享，好，那还有第二个问题啊，正好我也是同步来提出，应该是问啊，嗯，信通院的郑主任的啊，在您分享的时候，这位嘉宾有提到，就是怎么样能查到并发现挖矿是有工具还是用什么样的呃手段可以来发现，邓主任您来解答一下这个问题吗？

好，主持人好。呃，其实监测的工具的部分呢，其实我觉得应该要请教一下腾讯的这个杨总哈，我觉得应该他的生意来了啊，那从这个我们支撑监管的角度来看，其实更多的会从大网的监管以及大网的流量侧做这样的一个呃解析，呃，因为这个这个这个挖矿啊，它其实以前是有一些铭文的一些流量的特征，那现在其实有一些密文的一些流量特征，我们在做大网的监测的时候，其实会有一些对抗的一些思路，那比如说呢，有一些代理的加密算法的一些使用特征特征呢。我们去用这个铭文的流量特征和密文流量特征呃的相似性，那通过一些机器学习，再结合一些资源消耗的一个特征来做综合的检测啊，来对这个总体的挖矿行为进行一些监测啊，这个是从我们监管的角度，或者从大网的流量的角度，来对它的这个协议做相应的一些检测，那么具体的检测工具，或者说面向To B的一些安全的产品，我觉得可能类似于腾讯安全，呃，或者类似于谭校长之前的这个所在的企业，可能会有一些更好的推荐啊，我我就补充这个小的信息，看看两位的这个领导专家从这个企业提供服务的角度有没有一些补充。

好，谢谢曾主任，也同时克了一下我们杨总啊杨总，那您回答一下呢。好的好的。呃，那其实，呃。刚才那几个问题，我我觉得我我呃稍微再呃再补充一下吧，就是呃，其实呃我们还是要按照今天这个主题啊，叫做呃以以始为终，我们就假设真的是啊，这个不幸的事件发生了，那我们该做什么？啊，那么其实就从这个角度我们就可以啊理解就是说我们啊应该是去如何做好一些风险管控，以及该采取什么样的技术啊和该采取什么样的一些手段，那呃，那刚才呃我们也提到了，就是说其实呃在对于呃整个呃整个防范的一个前置的条件，我觉得最基础，最基础还是人和组织。

也就是说对每个人要做一个安全意识的一个一个一个培训啊，那么对组织层面呢，是有这样的一个机制啊，有这样的一个团队啊，或者呢，你的你不需要团队，你可以在腾讯云上找一个团队啊来帮你啊去运营这块的一些安全啊，那么啊另外呢，啊就是一个备份机制，非常重要的，那么啊，特别是这种啊啊多多备份机制啊，那么或者说一些隐藏备份啊，包括啊这种啊数据备份啊，存储在不同的存储介质上，那比如说啊，在这个服务器上，在移动硬盘上啊，甚至在云上，那么都是啊一些这个呃，以始为终的一个一个思吧，那么呃呃，关于就是说，比如说真的，呃，对于。

呃，这个主机啊，或者该如何去发现呢？这里面其实啊，就就如谭校长说的，这是一个体系化工程，那几乎是把网络安全都要撸一遍才够，那我们的思路呢，是更多呢，是去在现有的这个，呃，网络体系里面，已有的这个安全架构里面去寻找它的一个弱点，那比如说就以零星任的这样的一个思去思考这个问题啊，对所有这种访问先采取不相信的方式，然后再去做这种啊校验和做一些这个策略，以及最小化授权啊去保障安全，那么呃，通过这种方式呢，即使啊不幸有一台主机沦陷了，那么也可以去这个啊，防止它进行一些内部的渗透啊，啊对重要数据啊，产生一些更重大的一个二次破坏啊，这是我们的一些这个思吧。好，感谢杨总的解答，那接下来我想邀请两位呃企业的C来谈一谈他们企业是在呃如何防范于未然，以及现在采取了哪些的安全措施和防护措施，那我首先邀请脑洞极光的Co呃张坤总，您能听见我说话吗？

哎，可以可以，好的，那邀请您来分享一下咱们企业是如何实施的好吗？啊，好的好的，嗯，很高兴啊，呃，我们那个刚才是听四位嘉宾都讲了，然后有。呃，谭校长之前也一起也一起聊过类似的事情，其他三位嘉宾多多少少的也有自己一些见解，在这个首先啊，就是谈笑说的一点是特别好的，除非是。呃，电网或者说其他特别大型的企业，呃，会做的特别好，就是在投入上会无限保障之外，一般的企业多多少少的会在这一块很难达到我们的预期，所以说这个，呃，就刚才说到木桶理论啊，实际这个木桶理论他有点有点流氓理论，他既。

感觉是对的，但是它在某些情况下，它又不是那么的有意思，因为某一块呃，木桶里面呢，就是这个板子的构成，它占的比重是不同的，有的木桶呢，你不能仅用它的高低来评断，就是这一块板子，呃，会对这个水的流失有多大。反而他有的，比如说他占30%，那他了他影响就会更大，那有的占5%，那他矮了一点，它影响就会少一些，就是如果我们从一个一般型的企业来说，呃，我有三点建议可以给到大家，就是呃，我觉得首先我们安全一直在说安全左移，我觉得这个是适用于任何的，就是安全防治。体系的一个思，我们一定是无论是防护勒索病毒也好，还是防护其他任何的威胁和这个攻击也好，我觉得都是适用的。

而且首先第一点直接勒索病毒现在最大的风险，嗯，有两个，一个是来于人，一个是来源于已知的漏洞，呃，反而现在就是从数据上来看啊，N day 0day或者说N加1DAY，就是这样的漏洞被勒索病毒利用的相比较占比是比较少，反而是一些就是已经大家知道了很久。的漏洞，然后会被勒索病毒利用的会比较高，因为这个勒索病毒工作的时候，他也要考虑一个成本，如果它集成了一个零倍的呃攻击点，那它的成本可能就会变得很高，呃，刚才提到了特别好的一个词叫ROI，那他们这个。收益比可能就会降低，所以我们能通过极简单的投入，比如说人员培训，人员安全意识的培养，长期的就是这个演练，然后来解决这个人的问题，然后这个漏洞呢，我们只要有有一些有效的这个漏洞管理的手段，基本上这个口子是可以得到治理的，除非我们真的是被别人盯上了，就打的特别死，只要有了，我就利用上你，这样的话我觉得。

不能特别的去讨论这个事情，这个讨论下去，这个事儿就没法干。然后另一个我觉得特别基础的就是一个高投入的一件事情，就是终端安全管理。这个东西现在很多企业都已经在做了，也但是呃，因为我在一些企业做安全顾问会发现一个问题，他们确实是投入了一些钱，比如说漏洞的发现，漏洞的修复，然后威胁的威胁情报，然后这个呃，包括这个漏洞的管理，主机安全等等，但是往往他们差就差在运营上面，比如说资产的变动情况，然后这个基线的多模态化的管理，这个股东的修复和有效性的管理，呃，策略的管理，或者说这个优先级不一样的业务系统的管理都没有做的特别好，实际上很多时候我们在做这个挖矿治理的时候。

或者勒索病毒治理的时候，呃，是能在我们不产生新投入的情况下，通过运营和管理手段能做的更好的。我给大家的意见基本上是这样，然后另外一个我觉得是可以和我们的运营，就是运维体系去结合的，就是我们的数据。呃，刚才也说到了，实际真的到最后一步，我们说需要谈判也好，教赎金也好，还是其他的方法也好。到那一步的情况下，呃，我认为啊，不一定这样啊，我认为说实话，第一个你很难达成预期，因为这个东西它毕竟是一个犯罪行为，犯罪行为就有一个不可控的一个因素，就好像他是一个绑架者，你交了钱他不一定不会，他不一定会把人给你放了，他也可能会撕票，另外一个刚才有位嘉宾提到了一个谈判。

呃，我不知道啊，因为我这一块的经验有限，我不知道就是咱到底有多少的勒索病毒，我们会有谈判的机会，我们可以那么去想，反正我处理过得有个十几次吧，自己的帮别人的基本上是没有谈判机会，如果大家真的能坐下来一起聊的话，那只要他敢和我对话，我有十成的把握，基本上能追到他，能查到他，就是很少会有这种对话的机会，所以我觉得还是要把我们的就是这个治理的重心。放到前面去，当然了，如果我们有机会能就是让我们的就是解密的工具啊，我们的这个供应商呢，给我们一些更多的服务，这个东西是作为我们的一个备选方案是OK的。啊，基本上第一个问题给大家啊，我自己的一些小的想法是这个样子。好的，感谢张总的分享，好，呃，我看到我们还有一位呃，第二届安全学院安全班的呃同学，未来汽车的Co也在线上，不知道他能不能听到我说话啊，赵总，您能听见我说话吗？

可以，没问题，好，第一个问题我想也请您分享一下您的经验好吗？好的好的那个啊，首先呃，抱歉一下，就是因为在上海风控了两个多月，所以整体这个形象方面也也不是太好，我就不开摄像头了那个。呃就是关于勒索软件这一块，其实我们公司之前没有经历过非常严重的呃勒索软件的事件，但是我们确实也是非常担心，因为我们既有办公网，也有这种呃生产制造的这种工厂，所以说呃罗O软件的风险我们其实一直是非常看重的，那刚才就是呃几位嘉宾也分享了很多这方面的一些理念知识，就是呃我我可能也稍微说一下自己的想法，首先我觉得针对勒索软件来说，如果我们认为啊它是一个非常重大的风险，那么其实企业内部的信息安全工作，我觉得还是应该以风险为驱动吧，就是呃评估，因为在呃在实际工作当中我们可以看到就是是事实上呃在安全这边，木桶理论是一个长期的一个方向，但是呃。

从应对某一个重大风险来说，或者说呃保障企业现有业务的安全来说，呃这个可能不是太适用，因为前面也说了，就是投入过高，建设周期可能也过长，所以说更多的还是呃判断优先级最高的风险，针对这些风险可能进行一些呃专项的一些什么内查自查也好，来或者说评估，来看看在这些风险方面，我们目前的信息安全管理体系也好，技术技术防护手段也好，呃是否有一些欠缺，当然就是呃基础的一些能力可能还是要必备的，对吧？就比如说从最开始呃建设的时候，可能从网络层就是呃，你就要有七层的这种防火墙，而不是四层的，那么呃终端的防护可能是呃传统的AV呃。

嗯，不，现在已经不是太适应现在的安全防护需求，可能需要转换成EDR，甚至XDR，呃等等啊，但是就是呃。就是针对于呃勒索软件这个风险来说，那么我们重新审视我们呃自身有哪些薄弱环节，我觉得这个也是非常必要的，可能针对企业内部优先级最高的一些风险，我们可能都需要有一些专项的这种治理行动，这样可以确保我们呃安全方面有限的人力资源也好，就是资金也好，能够投入到就是最重要的地方，能够产生最大的一个产出。对，所以说呃就是呃那个呃啊不好意思，我这个思有点断掉了，那个呃，反正就是呃对于我们企业来说呢，就是首先在安全体系建设的时候就是呃，其实很早以前就认为呃勒索软件可能会是一个比较重要的风险，大概是从五六年前最早开始有工业企业受到勒索这样呃这种新闻报出来开始吧，所以说各种安全防护环节可能都比较重视呃勒索软件的防护，呃然后包括比如说各种终端的这种威胁情报的一些连接啊之类的这种措施，我们可能也都会提前考虑到。那另外一点呢，就是比如说就是呃，针对我们企业的现状，就是呃勒索软件最有可能产生的这种攻击节点，就是我们的威胁面到底在哪里，可能也做过这种专项的评估，就比如呃也会有一些针对性的这种举措，就比如说呃，在工厂里边，我们认为勒索软件出现问题的这种概率最高那。

么工厂核心的这种，包括公共机也好，包括就以太网的一些和生产制造相关的这些企业来，嗯，那个系统也好，那么可能它的安全防护，包括数据备份的这种及时性和它的一些安全防控的这种手段，数据恢复的这种，呃，这种嗯，不管是便利性还是这种可用性来说，可能考虑的也会更多一些，也会据此做一些专门的这种防护的这种solution，它和传统的可能。

It安全可能不太一样，就比如说呃公共主机可能有一些就需要上一些白名单之类的走路线，而不是就是AV或者E，然后那个呃公共网络里边就是呃它的管理制，包括这种U盘的接度，包括呃笔记本电脑就是外接的这种各种各样的供应商的这种笔记本的呃测试travel shooting的这种管理可能也需要更加严格。对，就是反正除了传统的呃，或者说呃，各个企业都在做的，针对自己的一些薄弱环节，可能也需要做一些专门的防护啊，另外一个就是还有一个思可能还是就是以攻代守吧，就是呃就是勒索软件攻击呢，它很多时候是类似于呃apt攻击的，所以说就是呃我们也会针对刚才就是各位嘉宾分享到嗯，比如说那个呃六色软件攻击的传播途径，可能有50%左右是弱密码，那么呃与其被别人爆破弱密码，还不如我们自己爆破呢，所以我们现在比如说呃每个月可能都会进行相应的这种弱密码的这种这种审呃扫描和测试，发现问题可能及时修复，如果外部呃调邮件也是一个很主要的传播渠道，那么我们现在也是每个Q都在做相应的调鱼，针对不同的部门，呃。

嗯，也会。怎么说呢，有呃定制专门的这种调邮件模板，就是呃基本上可以做到我们内部的调用邮件的这种中招率，可能比外部实际的调用邮件的中招率还要高，那么通过不断的做相应的这种呃呃测试，或者说意识提升相关的工作，也呃一点一点提升我们这方面的一些防护能力吧。呃，我主要想说的就这些。好的，感谢赵总的分享，嗯，其实我们本来四暂会在上海在举办第三期我们安全学院的培训的，也嗯，挺遗憾的，就是这个期间上海发生的这个疫情风控，我们也期待说后续啊，尽快恢复，我们尽快能在上海相聚，谢谢您今天的精彩分享，谢谢。

那我们第一个问题呢，其实请教了我们四位呃嘉宾的这样的一个分享，然后我们也邀请到了两位企业的Co代表来呃现身说法啊，那当然我们知道今天的话题可能有一些内容呢，也相对比较敏感，那我们在后续对外宣传的过程中呢，也会进行脱敏，同时我们今天的呃，PPT的内容呢，因为有嘉宾也提到了想啊，后续再来学习，我们跟线上的分享嘉宾确认后，我们脱敏以后再共享给大家，嗯，再次感谢，那我们谈到了事前这样的一个啊准备啊，做怎样的部署啊，防护啊，嗯，策略啊等等的，那我们现在啊，就谈第二个话题，我们第二个话题呢，嗯嗯，我在第二个话题之前啊，其实我想跟我们线上嘉宾互动一下，其实不一定是您的企业啊，遭到勒索软件攻击啊，就是您自己的个人见解，如果说呃，我们假设出现了这样的情况，为了尽快恢复数据。

不得不向攻击者支付大量的赎金，我们是付还是不付呢？如果是，呃，战队是一的，呃，如果回复是一的，我们可以是付，然后如果是不应该缴纳的，我们是二，然后大家可以，呃，就这个话题啊，因为这个我们对外也不会再公开大家的算是一个匿名的互动吧。嗯，那我们就。就这个话题呢，也先在大家互动的过程中，我们请教一下啊，因为施老师其实在呃分享的时候，他有明确的提到啊，企业应该是第一时间不应该做这个动作，那我想请教一下谭校长，您您觉得呃，在这样的情况下，会因每个企业的状况不一样来做不同的处理，还是有什么样的建议您来谈谈这个话题呢？

对，这个确实根据情况它要有变化的，如果它有备份可以恢复，损失不是太大的，当然可以不用付，或者它这个系统就是我就是粗暴的重装，对业务影响也不大，这这玩意儿也可以不用付，但是你比如像有的企业，你比如像医院。他如果被被勒索了，你这个又又解不了你你你这样一天的损失就是多大呀，还有呢，对于一些生产性的这样的这种企业，它如果它的生产控制系统被被勒索了，他可能是就要停产了一天，它的损失是多少就直接就可以计算的出来的。你这个这就员工你这个都是要要发工资的，然后呢，你的产品的这个东西，他的其实在付赎金这件事情上，我觉得我们不是站在道义的这个基础之上，说我这个就是对恐怖分子，我就不应该付赎金或等等这些东西。但是这个里面它企业它是一个经济体，它会精确的去计算他自己的，呃，这个投入和和损失，那对于很多的比如医院这种这种机构，他就停一两天，可能他这个赎金的数额他就可以足以支付了。

那就在这种情况下，我觉得支付赎金还是最利索的，你比如我前面我我有我的一些朋友，就是被勒索的也不止一个，就很多人来找到我，我们是一分析，哦，是是哪个组织勒索的，可不可以解，解不了的，然后判断他的业务，就直接告诉他您交钱就算了。这个我觉得没有必要和这个世界去整个去拧吧。我是这个观点。嗯，好，感谢谭校长，嗯，那呃接着这个问题啊，我还想请教一下您，嗯，您刚刚也讲到了，可能不同的情况我们来不同的平衡和考量，那我们有没有一个比较好的办法能够精准的阻到勒索软件呢？嗯，其实施老师刚刚有讲到啊，就是有可以有一个谈判的过程，刚刚我们有个企业的Co也提到可能的这个是。

我不知道施老师自己有没有实际去谈判的经验啊，呃，我是实际参与过一些的，我觉得我比较赞同刚才的那位Co的那个那个观点，很多时候他根本就没得谈的。这个我亲自参与过一个谈判案，那个那个，呃，勒索者直接说我控制了好多机器，我忙得很，我没时间跟你废话。就是就是这种情况呢，你还想通过谈判和在那套多少情报，这事儿我觉得不太可操作，从我的经验来说，我觉得不太可操作。好的，感谢谭校长，那接着施老师，您您来也回答一下这个问题。啊啊大家好，那我想是这样，就是这个呢，我还蛮赞同教导的这个说法，就是说。呃，其实我们举一个比较不是完全恰当的例子啊，就是。这个勒索的赎金就有点像你自己的孩子，如果被别人绑架的时候，那个绑架者问你要钱，如果你不给的话，他就要撕票的，这种感觉是完全是一样的。

所以在大多数的这个勒索的情况之下呢，往往来说就是你支付支付赎金和你是不是真的能够解决这个问题是直接相关的啊，如果说你就这一个孩子，而且养了十几年，你指着他养老了，指责他这个天伦之乐，这个时候你说不让你交赎金要撕票的，这个大概率是不太可能的啊。当然我们并不是非常建议就是说第一时间就去考虑赎金的问题，因为确实目前在呃，处置勒索的这个事件当中啊，数据还是有办法拿回来一部分的啊，特别像一些数据库类的数据啊，这种数据有大概率是可以通过别的方式恢复回来的，而不是只是。交赎金的方法啊，这是一个，第二个就是关于谈判，就是呃，我也很赞同前面两位这个嘉宾的说法，包括谭校长的这个说法，确实在这个呃跟攻击者去谈判的过程当中呢，是非常非常困难的。

而且呢，在大多数的情况之下，现在的勒索软件呢，它都是自动化的，也就是说你攻击成功之后，你连这个人的邮箱里都拿不到。他基本上就是你在一个网站上面，直接把书一提交以后，就可以把这个密钥给拿回来了，所以在这种情况之下呢，也就是说你根本没有机会和对方去洽谈啊，当然了，在一些赎金金额非常大的，比如说两个亿。5000万美金，像类似这样的案例当中，我们是经过不少谈判的这个环节的，但这个在比例当中过多啊，是比较少的一个情况啊，那么在一些比较重大的，像一些跨国的这种集团，包括这个赎金金额基本上是千万级别的，他基本上都会留一个谈判的这个空间跟你聊，因为这个时候呢。对于这攻击的这个利益是非常非常巨大的，而且通常他在这个攻击的环境中花费的时间非常的长，呃，我们现在碰到的案例，有半年的，有甚至长达九个月的，他是非常不愿意放弃这这笔收入的，他可能会给你一定的空间啊，但是如果你说是100万，50万这种赎金的话，基本上他是不跟没，就像谭教说的，他没空跟你聊天的啊，你付钱就行了。

感谢石老师的分享，嗯，那杨总您您您也谈谈您对这个问题的观点呢。杨总，嗯。哎，好的好的，那嗯。呃，其实其实这样的，就是我我们看一个数据吧，就是呃在那个呃国外的有个调研机构调研的，我如果没记错的话，那全球范围内每年勒索呃攻击的这个造成的损失大概是赎金的七倍。那所以呢，这个这个是什么意思呢，就是。啊。

也就是说其实其实交赎金呢啊，那么啊可能会挽回的损失会更多哈，所以这个这个是数据表明的哈，那么不代表我的观点，我的观点呢，当然是这个呃呃，从这个呃整个我们的这个呃呃呃法律角度或者政府呃治理角度或者呃这个我们的对抗角度啊，能够不交赎金当然最好，那么这里面就要考虑到一个这个ROI，就说你的企业损失的ROI，就是到底是哪个性价比更高的一个问题了啊那么我们我们当时啊，不不希望通过交赎金去去鼓励犯罪哈，啊但是呢，这个也不是说啊必须啊必须是对抗到底哈，那肯定是呃，企业要有自己的自主选择，那么啊所以呢，我我们认为就是说呃还是呃还是这个呃呃。把这个最坏的打算呃考虑到前面，那么考虑一些更呃呃性价比啊更高一点的一些这个防御方案，比如说备份呐啊还有一些这个呃适中的一些这个响应啊啊这一类的方案啊，那么同时呢，其实在交赎金的过程中也有很多坑啊，比如说啊我我刚刚也讲到了，其实也也也存在这样的一个呃赎金代理啊这样的一个呃角色，那么是在受害者啊以这个呃与这个勒索者之间进行一个讨价还价啊啊赚取佣金，当然也有一些非常不守信的这些代理者哈，那么啊即使啊那个支付了赎金之后呢，那么也也有啊这种啊不提供解密密钥的事件是存在的，那么所以呢，就是即使啊要交赎金的话，也要通过一些啊，比较这个呃，可靠的，或者说比较这个成熟的一些这样的啊流程啊，去去啊去处理啊。

啊，感谢杨总啊，那刚刚杨总提到这个我们的ROI的判断，包括呃，谭校长在分享的过程也提到了，我正好还想请教一下谭校长啊，咱们来判断这个ROI是谁来做这个判断和决策呢？就我们的您您经历过的这经验是我们企业的首席安全观还是呃手机呃就是我们经常说的CIO还是企业的一把手，一般来讲企业内部是一个什么情况，碰到的几个case都是企业的CEO都都介入了。

他这时候已经不是这个cso自己能够控制的，它就是需要的预算呢，往往也不是这个原来的安全建设预算。那这种事情一般下来就是这影响到企业的运行啊，就是会把这个一般会把它企业的这这个经营的主管，那不管是CEO还是CE或等等这些都也没不进来了。嗯。好的，感谢谭校长的分享，那我这个问题呢，我也想邀请我们的，呃，一位同学啊，也在线上，他是我们首期安全学员的学员赵莹，赵总您在线上吗？在在在在，好的，这个问题可以请您谈谈您的看法吗？

呃。关于这个ROI这个事情，我觉得有可能要有经历过的，可能会比较有一些感触吧，我只能说，呃，我所在的，因为是在中国区的总部。我们的在中国区的那个所有所有的那个工厂下属的一些法人，我们都还没呃去很早很早年了，大概有六七年之前。曾经经历过非常非常小范围的遭受勒索攻击的这种事情，当然作为企业的角度来说，无论是从CEO也好，CIO也好，还是我那个时候已经开始负责。呃，信息安全跟网络安全这块的，我们是一致认为是不会去支付这样的这个赎金的，但是呃，实际上呢，但是真正遇到了一些事情之后，呃从呃事后的一个。

呃，回顾来看的话，我们也会去回看，如果这个事情发生之后真的会对，呃，我们公司的一些日常的运营也好。或者是一些生产的一些制造的这个，呃，运营也好，然后产生的一些损失的一些效果。会做一些初步的一些预估，尤其是从财务数据上，或者是会可能会跟我们的财务的一些同事，跟CF之类会去讨论这种问题。啊，我们的经济上面这个损失会有多大，然后才来呃去做后续的一些应对的一些工作，所以这正好说到这一点的话，我觉得今天这个嘉宾里面是呃，谭总这边提到一个网络安全保险的这个事情，然后我就顺便提一下这个事情，因为网络安全保险这个事情，我觉得是一个比较新兴的一个一个概念，就是说可能最近两年应该也是比较热的一个话题。

然后呢，因为呃，我们中国区这边呢，是很早年之前遇到过类似这样的这种攻击，但是造成损失是非常有限。但是呢，因为在最近几年，这个勒索病毒攻击的这种模式跟形式的变化现在越来越多了，所以呢，就是说嗯，我们别的区域也曾经发生过类似这样的这种问题。呃，当然这种范围不是全球性的范围，只是在某些区域性的一些地方，区域性的一些工厂，可能发生过类似的这些事情，所以呢，就是我们，呃，当时做这个网络安全的保险的时候的话，我们也是按照。呃，计算它的这个损失的这个量，也就是说，比如说假设说我遭受这个攻击之后，然后我有多少的法人，呃多多少的生产的工厂遭受这个攻击，然后造成了他的业务的停滞，可能有多长的时间。然后根据他业务的停滞的这个时间所产生的这个销售，或者是制造的这个能够提取出来的一些效益的一些数据，当然这些数据有可能来自于我们最基础的很多it的一些系统，比如说C这些系统。

来来，提取出来一些数数据之后，根据这个呃损失的一些效率，然后来计算出来，然后跟CFO一起讨论之后。然后再去反过来再去看，我们在买这个网络安全的保险的时候，我们应该买哪些险种，然后呃，需要花多少的预算去买这种。呃，特别是针对勒索攻击造成的这种损失的这种保险的金额。当然这里顺便提一下就是，呃，我感觉好像网络安全保险这块在欧美国家相对来说是已经很多年前已经启动了，在中国这边还相对来说比较。

比较晚，然后最近一两年才刚听说一些中国的一些保险公司在做这个网络安全保险。OK，我就就说这些吧。这个网络安全保险我补充一点啊，去年整个上海的网络安全保险的保费收入大概只有几千万。它真正的就是做网安全保险服务的这个公司收入了小几百万，这个事儿呢，是政府在很大力在推。但是呢，基本上属于保险公司，对保险不懂，他得找在保险公司来兜底。政府呢，但是特别想把网络安全保险推成一个惠民工程，就这个事儿呢，就是其实我觉得各方还都没有想太明白，还都得在一个摸索的阶段，但是政府在大力在推。对对对，这个我跟谭老师可以沟通一下，因为我跟很多国外的保险公司，也跟国内的一些保险公司的，呃，认识的朋友也聊过这个话题，感觉上可能在美国，尤其是在美国吧，他们对于这个网络安全的这个保险的这个风险，因为他们保险公司也是按照风险的这个等级划分，根据它风险发生的概率来来评估这个保险的到底会是多少，但是可能他们已经形成了一套比较成熟的一套运算的一套体系，能够做出来说快速的运算出来我的保费会有多少，但是国内的话，可能因为各种不同的一些原因吧，可能这个保险费率的这个运算方式可能还是还是比较比比较慢一点，或者说。

还不是特别成熟吧，感觉上。那个呃，就是刚才这个话题，我这边也想补充一下，其实是在去年下半年到今年初，我们公司也做了关于网络安全保险的一个评估，然后其中相对来说网络安全保险的险种里边，可能呃勒索勒索呃险相对来说是稍微成熟一点，但是哪怕是这样，经过一个比较深度的调研，就是可以在国内提供网络安全保险的公司，包括啊提供的险种，然后相关的一些责任的界定，然后损失的界定啊，包括对应的一些技术支撑，后续的理赔，反正我们得出的一个结论是目前可能并在国内并不适合采购网络安全保险，这个市场整体来说还是不太成熟。

感谢赵总的补充啊，其实我们时代还有一个专门的金融行业班，刚刚听到几位聊这个网络安全保险，我就想到啊，包括中华财险啊，中国人寿的啊，首席新机关也都是我们的学员，我觉得有有机会可以大家引荐一下啊交也就这个话题也可以聊一聊。嗯，那我看到啊，我们线上还有一位嘉宾提问啊，提的这个问题，我想请教一下郑主任，嗯，这位嘉宾提的问题呢，是呃小企业嗯和这个呃就是我们不同规模的企业，嗯，他选择我看一下这个问题哈。

大企业大的组织机构是不是容易被勒索软件攻击，小企业是不是相对安全一点，基于这个问题呢？因为您也是来自信通院安全所的，我相信啊，您这边有很多研究啊，还有一些数据支撑，所以想求就这个问题来请教您来回答一下呢？孙主任好，哎，李主任好，呃，其实我觉得不能以这个简单的体量来做轻易的对比哈，呃，小企业呢，一定意义上它防护的投入相对而言总的规模上可能会少一些，那么面临的风险和挑战可能也会更大，呃，那可能很难用直接公司规模的体量，包括它市值的体量来来衡量它的安全的性的一个情况，因为有一些小的企业，它其实是安全的能力是托发在云上面也比较多，所以它的防护能力其实是多方面多维度的。

呃，我这里刚看到群里有一位。同学也提问说说类似这种勒索攻击事件比以前多，然后为什么犯罪分子会越来越猖獗，那包括说对犯罪分子有什么好的办法？呃呃，其实我我也想一起回应一下这个问题哈，就包括说交不交钱，呃，被勒索以后要不要交这个赎金那呃，从我个人的角度来看，那肯定交不交钱要看这个投入产出，比如果花一点很小的钱，能够节约时间，节约很多成本，那交了也就算了，那如果是从工作的角度来看，那其实我们肯定是不交钱的。而且绝对是不会跟黑灰肠妥协，那么从我们监管的角度来看，呃，还是以以今天的这个勒索病毒，或者说我我之前和大家分享和报告到的这个虚拟货币挖矿这个主题来看哈。那我们我们的呃，最近呢，确实也会有一些呃工作是专门做这个虚拟货币挖矿，或者说针对恶意挖矿的这样的一个工作行动。

那当时呢，我们定下的基调就是说要做三个清零啊，会有几个很明确的行动的方向，那么第一呢，比如说我们对境内的这种活跃的值是坚决要关闭的，而且是要严厉打击的，那么这个呢，包括从这个大网上做监测，做域名的停止解析。对这种相应接入的IP直接做一键封堵，那么这个是釜底抽薪式的打击这样的黑灰肠的行为的啊，这个是呃处置的一个环节，那么第二呢，比如说我们也会建立这种协同的机制，比如说我们的职称，工信部，公安部，网信，包括发改委等等相应的监管线条啊，实际上我们内部呃，类似于这种电信反欺诈等等，都会有很好的一个联动的机制，那么发现相应的网络特征的流量，相应发现这种相应的一些恶意的行为，那其实呃包括了网络的一些攻击，包括了一些勒索这种不同的场景，那其实都会作为这种联动机制的一个，呃工作方案中的一个闭环，而且是会协同作战。

那么另外呢，比如说第三点就是呃，我们会通过大网的监测能力，对市场上的这种大面的这种安全能力会做这样的一个监测，那比如以包矿为例，其实我们也是发现一个矿池，就会坚决处置一个矿池，如果说类似这种黑灰场，包括说借由这种虚拟货币来做勒索来和。相应的一些企业，不论大还是小啊，包括个人，这都是我们合法合规内的重点保护对象，我们定下的基调，或者说我们日常工作中的监管的支撑方向，也是坚决发现一个，查处一个，问责一个，绝对不会有谈判的余地和空间，那这点上呢，呃，我也是希呃，希望给大家一个正能量，就是说虽然说黑灰场非常的猖獗，那非常虽然说这个勒索病毒，呃，包括说网络这个环境啊，这个道高一尺魔高一丈的感觉，但是总体上呃。

这个整个网络的环境绝对是安全可控的，而且我们也是对这种对这种勒索谈判也基本是零容忍的一个状态啊，我就跟大家报告我的一个个人的一个考虑哈。主持人。好，感谢郑主任的分享啊，那您稍等一下，我还想刚刚赵总还提了一个问题啊，我想这个问题也想分别请教一下四位嘉宾，那我就先请教一下您，他问的这个问题是，如果我们企业在呃，预算和网络安全，人力资源都非常有限的情况下，如何有效的推进这个勒索攻击的年度演练，因为我是知道，呃，这个有一些央央国企啊，金融机构是每年都会有这个互网行动的，但是可能也是针对啊央国企金融机构会多一些啊民企和私企，呃，这这个我也是想问，是都需要做这个勒索攻击的年度演练嘛，然后嗯，有什么好的建议吗？在各方面资源都比较有限的情况下，请您先来回答这个问题。

郑主任。诶主持人好，这个护网行动每年是例行的工作，我觉得呃，公安部这几年牵头，其实不仅是中大活动保障哈，其实通过护网的这个专项行动，对整体的安全的治理，其实会有很强的正向的作用，那其实不论是大中小企业，我现在总体上来看，其实参与度还是非常高的。呃，目前我了解到的应该是，比如说它会分行业，分属性，比如说金融的机构是一些，呃，呃，电力啊，能源啊等等，它会分不同的行业，既有攻方也有防守方，呃，对于整个治理安全的大网的环境肯定是有正向的帮助的啊，这个是我从监管角度上的一个一个反馈。呃，我刚刚看到这个群里，包括赵总提的问题是说这个资源非常有限的情况下，怎么来好的建议，建议我觉得还是量力而行吧，啊这也是结合公司的实际业务来看，那如果安全本身也要考虑这个平衡，那如果本身公司的这个这个业务的产出值就相对而言在某一个范围之内，那你确实没有理由说安全的投入比你赚的钱还多，那我觉得这个也也确实比较荒谬的一个逻辑，所以总体来看还是需要量入为出。

这个总体结合自己的一个安全的需求来做评估，那么小型规模的企业，呃，我我相信包括腾讯安全在内啊，其实有很多上云的一些业务，那么依托一些共性的云的一些防护的能力，可能会比单独的你来直接应对市场上那种私有化部署的方式，可能会有一些防护上的总体能力的一些差异性哈，我觉得这个可以请尤其是中小微企业可以重点来考虑的，那么对于这种国企或者事业单位而言，那么。

呃，其实之前大家应该也能够看到业内的一些文件流转，比如说安全是一把手工程，那安全的经费比例里必须一部分是保障安全的投入的，就信息化的投入里的经费有百分之多少的一个比例是安全保障投入的，那么这个也是前瞻性的，从政策的角度来做安全投入的一些保障，那在这些维度上把经费用好，呃，用到痛点上，我觉得这个用到这个包括。呃，谭校长可能在业内这个做To B的这种业务非常资深哈，到时候可以给大家好的一些解决方案，或者好的一些公司产品的一些建议，但是起码从我们总的监管的角度，或者总的市场的角度来看的话，呃，还是要根据自身的情况来定啊，这个是我小的不成熟的看法啊。主啊，感谢郑主任，嗯，那正好谭校长，我也请教您，不管原来是在360啊，嗯，管。负责这个安全，然后还有您现在接触了这么多不同规模的企业的啊，那我想也请您来解答一下这个问题呢。

那其实呢，这个去年上海市政府和工信部都出的文件，都说是这个安全预算应该要占到it预算的10%，这个事儿呢，本身是个好事儿，虽然它的落地呢，肯定还会不是这么简单的，不是政府出一个文件，大家就真的能拿出来it预算的10%，而国内真正来看的话呢，It的，呃，这个在安全预算占比比较高的是金融企业。金融企业它能做到15%以上的这个it预算，它用用于在安全方面，那这个呢，如果再回过头看总体数据，中国的网络安全的预算占it预算的总的比例大概是在不超过3%。而如果看美国的话呢，它能够平均是在10%以上，这种呢，就是造成中国的网络安全上的这个投入过去一直特别少。那这个到去年的话呢，整个产业的这个产值大概才600来个亿吧。

这个比小龙虾的或者是广场舞大妈的周边设备的这个产值还要小，那这也造成了整个安全行业中间的内卷特别的厉害。那这种呢，这个这个内卷了之后呢，恶意竞争又会造成大家的安全公司呢，去低价的去竞争。就比如说去年这个前期有个单子，说是这个7000万左右的一个订单吧，最后他几十万拿下的。那就这个呢，就是对于产业呢，就是这个会，呃，就是产生一些恶性循环。最后呢，是坑死自己，害死这个从业者，然后呢，就是最后还把客户也给坑了。就是就是这种情况，这些呢，我觉得就是从呃提高就是呃，不管上海市政府还是工信部出台的这些政策都是一个，呃我觉得是一个是一个姿态，那这个这个事儿，这是个好事儿，最终的安全呢，还是这个要有相应的投入，但是它到底投入多少，这个企业的这个状况不一样，就是不能去。

这个一刀切的。你比如对于呃，这个就是盈利情况非常好的这些这些大国企，你不管通过一些法律法规的规定，还是通过护网演习这种打脸的这些这些行动，然后呢，这个是呃，确实它是能够促进他这个在安全上去投入，他确实他也投得起。但是对于很多工业企业，他其实如果本身活的就很艰难，你让他再做工业互联网安全，你再做做很多投入，那你还不如让他直接倒闭了算了，反正横竖都是死。那这些怎么死，有什么大的区别吗？这些东西我觉得还是具体具体情况要看。你比如像工业互联网安全，这这两年工信部特别重视，但是呢，这个我觉得存在的一个问题是工业互联网上的安全工击确实还比较少。你比如勒索攻击，它针对于工业互联网的，它的产生攻击，他还能够有办法挣钱，你要其他的这些黑客，他没事，他就黑工业互联网干嘛，他如果没有办法去转化成这个这个自己的利益的话，他就没有动力去做这件事儿。

所以这件事情我觉得还是要放在恰当的时刻，用恰当的这个呃，这个措施去进行防护，这嘎特那提那个卡塔那个思想其实挺有道理的，你要评估你的动态，评估你的风险到底有多大，然后再恰如其分的去做防御。其实这个系统的漏洞呢，到处都存在，咱们的生活的这个it世界里面呢，就是计算机的冯动体系结构带来的天然的各种各样的这个问题啊。它的漏洞是大把大把的补也补不完的，那只是按照当前的威胁，有什么样的这个冒出来，然后我们去解决它，比如像前两年。这供应链的这个攻击，那造成的呃影响，像sus和去年log for two这个漏洞这个事儿它造成的影响比较大，OK，那大家就对这个事儿就多重视一点。那如果他其他的也有很很厉害的这样的漏洞，但是呢，他现在没有造成什么样的危害，那我们就可以再稍微放一放，等晚一点它真的就是出现大规模的攻击的时候呢，再去进行处理。

是这样的。感谢谭。家长的分享，那这个问题正好也想请教一下杨总，我们针对这种嗯，可能在资金啊，资源上都有限的情况下，或者企业规模也不太一样的情况下，我们有没有好的解决方案和服务或者产品呢？哎，好的，杨总能听到能听到，可以可以，嗯，我看了那个群里面赵老师的提问，他他主要是说在企业预算和网络人才资源非常有限的情况下，如何有效推进那所病毒的年度演练，那那其实刚才其实呃呃两位嘉宾的观点，我我我都非常同意啊，主要是看。呃，你是你的。最大的一个这个隐患怎么样？因为其实勒索呃攻击也好，勒索病毒也好，它其实也是常见的呃一种这个呃病毒发作啊，或者一种攻击手段，那所以它所呃所所用的一些这个呃，呃这种这种路径啊，其实都是呃跟常见的一些呃这种啊入侵啊，或者一些这个呃漏洞利用啊，或者弱口令利用啊，这些是相关的，所以我我不知道这个赵老师具体是哪个行业的哈，如果行业有非常强的一些这个行业指导。

啊，比如说您是金融机构的，或者您是这个工业企业的，那我是啊是强烈建议你一定要有预算流出来，去做这种勒索攻击的专项防御，那如果您是一般的企业的话，我觉得就可以结合在你的平时的一些这个安全服务啊，包括安全演练的这个，呃，预算里面去啊，作为一个项目啊，然后呢，针对这一点的，特别是我觉得是漏了一个啊，就是说因为勒索软件或者勒索病毒发作之后。

呃，跟其他的这种攻击不一样地方，就是对你的数据所产生的一些这个影响，所以可能要要要要对啊这这这个呃呃数据的备份啊恢复啊，啊包括啊一些这个呃啊呃安全运维方面的呃一些日常的工作啊，有一定的有一定的关注和指导吧，啊那啊至于一些中小企业呢，那么啊，我的原则还是说就是还是要看啊你的资产啊和你的这个呃服务啊是否可以上云，如果上云的话呢，我建议就是在云上啊，通过SaaS化的服啊服务去解决你这个问题。感谢杨总的分享，那最后我也想请教一下施老师，施老师您您在这个企业做这个勒索，呃，演练的过程中有什么样好的建议吗？把资源和人力怎么样进行最好的有效的调配。

呃，我觉得可能从勒索这个处置和演练的资源调配方面啊，呃，比较关键的一个问题在于企业的这个主要负责人对勒索这个事件的一个态度问题啊。就是如果呃，企业的主要负责人了解到勒索这个攻击啊，是可能会让企业万劫不复的话呢，他一定会腾出足够多的资源来解决这个问题。啊，那当然了，我们讲勒索这个攻击，其实它还是有分类的，就是嗯，我们常说，嗯，我们真的要处理的勒索的攻击，是指那种对整个企业的核心数据和对整个企业的it做了全面的控制以后，实施的这种人为的勒索，而不是这种被感染了病毒的这种勒索，其实它这个区别还蛮大的啊。所以我们更多的是希望是说你更关注的是前面的这一种，就是你的企业不是被一个非常呃深度的攻击以后，然后会被攻击者做了一个全面的数据加密，那么这种攻击呢？呃，我可以举一个例子啊，就是我当时接触的第一个勒索的事件。

这家企业是一家苏州的公司嘛，那么当时这家公司是有200个员工，他给苏州很多这种企业提供一个云化的应用服务的，它所有的应用都在云上啊，所以当时这个企业的所有的虚拟机全部被加密了，而且备份数据被删除。啊，就面临这么一种情况，那么如果这个事件没法去解决的话，这家年产值大概将近一个亿的公司呢？一个礼拜就会倒闭。而且他会面临300个以上的法律诉讼。所以后面这个企业就是所有的人全力以赴，就是投入了所有的资源来解决这个事件啊，那当然这个可能那个事件也各种方面因素吧，就是还是解决的比较圆满啊，这个企业最终也活了下来。

就我的意思是说，如果一个企业了解到这种攻击对企业来说是一个万劫不复的话，实际上他没有资源的问题啊，我一定会尽可能想办法去把能够做到的东西尽能尽可能做好。那么反过来讲演练这个事情，我觉得演练并不是说它本身需要开销多大的资源。其实真正开销资源的是你准备演练的这些内容。就你的备份，你的灾备，你的处置，还有你前面这些资源啊，演练本身它其实有很多种方法，我可以用一种桌面的演练，我可以并行的演练，我可以使用check list，我可以穿行演练，就演练的方式有很多种，它并不是说一定要花多大的多大的代价啊，当然你越真实的。呃，演练可能效果会越好啊，但是并不是说在我们这个工作也特别忙，什么情况之下，我非得要做到一个什么样的演练效果，这个其实也比较难啊。所以我觉得更多的还是说，呃，在勒索这个事情上面，大家要引起重视啊，那特别我们前面几个嘉宾也提过，像工业互联网，我当时处理过上海一个非常大的。

这个工厂的一个勒索时间当然是过年的时间啊，那他只要过完年以后，第一时间不恢复，每天就是200万左右的直接的经济损失。给他，留给他的时间只有四到五天。所以这时候他会想尽一切办法来解决这个问题的。啊，那么如果。在事件发生之前，这个企业知道。这样的一个这个工厂的勒索会给企业带来这么大的损失的话，我相信他一定会投入足够的东西来处置这个方面的问题啊，所以我觉得在呃，勒索的处置整个过程当中，作为这个手也好，或作为it的负责人也好。可能有一些工作需要去给一些这个可能更高层级的，像董事会啊，CEO啊，包括这个董事长这个层面去做一些沟通，呃，可能是一些高层的意识的一个教育，让他们更加的了解这种事件一旦发生以后，可能造成的一个危害有多大。

啊，那么确实是需要在这个场景下，呃，多花一些这个资源跟投入，来保障我们说最后的这个企业的核心数据资产或者核心的业务系统，不要因为呃勒索的这个问题啊，呃而造成一个不可挽回的一个结果。好的，感谢石老师的分享和建议，嗯，那我们嗯，因为今天在线嘉宾也比较多啊，提问也非常踊跃，咱们的时间也嗯差不多也也蛮长时间的了，大家也讨论的很干货，那最后这个问题呢，我就想请教再请教一下我们今天在线的四位分享嘉宾啊，我们最后其实是我们设计这个原作对话，是从事前事中事后来做这个分享的，那最后这个问题呢，我想请教四位嘉宾啊，在我们遭受勒索软件攻击之后，企业如何快速的恢复业务，把企业的损失遭受啊遭受损失和影响降到最低，当然这里面肯定是要做呃十件20件以上的动作，可能才能圆满的呃解决或者快速的解决，那我就想呃这个请教四位嘉宾，我们可以。

说一下您觉得最关键的三个点，最排头最前的三个点啊，来总结一下，也作为我们本场活动圆桌对话的最后一个总结，那这里呢，我就想请谭校长您先来，嗯，给大家一些好的建议，好吧。哦，十多年前在我在雅虎工作的时候，当时我们的工作就有一项叫BGP。这不是边界路由协议啊，它是叫业务持续性的一个，呃计划。呃，它其实就是当时就是要求我们在全球范围之内都做BGP，就如果说这个光缆断了怎么办，如果说你一个机房整个掉电了怎么样，你的业务怎么样能够去做，这个就是容灾的这样的这个这个设置，那其实对于企业来说呢，它针对于网络安全的这个风险啊，是他业务风险中间的一个。

在整个企业，我觉得他要有他的，如果他的业务是呃，Critical的这样的应用就不能停的，那他就要做这个BGP的这样的这种计划。这个业务的这种持续的这样这样的这个这个这个计划。这个首先是要有这个意识，要做做做这个计划这件事是最主要的，那么在这个计划，在真正在做的这个过程中，他就会有他的呃，这种各种灾难恢复的这样的这种呃这种场景，比如它的数据你要有远程的备份，你比如说像咱们金融行业要求的两地三中心之类的，那这种就是一个比较，呃，就是。高level的一种一种备份，那么对于你企业如果要要低一些的至少的话呢，你企业要有一个降级的这样的这种计划，你如果说遇到一些事情的时候，你的企业在我怎么能降级运行。呃，这样的数据远程的备份该该该该怎么样的，那你远处的这个机器，如果这个主的机房快掉了，那么你，呃，是不是业务系统可以迁移到另外一个地方，在多长时间之内能够起来。

呃，是这我觉得这个首先是这个计划，然后呢，再按照计划一步一步分解下去，去去落实。针对于勒索这个这个事情来讲啊，我觉得就是就是做好数据备份吧。这是最最重要的一件事。嗯，其他的没有，没有更多的了。好，感谢陈校长，那第二位我想请郑主任您来分享一下。啊啊呃，其实弹跳上已经说的非常完整了，其实最核心如果说三点的话，第一点肯定就是备份啊。这个数据的备份，针对这个重要的核心业务流程的备份啊，我觉得这个是非常关键的，因为这个是决定了整个这个发生安全事件以后，它具体对业务的连续性和稳定性上有怎样的，这个最终影响，最核心的部分就是做好备份。

那第二点上其实要这个。要借助一些自动化的一些呃技术手段，因为备份以后，那还得再看恢复的时效性，那恢复时效性的长短，其实也对后续的业务的这个这个影响也非常的关键，那么现在有了这个云的一些基础设施以后，就可以借助的一些云的一些能力，在这块有些补齐。那第三点呃，要做好基的取证，那配合监管做好这样的一个相应的这些这些呃勒索事件的一些数据的呃存证，那这样的话，配合后续的一些监管溯源，呃，如果涉及到较大的一些经济的一些问题的话，可能对咱们相应的受受害方的一些企业也会是一个保障。啊，我提的三点就这三个就是第一就是备份最核心的内容。好，感谢曾主任，施老师您来。分享一下。

呃。因为勒索它核心关注的还是数据嘛，所以这个前面两位嘉宾也都说了，数据肯定是第一位的，就是备份数据，无论如何去强调都不为过啊，那在备份里面呢，我们比较强调就是一定要离线备份啊，尽量不要在线备份，所以呃，希望很多这个企业在备份的时候要多留一块的这个预算。除了这个直接的热备之外，能够有一些这个冷备份的一些措施啊，能够把这个数据离散，这样呢，能够尽可能大的保障这个数据的安全性，那么第二个呢，就是呃，对于大的企业来讲，比如说像金融这种两地三中心啊，包括像电力啊，石油这种公司，其实呃，他们的这个业务系统的应急这块其实是非常强大的，一般情况之下也没有发生过这种勒索这种事件啊，极少极少可能性，那么关键是说一些中小企业啊，他们碰到这个问题怎么办？那么这些中小企业呢，我觉得首先可能要考虑一个业务，一旦出现问题，有没有一些的方案。

啊，比如说像一些电商，它可以转为一些手手做的方式啊，就记账啊，各方面可以用一些替代的这个业务模式来做，那么这个最好事先有一些考量和一些这个基本的一些规划。如果我的it系统不能够运营的话，我有没有一些这个可以替代的这个方法来临时的解决一下业务的这个，呃。问题啊，能够保证一部分的业务还能够进行下去啊。第二个呢，就是这些数据在完成了这个替代方案之后，最终还怎么样把这些数据包括内容能够切回到恢复以后的系统，这个我觉得在呃，事先应该是做好一些预案的啊，如果没有这个东西的话，其实你让他快速恢复业务是有一定难度的啊。那么最后一个当然就是一些像我们说的这个备用的一些系统啊，甚至说可以跟其他的一些企业去借他们的这个系统啊，比如说你的类型相同的企业，或者类似的企业，你是不是可以用他们的环境，当然这个也需要事先去做一些准备啊。

啊，所以我觉得可能更多的还是在恢复方面，还是要看自己有多少钱能够做好这些准备啊，当然你的费用越高啊，你有这个光光纤，有这个快速的这种，呃，两地上机的同步的数据肯定是非踌快的啊，但是在有限的条件之下，我怎么进最大可能的把资源做一些这个预先的这个考虑。这个可能是它的核心吧啊。好，感谢石老师啊，那最后的总结发言留给杨总，杨总您来分享一下。哎，好的好的啊，我觉得大家都都都有个共识，就是备份啊，但是我还想提醒一下，可能第一件事要做的不是备份啊，是要止损啊，那么呃，因为我们发现呢，在很多这个呃攻击事件发生之后呢，那么有些用户可能急于备份，导致了比如说备份系统被呃二次渗透啊，那么包括比如说其实威胁在内部还没有被清除，还会存在这个内部扩散的行为啊，所以第一步呢，是应该去把这个应急响应措施给给调动起来，去做一个呃止损的一个操作去发现啊，还有没有一些其他的威胁。

啊，那么呃呃，前提条件是要把威胁清除了之后呢，那么我们才去做这种备份的一个一个一个恢复啊，那么包括呢，就是啊备份之后呢啊，要做网络漏洞的一个排查和加固啊，然后再去做一些啊更多的一些一些措施，当然如果是真的是整个所有的系统都当了，都去都都都没有办法再再再再去做啊这个呃。啊啊，就是说整整个被人拿下了，那那这时候可能就要去考虑啊如何啊，通过一些呃呃合适的渠道去去去去跟这个呃。

攻击者啊，进行一些呃，对抗或者妥协。好，感谢杨总最后的呃精彩发言啊，那随着杨总的发言呢，我们今天的整个的圆桌对话环节呢就到这里结束了，嗯，所有的分享的嘉宾啊都在我们交流的微信群里面，后续呢我们也期待大家可以呃就相关安全的话题呢做持续深入的交流和讨论，那再次感谢四位演讲嘉宾的精彩演讲，以及我们线上嘉宾整个一个下午的时间的啊全程参与和讨论，对大家的到来表示衷心的感谢，我们希望可以通过本次活动呢，助力企业在安全领域防范勒索攻击，保障企业数字化转型，同时呢呃我也再次邀请大家，我们在群里面会有一个对本次活动的反馈调查问卷，以便我们日后呢能够更加改进和提升活动质量，为大家带来更多更精彩的活动，那今天在群里面有嘉宾提到，呃，下一次是否可以聊一些工业互联网安全相关的话题？

题啊，那我们在下一期，我们下个月还会组织第四次的网络安全研讨会，嗯，也期待我们后续嗯嘉宾能给我们更多的互动，更多的建议和意见，好啊，对，我就再次预告一下我们下下个月的下一次活动，欢迎大家持续的关注我们的预告和发布，呃，有兴趣的嘉宾呢，也可以积极参与报名参加我们下一期的活动，那我们今天下午的活动就到此结束，感谢大家的参与，我们期待下次活动再见。再见。再见谭总主任，谢谢大家，杨总。