长亭防勒索建设清单泄露，速来围观

=======

如果网络安全圈也有热搜榜，那么“勒索”一定是会隔三岔五上榜的热门选手。为何这种攻击手段历经三十余年还能愈演愈烈，原因逃不过“攻击者收益高、被攻击方危害大且难防护”。勒索病毒不仅能导致数据丢失和泄露，还会引发业务中断、经济损失、声誉损害以及法律和合规问题，可以说已经是最能体现安全价值的攻击手段之一。

认识问题是解决问题的第一步，面对勒索也不用“谈勒色变”，在解决方案正式开始前，我们首先通过长亭最擅长的攻防视角来更透彻地了解一下勒索攻击。

勒索攻击的常见入口在哪儿

勒索攻击已经发展成庞大的产业链，勒索组织提供“勒索即服务”（Ransomware as a Service），为买家提供勒索病毒、内网权限、攻击工具，目前有越来越多的勒索软件完成了RaaS化的“业务转型”。他们最常用的攻击入口有以下几种：

网页挂马

攻击者在网站的页面中嵌入恶意代码，当用户访问网站或下载程序时，感染病毒。

移动存储

勒索病毒通过受感染的USB设备进行传播，特别是在物理安全措施较弱的环境中。

钓鱼邮件

攻击者通过伪装成合法的邮件，诱使受害者点击恶意链接或下载附带的恶意文件。

供应链攻击

通过第三方供应商或服务商的安全漏洞，攻击者可以间接地侵入目标系统。

漏洞利用

攻击者利用业务系统或操作系统等所存在的漏洞发起入侵，在获得操作系统管理权限后进而投放勒索病毒。

勒索需要时间，有机会与之对抗

如下图所示，一次成功的勒索攻击不是一蹴而就的，需要完成“目标选定、侦查勘测、初始访问、横向移动、数据窃取、数据加密”多个步骤，每个步骤都需要N个小时到N天的时间，在这个过程的各个节点中防守方是有机会避免、发现并阻止攻击的。

===============================================================================================================================================================

造成防护失败的关键因素

很多企业已经具备一定的安全体系，但还是会发生勒索事件，可以归结为三方面的薄弱点：

防御失效

勒索攻击手段不断升级，攻击者利用0day漏洞、社会工程学等手段绕过传统安全防御措施，导致防御失效。

备份失效

备份软件出现问题、备份计划配置错误、攻击者针对备份数据进行破坏、备份被加密等原因导致备份失效，无法进行数据恢复。

恢复失败

即使拥有备份数据，但由于备份数据不完整、恢复过程复杂、解密困难等原因导致数据恢复失败。

===

===============================================================================================================================================================

======

长亭防勒索解决方案

针对勒索攻击的特点和企业在防护过程中的薄弱点，长亭科技借鉴IPDRR架构逐步建立用户风险识别能力、安全防御能力、安全检测能力、安全响应能力与安全恢复能力。全面提升勒索攻击的应对能力，覆盖事前、事中和事后，具备对防御体系的验证工作，确保防御体系有效性。

===

   PART.01

   事前：防范前置，降低风险

帮助用户提前收敛暴露面并修复已知易被勒索攻击的漏洞，避免脆弱点暴露于攻击者面前。通过防勒索应急演练或实网演练，从人员、流程、技术三个维度验证用户防御策略有效性，并给出优化方案，帮助用户筑高防御屏障。

=======

1

风险识别与处置

===

攻击面管理

定期对组织所有内外网资产信息进行发现和风险检测，识别并定位存在易被勒索病毒攻击的高危资产和漏洞，先于攻击者发现并收敛风险。

勒索专项漏洞治理

及时更新风险评估系统漏洞库并定期对内网资产开展勒索漏洞专项检查，资产关联责任人，漏洞闭环管理；系统存在弱口令、开放不必要开放的端口、防火墙采用全通规则等基础配置性问题均为勒索病毒的攻击途径。

威胁情报能力构建

通过监测和收集来自各种渠道的信息，包括黑客论坛、地下交易市场、恶意软件样本等，了解最新的勒索攻击技术、攻击者行为和攻击工具。对情报进行分析，识别出潜在的勒索攻击威胁和攻击者的行为模式，持续提升勒索攻击安全风险感知能力。

供应链风险管控

主要针对产品供应商，服务提供商所存在的风险通过技术措施和管理措施进行管控。

===

2

防御体系建设

=======

通过在不同区域部署不同的安全防御设备，构建完整的勒索防御体系，保护重点关注的相关区域，最大程度降低被勒索攻击的风险。

===============================================================================================================================================================

======

3

防御体系验证

>>>>

防御策略有效性验证

定期对边界防护、内网监测、主机与终端防护等安全产品以及人员的安全意识、应急响应流程等防勒索防御策略有效性进行验证，确保组织在应对勒索攻击时，工具、人员、流程都处于有效状态。

==============================================================================================================================================================

>>>****>

勒索应急演练

验证防守方针对勒索攻击的防御能力以及当面对勒索攻击事件时的应急处置能力。其中包括验证勒索病毒应急预案/应急响应流程合理性、验证当面对勒索攻击事件时，防守团队是否可以及时识别勒索攻击并按照既定的应急响应流程有序开展隔离、上报、溯源、病毒清除、数据恢复等响应动作。

================================================================================================================================================================

勒索的防护，本质是对抗，实网环境下，长亭红队人员从外网打点开始模拟攻击者入侵，将勒索病毒部署作为拿下靶标后的最后一步，在这一过程中用户也能根据对应攻击链路切实明确相应的防护手段。

===============================================================================================================================================================

===

   PART.02

   事中：多点监测，快速响应

边界攻击监测与防御，提高检测能力，针对0day攻击，仍然具备检出能力；内部网络威胁监测，通过高级威胁预警系统和伪装欺骗系统，实现对已知和未知的勒索横向攻击实时监测；主机入侵监测与阻断，通过勒索病毒静态检测、沙箱检测、诱饵文件加密感知等多种方式，识别黑客攻击、勒索病毒传播、勒索病毒加密数据等行为，并进行告警阻断。

1

勒索攻击事件监测

===

边界与网络侧-监测、封堵

结合下一代防火墙，入侵防御系统，防毒墙，WAF，邮件网关，APT/NTA以及安全审计等设备，对入侵尝试，异常端口连接，漏洞利用，C&C通信，勒索软件恶意脚本，文件上传，命令执行，钓鱼邮件，恶意附件，横向移动，恶意文件传播，登录异常，行为异常等进行及时监测、封堵。

主机与终端侧-主动防御

利用主机安全设备和终端安全设备，例如HIDS、EDR等，对恶意软件、异常账号行为、高危/非标端口连接、异常进程行为、权限提升行为、异常文件操作等进行主动防御。

溯源取证

通过APT、蜜罐系统，对攻击事件进行溯源取证。

安全运营中心

通过边界侧、网络侧、主机侧、终端侧安全设备日志以及溯源取证结果，结合威胁情报数据，对攻击事件进行快速响应处置。

2

勒索攻击响应处置

===

================================================================================================================================================================

===

   PART.03

   事后：复盘总结，持续优化

0****1

溯源取证

在勒索攻击事件后，通过完成信息采集和分析，结合常用的工具和技术，例如威胁情报，文件检测技术，数据恢复技术，Rootkit查杀，蜜罐，PStools，以及逆向分析（IDA）对攻击事件进行分析和取证溯源。

02

复盘总结

勒索病毒攻击后的复盘总结非常重要，它有助于企业了解攻击发生的原因、影响和应对方式，从而提高安全防御水平。复盘涵盖确认是否存在数据泄露风险、确认是否会造成财务损失、确认是否会造成声誉受损，进行攻击过程回顾、应急响应过程回顾、防御有效性评估，并制定长期安全规划。

====================================================================================================================================

======

勒索攻击新趋势

及应对策略

>>>****>

双重勒索攻击

攻击者不仅加密受害者的数据，还会在加密前窃取敏感数据，如客户记录、商业秘密或财务信息等。如果受害者不支付赎金，攻击者会威胁公开这些敏感数据，从而增加了受害者的压力和经济损失的风险。

===

>>>****>

供应链攻击

通过渗透进入软件供应商、云服务提供商或其他第三方服务提供商的系统，利用其在供应链中的位置来传播勒索软件。一旦攻击者成功入侵这些关键节点，他们就能将恶意软件嵌入到广泛使用的软件更新、插件或组件中，进而感染下游的众多企业和用户。这种攻击方式具有隐蔽性强、传播速度快、影响范围广的特点，对整个行业的安全构成了严重威胁。

>>>****>

自动化和AI驱动的勒索攻击

攻击者利用自动化工具快速扫描和识别潜在的目标系统，通过AI算法分析系统漏洞和弱点，制定更精准的攻击策略。不仅提高了攻击的成功率，还使得攻击者能够同时针对多个目标发起攻击，进一步加剧了勒索攻击的威胁。

面对新型勒索攻击趋势，企业应通过强化风险自查、安全培训、定期数据备份、加强供应链安全管理，并采用先进的威胁检测和响应技术做好监测、定期进行演练及完善安全策略，确保防御体系具备快速检测、响应和恢复能力，从而全面提升对复杂勒索攻击的防御和应对能力。

如希望获取**完****整版“长亭防勒索建设清单”、或进行“勒索体检”、或进一步了解“防勒索解决方案”，**请扫描下方二维码或点击“阅读原文”，我们将尽快与您联系。

===