近期，大英圖書館、豐田金融、雅馬哈、波音、香港消費者委員會等大型組織、企業(yè)接連遭遇勒索攻擊，贖金均在百萬美元以上。今年10月，臭名昭著的勒索家族Lockbit更是向全球知名IT解決方案提供商CDW索要8千萬美元的巨額贖金，是目前公開勒索金額的第三大贖金。

高昂的贖金誘惑，吸引了不少網(wǎng)絡(luò)犯罪集團和黑客組織加入其中，漏洞武器化利用的速度加快，單次勒索攻擊的成本縮減，攻擊頻次幾何式上升。

安恒信息獵影實驗室跟蹤全球勒索軟件組織發(fā)現(xiàn)，勒索軟件攻擊威脅已經(jīng)進入“高頻”的新常態(tài)當(dāng)中，連續(xù)8個月月均披露300余起。10月，全球公開披露的勒索事件就多達340余起，與去年同期相比，增幅達50%以上。

此外，據(jù)區(qū)塊鏈分析公司Chainaanalysis在《2023 年年中安全報告》中指出，截至 6 月份，勒索軟件攻擊者已勒索至少 4.491 億美元，若保持現(xiàn)有速度趨勢，2023年全年勒索金額將高達 8.986 億美元，勒索贖金或創(chuàng)下新的紀(jì)錄。

大型企業(yè)猶如一只只肥美的羔羊，味美肉嫩的羊肉引來無數(shù)“食客”垂涎欲滴，高額的利潤價值更讓”屠夫們“舉刀立斬：

大型企業(yè)猶如一個個“羊圈”，有著極為復(fù)雜且龐大的架構(gòu)圈層，涉及諸多地理位置和業(yè)務(wù)部門，結(jié)構(gòu)分散，使得安全管理更加復(fù)雜，攻擊命中率大大提升。業(yè)務(wù)上云為勒索者提供了更多的攻擊面，不重視安全的企業(yè)數(shù)字化轉(zhuǎn)型變成勒索組織切入點，不斷滲透，多點攻擊，從而使得整個企業(yè)陷入更為危險的境地。

飽滿的油脂使得羊湯色白味美，十里飄香。大型企業(yè)有著龐大的數(shù)據(jù)庫、敏感的商業(yè)機密以及關(guān)鍵的運營系統(tǒng)網(wǎng)，具有高度價值性的內(nèi)部數(shù)據(jù)如同誘人的羊湯般，對于勒索者來說，不僅可以直接用于勒索，還可以在暗網(wǎng)上進行交易，進一步增加攻擊者的收益。

奪回被盜竊待宰的羔羊需要支付高額贖金，而割舍珍貴的羊肉又往往承擔(dān)著更大的風(fēng)險。大型企業(yè)的關(guān)鍵業(yè)務(wù)和運營系統(tǒng)儼然是一塊塊昂貴的“羊肉”，如果遭到攻擊，將出現(xiàn)嚴(yán)重的生產(chǎn)中斷，極大破壞企業(yè)經(jīng)營的穩(wěn)定性，因而增加了支付贖金的動機。

每只羊如同掌中之寶，嚴(yán)格的公眾監(jiān)督與法律法規(guī)正是一雙雙眼睛的注視，給大型企業(yè)帶來無形壓力。這種監(jiān)督壓力迫使大型企業(yè)更有可能在遭受勒索攻擊后支付贖金，以避免敏感信息泄露或服務(wù)中斷對公眾形象的負(fù)面影響。勒索者往往利用這種公共關(guān)切，加大了對大型企業(yè)的攻擊力度。

有利潤就會有人做，做的人多了，就成了產(chǎn)業(yè)。

從武器開發(fā)到攻擊執(zhí)行，從勒索敲詐到資金轉(zhuǎn)移，一個針對大型企業(yè)的勒索產(chǎn)業(yè)鏈逐漸成型。以初始訪問代理（IAB）為核心的產(chǎn)業(yè)鏈條，搭配逐漸成熟的RaaS勒索運營模式，勒索攻擊的門檻持續(xù)降低，入侵成本進一步減少，無數(shù)把鋒利的“屠刀”瞄準(zhǔn)了“肥美多汁”的大型企業(yè)。

對于大型企業(yè)，往往勒索攻擊所引起的業(yè)務(wù)重創(chuàng)和系統(tǒng)癱瘓導(dǎo)致營收損失遠(yuǎn)高于支付的贖金，因此企業(yè)亟需行之有效的解決方案來應(yīng)對勒索組織的入侵。

傳統(tǒng)的防勒索防護軟件主要是通過識別已知的勒索軟件進行防護，因此對于新出現(xiàn)的未知勒索軟件可能防御能力較弱。隨著勒索攻擊技術(shù)的不斷發(fā)展，只依賴傳統(tǒng)的防勒索軟件可能不足以提供全面的保護 。

安恒EDR認(rèn)為為應(yīng)對勒索風(fēng)險，需要覆蓋事前加固和防御、事中持續(xù)動態(tài)分析和檢測、事后快速處置響應(yīng)和溯源等多個階段進行安全防范，全方位應(yīng)對勒索病毒攻擊風(fēng)險。

■ 防端口掃描能力：實時檢查入站連接并阻斷對本機端口的惡意探測, 防止攻擊者進行掃描和嗅探，導(dǎo)致敏感信息泄露。

■ 資產(chǎn)梳理能力：通過利用基線安全檢查與勒索風(fēng)險專項評估能力，對系統(tǒng)的弱口令、威脅文件、風(fēng)險賬號、錯誤配置等進行專業(yè)評估、針對系統(tǒng)的薄弱點進行快速修復(fù)，防止被攻擊者利用。

■ 主動防御能力：針對惡意的程序及文件進行檢測和發(fā)現(xiàn)，并進行自動化響應(yīng)。

■ 暴力破解防護能力：能夠?qū)ο到y(tǒng)登錄行為進行合理限制，防止賬號被爆破，導(dǎo)致攻擊者提權(quán)，從而繞過主機防護。

■ 威脅情報能力：產(chǎn)品具備強大的威脅情報能力，能夠在設(shè)備訪問目標(biāo)IP或域名前進行安全檢測，發(fā)現(xiàn)風(fēng)險后，可以對終端進行告警并阻斷，防止帶有惡意代碼的網(wǎng)站并觸發(fā)惡意代碼，進而向用戶設(shè)備植入勒索病毒。

■ 文件保險柜：安恒EDR添加訪問控制策略，對重要文件或目錄進行訪問權(quán)限控制，僅允許配置的例外進程操作，根本上杜絕勒索病毒，根本上保護業(yè)務(wù)數(shù)據(jù)安全。

■ 防單機擴展：針對本機的擴展行為進行監(jiān)測，防止提權(quán)行為。

■ 防遠(yuǎn)控持久化：對失陷后主機遠(yuǎn)控持久化行為進行檢測，并可阻斷遠(yuǎn)控。

■ 防內(nèi)網(wǎng)探測功能：對內(nèi)網(wǎng)的惡意攻擊行為進行識別，阻斷攻擊者對內(nèi)網(wǎng)的橫向滲透。并基于業(yè)務(wù)隔離的策略劃分特定的網(wǎng)絡(luò)域， 防止威脅在內(nèi)網(wǎng)擴散。

■ 一鍵關(guān)閉高危端口：一鍵封鎖威脅IP等應(yīng)急策略，防止“威脅串網(wǎng)”維持整個網(wǎng)絡(luò)環(huán)境穩(wěn)定。

智能勒索行為防護能力，實時分析程序行為及意圖，根據(jù)行為檢測智能識別勒索軟件。具備誘餌勒索引擎，可在系統(tǒng)中投遞誘餌文件，并可以實現(xiàn)在對誘餌文件進行操作時，立即告警并結(jié)束操作進程。

■ 勒索行為防護引擎：通過分析海量的勒索軟件樣本及病毒家族特性，總結(jié)了樣本具有的共性特征形成了引擎行為知識庫，通過系統(tǒng)API級別分析，高效抵御未知勒索病毒。

■ 勒索防護誘餌引擎：針對勒索病毒遍歷文件實施加密的特點，在終端關(guān)鍵目錄下放置誘餌文件，當(dāng)有勒索病毒嘗試加密誘餌文件時及時精準(zhǔn)中止惡意進程，阻止勒索病毒的進一步加密和擴散。

■ 文件備份恢復(fù)：勒索軟件試圖加密某些文件時，勒索加密文件恢復(fù)驅(qū)動可以監(jiān)控到該軟件對文件的可疑修改操作，在勒索軟件寫入之前，搶先備份該文件。備份完成后，用戶可使用安全工具中的勒索加密文件恢復(fù)功能，輸入文件名稱，文件路徑，擴展名，或者被病毒查殺功能檢出的勒索軟件進程名，搜索出備份的文件，進而恢復(fù)原文件。

■ 勒索保險：為了實現(xiàn)勒索防護強閉環(huán)，安恒推出勒索保險，從勒索防護到經(jīng)濟保障，幫助用戶實現(xiàn)真正防護強閉環(huán)。安恒信息始終保持產(chǎn)品服務(wù)、人員服務(wù)、保險服務(wù)，通過真實案例，再一次證明：請把勒索防護交給安恒，安心留給自己！

同時，作為國內(nèi)數(shù)字安全行業(yè)的“佼佼者”之一，安恒信息還具備全面可靠產(chǎn)品輔助EDR發(fā)揮更高效能。

◆ AiLPHA大數(shù)據(jù)平臺和AXDR平臺的流量探針（AiNTA）具備最新的漏洞檢測規(guī)則，可在第一時間發(fā)現(xiàn)勒索病毒變種。

◆ 基于攻擊面治理勒索防護，從海量告警事件分析研判出勒索病毒事件后，云端專家通過遠(yuǎn)程和現(xiàn)場支持的形式協(xié)助分析和協(xié)助處置。輸出處置建議，以及獲取授權(quán)后開展安全處置工作。