根據(jù)卡巴斯基進(jìn)行的一項(xiàng)研究顯示，勒索軟件感染在過去12個(gè)月中下降了30%。這種下降與現(xiàn)在流行的加密貨幣價(jià)格密切相關(guān)。

然而，這并不意味著企業(yè)安全工程師和CISO可以高枕無憂。勒索軟件仍然是受歡迎的危害活動之一，也是具有破壞性的危害活動之一。根據(jù)有關(guān)報(bào)告，勒索軟件危害對中小型企業(yè)很具有破壞性。調(diào)查了2,400多個(gè)中小企業(yè)和超過50萬家托管的服務(wù)客戶。統(tǒng)計(jì)數(shù)據(jù)顯示，在2016年第二季度至2018年第二季度期間，79%的中小企業(yè)受到了勒索軟件的影響。這些中小型企業(yè)通常沒有足夠的安全預(yù)算和員工來實(shí)施復(fù)雜的預(yù)防和檢測解決方案，以對抗勒索軟件危害。

[[258409]]

傳統(tǒng)上，大多數(shù)組織依賴基于簽名的檢查或基于沙箱的啟發(fā)式解決方案來檢測和防御勒索軟件。盡管這些仍然是實(shí)踐企業(yè)安全架構(gòu)中的重要組成部分，但它們也存在一些重大缺陷，使得它們無法有效地檢測一些新穎和最復(fù)雜的勒索軟件。

對于初學(xué)者來說，每天都會出現(xiàn)太多新的勒索軟件變種?；谏诚涞慕鉀Q方案通常部署在邊緣，并監(jiān)控來自互聯(lián)網(wǎng)的流量。但是，使用網(wǎng)絡(luò)釣魚和沙箱逃避技術(shù)等社會工程技術(shù)可以完全繞過周邊。此外，處理零日勒索軟件危害無效，更不用說互聯(lián)網(wǎng)流量被加密多次，這使得人們更難以看到里面實(shí)際的有效載荷。

在檢測勒索軟件方面，欺騙確實(shí)可以改變游戲規(guī)則。勒索軟件檢測的工作方式通常是將一些隱藏的文件作為面包屑的一部分部署到企業(yè)環(huán)境中的端點(diǎn)和服務(wù)器上。當(dāng)勒索軟件感染主機(jī)時(shí)，它將執(zhí)行一系列操作，例如加密受感染主機(jī)上的文件，刪除影子備份，創(chuàng)建持久性注冊表項(xiàng)，按字母順序或以相反順序加密映射驅(qū)動器。

不同的安全解決方案使用不同的檢測方法。惡意活動會立即觸發(fā)管理控制臺上的事件，表明勒索軟件已經(jīng)引爆?？梢岳眉傻牡谌焦ぞ邎?zhí)行自動事件響應(yīng)，例如隔離受感染的主機(jī)以防止勒索軟件在整個(gè)環(huán)境中傳播。

顯然，勒索軟件運(yùn)行速度很快，因此快速檢測活動并以足夠的信心以自主方式行動是優(yōu)先選擇。一些受害者需要數(shù)月才能從這些類型的毀滅性襲擊中恢復(fù)過來。

與其他傳統(tǒng)的檢測解決方案相比，基于欺騙的檢測具有一些獨(dú)特的優(yōu)勢：

• 無論勒索軟件危害源自何處或引爆位置，都可以在整個(gè)環(huán)境中提供全面保護(hù)。檢測與操作系統(tǒng)類型，文件格式，傳送方法，加密算法等無關(guān)。
• 檢測惡意行為適用于零日危害和新變種工作，高交互蜜罐具備高可定制化能力，可以部署用戶真實(shí)操作系統(tǒng)、業(yè)務(wù)軟件環(huán)境，再通過HIDS技術(shù)即可有效感知0day等未知威脅的感染，這也是欺騙技術(shù)核心價(jià)值之一。
• 高保真和低誤報(bào)警，非?？焖贉?zhǔn)確的檢測。蜜罐技術(shù)基本都是對實(shí)時(shí)危害行為結(jié)果進(jìn)行感知，加密流量進(jìn)入蜜罐后會被還原，不依賴特征庫，無論特征如何變化、病毒如何變形，蜜罐只對其行為進(jìn)行監(jiān)控，并且監(jiān)控覆蓋范圍廣，所以誤報(bào)概率極小。再加之蜜罐并不屬于真實(shí)主機(jī)，即使發(fā)生誤報(bào)其影響面幾乎為零。

欺騙還可以檢測內(nèi)部網(wǎng)絡(luò)上的許多其他惡意活動，例如橫向移動，未知威脅檢測發(fā)現(xiàn)能力，數(shù)據(jù)泄露等。我們的有影內(nèi)網(wǎng)威脅感知系統(tǒng)是一個(gè)領(lǐng)先的欺騙平臺，提供上述所有這些功能，并且欺騙技術(shù)可檢測被傳統(tǒng)安全措施所忽略的信息，并加速自動危害分析和事故處理事件響應(yīng)。企業(yè)可以通過欺騙將主動權(quán)掌控在自己手中，當(dāng)危害發(fā)生時(shí)，企業(yè)可以不只是將危害攔截，還可將危害者引誘至設(shè)計(jì)好的陷阱中對其進(jìn)行分析與監(jiān)控來了解危害目的、工具、方式甚至進(jìn)行危害朔源讓危害者無處可逃，陷阱不會被危害者發(fā)現(xiàn)，因?yàn)樗吹降亩际钦鎸?shí)資產(chǎn)但是無價(jià)值，這就是欺騙系統(tǒng)達(dá)到的效果。也是在市場上對抗勒索軟件最有效的方法。