近年來(lái)，勒索攻擊已經(jīng)成為主流的攻擊方式。從勒索事件數(shù)量上看，近年來(lái)勒索攻擊數(shù)量整體呈上升趨勢(shì)，針對(duì)終端的勒索攻擊數(shù)量有所下降，定向勒索數(shù)量有所上升。從單個(gè)事件的勒索金額看，勒索贖金數(shù)額不斷增加。根據(jù)BleepingComputer的數(shù)據(jù)，2021年第四季度的平均贖金為322,168美元，比上一季度增長(zhǎng)了130%。贖金支付的中位數(shù)為117,116美元，與第三季度相比增長(zhǎng)了 63%。

勒索軟件的攻擊特征

與其它攻擊行為不同，勒索攻擊為了能夠順利完成加數(shù)據(jù)解密或數(shù)據(jù)竊取，有一些特有的行為：在勒索執(zhí)行前，部分勒索軟件會(huì)通過(guò)查看系統(tǒng)中是否存在別的勒索軟件執(zhí)行，以確保自身軟件的順利執(zhí)行;在進(jìn)行加密或竊取行為前，通過(guò)對(duì)落地路徑進(jìn)行掃描，確認(rèn)竊取或加密的文件是否為重要文件;在執(zhí)行加密時(shí)，會(huì)產(chǎn)生文件后綴變化或被頻繁修改的情況。根據(jù)這些特征，可以形成一定的應(yīng)對(duì)方法，見(jiàn)下表。

主流防護(hù)技術(shù)

據(jù)安全牛觀察，基于上述勒索軟件的攻擊特征，市場(chǎng)上形成了四種有效的專(zhuān)業(yè)針對(duì)勒索攻擊的檢測(cè)及防護(hù)技術(shù)，包括誘餌文件技術(shù)、文件狀態(tài)變更識(shí)別、內(nèi)核搶占、數(shù)據(jù)資產(chǎn)操作管控四種技術(shù)，這四種技術(shù)各有其自身的優(yōu)缺點(diǎn)。

1. 誘餌文件技術(shù)

描述：通過(guò)部署一個(gè)幾乎不可能人為或正常應(yīng)用訪問(wèn)的文件，并通過(guò)設(shè)定一個(gè)閾值進(jìn)行監(jiān)控，一旦某進(jìn)程對(duì)該文件的訪問(wèn)超過(guò)這個(gè)閾值，則認(rèn)為該進(jìn)程為異常進(jìn)程，可能為勒索軟件的進(jìn)程。

優(yōu)點(diǎn)：誘餌文件識(shí)別方法所利用的勒索軟件行為特征是幾乎所有勒索軟件均具備的，所以此產(chǎn)品具有較強(qiáng)的普適性。

缺點(diǎn)：無(wú)法應(yīng)對(duì)基于數(shù)據(jù)竊取的雙重勒索。

2. 文件狀態(tài)變更識(shí)別

描述：對(duì)文件狀態(tài)進(jìn)行監(jiān)測(cè)，一旦發(fā)現(xiàn)該文件夾的文件存在：(1)對(duì)大量文件的原地讀寫(xiě);(2)進(jìn)行大量創(chuàng)建同名不同擴(kuò)展名文件的工作;(3)對(duì)大量文件增加后綴等，則認(rèn)為存在風(fēng)險(xiǎn)，需要對(duì)文件進(jìn)行備份處理。

優(yōu)點(diǎn)：在文件變更時(shí)可以對(duì)文件進(jìn)行備份，一旦出現(xiàn)被解鎖等情況，能夠及時(shí)有效恢復(fù)。

缺點(diǎn)：無(wú)法應(yīng)對(duì)基于數(shù)據(jù)竊取的雙重勒索。

3. 內(nèi)核搶占

描述：利用部分勒索軟件在執(zhí)行前會(huì)檢索是否有別的勒索軟件在內(nèi)核處有記錄這一特點(diǎn)，通過(guò)偽造加密標(biāo)識(shí)誘騙勒索病毒退出程序。

優(yōu)點(diǎn)：對(duì)系統(tǒng)影響較小，且能應(yīng)對(duì)各種類(lèi)型的勒索攻擊。

缺點(diǎn)：只有部分勒索軟件會(huì)執(zhí)行內(nèi)核檢測(cè)工作，局限性較大。

4. 數(shù)據(jù)資產(chǎn)操作管控

描述：在計(jì)算執(zhí)行環(huán)境中以文件夾、磁盤(pán)等方式劃分出安全空間，在此空間內(nèi)的數(shù)據(jù)資產(chǎn)采用白名單的方式進(jìn)行資產(chǎn)訪問(wèn)。極限情況下，可以將整個(gè)設(shè)備作為安全空間，對(duì)全盤(pán)進(jìn)行保護(hù)。

優(yōu)點(diǎn)：能夠?qū)θ魏晤?lèi)型的勒索攻擊進(jìn)行防護(hù)，具有較高的安全性。

缺點(diǎn)：會(huì)占用一部分內(nèi)存、空間，且只能對(duì)有限數(shù)據(jù)資源進(jìn)行防護(hù)，適用于高價(jià)值數(shù)據(jù)的保護(hù)。

用戶(hù)選型因素考量

勒索攻擊防護(hù)是在建立網(wǎng)絡(luò)安全防護(hù)體系時(shí)需要考慮的一部分，用戶(hù)需要根據(jù)自身的業(yè)務(wù)特點(diǎn)、安全目標(biāo)，判斷是否需要獨(dú)立建立勒索軟件的防護(hù)體系。

具體可考慮以下幾個(gè)因素：

1. 是否是勒索攻擊的主要目標(biāo)范圍

雖然存在對(duì)特定企業(yè)的定向勒索攻擊，但大部分勒索攻擊通常將定向攻擊定為對(duì)某個(gè)行業(yè)、某個(gè)行業(yè)或某個(gè)地區(qū)進(jìn)行攻擊。因此，自身所處的行業(yè)、所處的地域等都會(huì)對(duì)自己造成影響。

2. 是否有充足的預(yù)算

在與甲方溝通當(dāng)中，預(yù)算是否充足一直是企業(yè)在進(jìn)行安全建設(shè)時(shí)必須要面對(duì)的問(wèn)題。勒索軟件防護(hù)是已具備基本防護(hù)能力后，針對(duì)特定安全風(fēng)險(xiǎn)進(jìn)行的防護(hù)手段。因此，如果在沒(méi)有足夠充足的預(yù)算時(shí)，首要考慮的是做好整體防御，獨(dú)立勒索軟件防護(hù)技術(shù)可以融合在終端安全防護(hù)、數(shù)據(jù)安全防護(hù)等防護(hù)能力之內(nèi)。

3. 是否曾經(jīng)被成功攻擊

勒索組織不會(huì)因?yàn)槠髽I(yè)曾經(jīng)被勒索，就不再勒索該企業(yè)，企業(yè)被重復(fù)勒索的現(xiàn)象時(shí)有發(fā)生。2021年9月日本科技巨頭奧林巴斯(Olympus)被BlackMatter 勒索軟件攻擊，而在10月10日，奧林巴斯又被Macaw勒索。企業(yè)被成功攻擊讓別的攻擊者認(rèn)為其容易被攻破;企業(yè)支付贖金則讓別的攻擊者認(rèn)為其更容易支付贖金。

防護(hù)建議

用戶(hù)可以在整體安全防護(hù)之上，采用有針對(duì)性的勒索軟件防護(hù)技術(shù)。主流的勒索軟件防護(hù)產(chǎn)品大致分為針對(duì)系統(tǒng)安全的防護(hù)以及針對(duì)文件安全的防護(hù)。企業(yè)在進(jìn)行勒索軟件產(chǎn)品選型時(shí)，需要判斷自身更需要何種網(wǎng)絡(luò)安全產(chǎn)品。如果對(duì)業(yè)務(wù)連續(xù)性要求高，建議選擇基于誘餌文件的勒索防護(hù)產(chǎn)品;如果對(duì)數(shù)據(jù)安全性要求高，建議選擇基于文件狀態(tài)變更識(shí)別的勒索防護(hù)產(chǎn)品或數(shù)據(jù)資產(chǎn)操作管控產(chǎn)品。