应对勒索病毒攻击，看春秋云阵主动防御产品体系9大技战法

在网络和数据安全领域，勒索病毒多年来占据“头号”威胁位置。随着勒索攻击逐渐产业链化、勒索方式多元化、勒索赎金规模化，导致各行业领域勒索事件层出不穷，给广大政企用户带来不可挽回的损失。面对防不防胜的勒索攻击，如何建立安全有效的主动防御机制成为制胜关键。

作为数字安全测试评估赛道领跑企业，永信至诚发挥网络靶场和人才建设领军优势，凭借攻防实战经验和平行仿真技术沉淀，以春秋云阵主动防御产品体系为依托，为政企提供勒索病毒防护解决方案，帮助用户构建协同联防、持续监测、及时恢复的全方位防御能力体系，保障业务连续性。

当前，勒索攻击在各行业领域中蔓延滋长，根据报告显示，每秒钟就有 19 次网络攻击在发生，一年内全球攻击次数达 6.233 亿次。在中国，平均每家公司受到1.33次勒索软件的攻击。从勒索病毒传播类型、传播途径、攻击流程三方面来看，也呈现出复杂性、多样性以及隐蔽性等特点。

• 勒索病毒的传播类型主要包括文件加密类、数据窃取类、系统加密类、屏幕锁定类等。不论是哪种类型，一旦发生，都会导致用户设备被劫持，无法正常启动，且数据难以恢复；

• 勒索病毒的传播途径覆盖漏洞传播、捆绑及存储介质、邮件传播、网站挂马等。政企员工网络安全意识和网络安全防御体系的缺失无疑给勒索攻击打开了“后门”，同时，勒索攻击传播的复合性、多样性一定程度上增加了政企防御难度；

• 勒索病毒的典型攻击流程分为探测侦察、攻击入侵、病毒植入、实施勒索四个阶段。随着勒索软件的发展，也使得勒索攻击流程更加便捷，一旦成为勒索攻击的特定目标，便难以应对。

勒索攻击愈演愈烈，用户一旦感染勒索病毒，不仅要面临因信息系统数据被加密而导致业务中断、造成重大经济损失的风险，还可能因数据泄露而被监管机构进行高额处罚。如何应对勒索病毒的攻击与威胁，构建主动防御体系保护网络和数据安全，成为各行业安全建设的重要环节。

基于众多行业领域的安全防护建设实践，永信至诚春秋云阵主动防御产品体系沉淀与积累了大量提升安全防御有效性的成功经验，可以帮助用户构建勒索病毒检测及整体安全防御能力，全面抵御勒索威胁。

春秋云阵主动防御产品体系由春秋云阵蜜罐系统（本地版、云端版、工业互联网版）、春秋云阵欺骗防御阻断系统、春秋云阵攻防演练防守一体机、春秋云阵互联网暴露面管理平台和春秋云阵数据灾备系统组成。

针对肆虐的勒索攻击，春秋云阵各大产品各显神通，结合勒索病毒类型、攻击特点、攻击途径等，围绕勒索攻击生命周期，通过数据备份、攻击面收敛、智能混淆、伪装欺骗、攻击检测、溯源反制、情报加工、旁路阻断、数据恢复9大技战法，助力用户解决勒索病毒难防御、难发现、传播广、危害大的痛点。

目前绝大多数用户遭受勒索病毒攻击后均无法解密和正常使用数据，而数据备份是最有效的应对方法之一。

春秋云阵数据灾备系统从技术角度出发，解决了当前数字化混合架构的数据灾备问题，实现一键生成“第二数据中心”整体数据灾备的能力。具体如：

• 各种数据和业务应用；

• 各种国产的操作系统、数据库、硬件平台，支持国外的相关软硬件；

• 物理机、虚拟机、异构云间的一键、相互迁移，支持各种国产云；

• 具有完整灾备体系功能，包含备份、容灾、应急演练、业务接管等。

根据数据统计，87.7%的勒索病毒是通过漏洞传播，因此，收敛互联网暴露面是事前防范勒索病毒的基础，具体操作：

• 可利用漏洞：及时下线停用系统，按照最小化原则，减少资产在互联网上暴露，特别是避免重要业务系统、数据库等核心信息系统在互联网面上的暴露。

• 可利用接口：关闭不必要的端口与服务，如远程访问服务3389端口和22端口，降低外部网络攻击风险。

春秋云阵互联网暴露面管理平台可通过自动化获取组织信息、IT资产、移动资产、数据资产、API资产、仿冒资产等，并进行持续监控。并从以下几个攻击面管理来确保整体网络外部威胁攻击面控制到最小：

•  “无感式”暴露面资产收集；

•  “全方位”数据泄露监测；

•  “多维度”暴露面风险分析；

• 供应链暴露面筛查；

• 持续数字化风险监测；

• 未知资产影子资产带来的风险；

• 敏感信息泄露风险；

• 失陷资产的发现；

在应对攻击隐蔽、传播途径广泛的勒索病毒入侵时，延缓攻击、保护真实业务环境是网络安全防御的一个重要目标。

春秋云阵蜜罐系统利用独有的平行仿真技术，结合混合虚拟化技术实现对不同类型操作系统、内网的不同区域、场景入口防火墙及主干网交换机、业务系统数据的仿真，1:1还原真实业务场景，贴合实际网络环境部署，实现混淆攻击目标、保护真实业务的目的，使用户牢牢掌握主动权，极大提升应对突发网络安全事件的应急响应速度。

勒索病毒的主要攻击目标是企业网络的关键文档、数据库等重要数据，打造高甜度的蜜网，达到欺骗攻击者、保护企业真实网络的目标。

春秋云阵蜜罐系统基于永信至诚十余年公安、电力、金融、教育等多行业的仿真经验积累，从内容、主机标识、业务网站、数据四个方面打造仿真伪装体系，通过后端数据库、FTP、VPN、邮箱、DNS等企业常用服务中的业务数据与前端页面、LOGO、背景、版权，公告的结合，实现高甜度伪装。

当勒索病毒爆发时，全面的检测能力尤为重要，只有及时准确的检测出攻击事件，才能第一时间对攻击源、攻击过程、攻击扩散面、被攻击的业务系统、恶意程序造成的危害等情况进行深入的分析，缩小威胁影响面，帮助用户更好的判定攻击的性质、手段和影响，从而选择合理的应对措施。

春秋云阵攻防演练防守一体机采用多种检测技术相结合的方式，全面检测已知勒索病毒、未知勒索病毒和勒索病毒变种。

在应对勒索病毒入侵的过程中，还原攻击路径、溯源攻击者信息、反制攻击者设备是应急处置的关键环节。

春秋云阵蜜罐系统基于诱捕全流量重定向技术、混合入侵检测技术、全量威胁行为库，精准识别访问类型，提取行为数据特征，实现对攻击流量全量抓取，精确还原、清晰呈现攻击者从入侵到攻击执行的完整攻击路径；系统内置溯源反制插件，准确溯源攻击者信息。

威胁情报是企业了解勒索病毒入侵威胁信息、提前做好威胁防范、快速攻击检测与响应、高效攻击溯源的重要手段。在情报利用的过程中，情报的加工处理是必不可少的一环。春秋云阵蜜罐系统基于勒索病毒的攻击源IP、目的IP、入侵阶段等数据，加工形成勒索病毒专项IOC，并且与终端侧、服务器侧、网络侧、中心侧的相关安全产品形成情报共享，进而达成联防联控的体系化作战目标。

当蜜罐系统监测到勒索病毒攻击后，通过主动防御产品体系的协同联防策略实现对勒索病毒的阻断，或将其引入攻击欺骗的场景中，让其无法达成勒索攻击的目的。

春秋云阵欺骗防御阻断系统是在多年应用安全的攻防技术研究和应急响应实践经验积累的基础上，研发的新一代基于旁路拦截、应用层和智能化分析的安全检测与防护产品，旨在不影响正常流量的情况下，针对安全事件发生时序进行安全建模，对安全漏洞、攻击手段及最终攻击结果进行准确的监测、诊断及防护，为用户提供真实、可靠的安全解决方案。

当遭遇勒索病毒，数据和系统完全被破坏而无法正常使用时，春秋云阵数据灾备系统在第一时间实现应急恢复和所有业务接管等，保证核心数据和系统在最短时间内完整恢复。

基于春秋云阵主动防御体系9大技战法，春秋云阵蜜罐系统（本地版、云端版、工业互联网版）、春秋云阵欺骗防御阻断系统、春秋云阵攻防演练防守一体机、春秋云阵互联网暴露面管理平台和春秋云阵数据灾备系统各显其能，在勒索攻击前、中、后全生命周期，助力用户构建主动防御体系。

事前：夯实基础，保护核心做好防备

应对勒索病毒，前期要夯实基础，核心关键是做好数据灾备，为数据和系统被破坏的最坏情况兜底。其次要收敛整体网络外部威胁攻击暴露面，将内部风险降到最低。

事中：协同联防，持续监测

在勒索病毒入侵事件发生时，要做到对整体进行检测、溯源入侵者掌握其信息，同步进行阻断，防止威胁进一步扩散。

事后：及时恢复

当遭遇勒索病毒导致数据和系统被破坏后，利用备份数据恢复数据，根据遭受勒索攻击影响相关设备数据备份的情况，综合衡量恢复数据的时间成本和重要程度等因素，确认数据恢复范围、顺序及备份数据版本，利用备份数据进行数据恢复。在第一时间恢复数据和系统保证业务和网络正常运行。