关基系统应对定向勒索攻击的防御和治理思考

按语：2023年12月30日，安天发布长篇分析报告，包括事件的技术分析、过程还原、损失评估等内容，总结威胁发展趋势和防御侧的共性缺陷，对防范RaaS+定向勒索攻击提出了针对性建议。原报告2万5千字，部分读者反馈文献过长不便于阅读，建议我们选择重点章节单独重发。今日我们将报告关键章节第5章第3节，即对定向勒索攻击的防御和治理思考分析部分内容以独立篇目重新发送，对相关内容感兴趣的读者可点击阅读原报告。

安天曾在《2020年网络安全威胁回顾与展望》^[1]报告中提出定向勒索攻击能力“接近APT水平”。学者韦韬则指出^[2]，“对于网络勒索攻击的威胁认知大多数还停留于传统的独立个体层面，即具体的勒索软件。现在企业和机构面临的严重勒索威胁是定向勒索攻击，即Targeted Ransomware Attack，是APT+Ransomware的结合体。”“对于定向勒索攻击，备份已经不够用了。勒索是一鱼三吃：加密交钱恢复，敏感数据交钱不挂暗网(不交钱就卖)，隐私信息勒索敏感个人。”安天CERT基于研判，提出进一步的风险预警：复杂的国际形势将使勒索攻击风险变得更加微妙，基于RaaS实施的伪装为勒索攻击，实际以毁瘫为目的的攻击行动会更多出现，从而会出现更多的“假旗”事件。

——正确的认知是有效改善防御能力的基础。

目前国内对勒索攻击的防范，往往还停留在原有的勒索软件的阶段，还有许多人没有意识到勒索攻击已经是由持续定向入侵、窃取数据、加密数据瘫痪系统、勒索金钱、挖掘数据关联价值二次利用、贩卖数据、向监管机构举报、公开窃取数据所构成的一条价值侵害链，而且已经形成了一个规模极为庞大的犯罪产业。在这样的背景下，遭遇勒索攻击的风险已经不是简单的以数据损失和业务暂停为后果的形态，而是要付出失窃的所有数据均会被贩卖、公开等一系列的连锁风险。

从定向勒索攻击的作业方式来看，其在加密毁瘫行为触发前，是类似APT攻击的高度定制化的作业过程。攻击者或者是专业的攻击作业团队，有坚定的攻击意志、较高的攻击能力、充分的可利用漏洞资源，能掌握大量可利用的脆弱性情报和攻击入口资源，有的可能直接就是内部的攻击者。这也是依托RaaS的定向勒索攻击行动，面对有较强IT运营能力和防护投入的大型机构时仍能屡屡得手的原因。无论在勒索防护中扮演最后一道防线的主机系统防护，还是作为最后应对手段的备份恢复，都是防御体系中的单点环节，都在应对高水平定向攻击中担负着在本身能力范围内检测阻断攻击、降低攻击成功率、提高攻击成本、降低风险损失的局部作用，都无法以单点来对抗体系性的攻击。我们必须严肃的指出：将定向勒索攻击简单的等同于早期非定向扩散或广泛投放的勒索软件的威胁，将对抗勒索攻击简单看成是加密毁瘫VS备份恢复的单点对抗，是极为落后、片面的安全认知。如果没有一套完整的防护体系和运营机制，而是认为依靠数据备份恢复来应对勒索攻击。就如同只出场一名守门员，来对抗对方一支球队。

——深入关注攻击活动的运营方式和社会规律有助于重新理解防御。

研究网络攻击活动不能脱离地缘政治安全要素，不能脱离经济社会土壤，要深入关注各种攻击活动的动机和运行方式。从犯罪获利的角度来看，获得了高额的勒索赎金对应着犯罪团伙能承担更高的犯罪成本，包括购买0Day漏洞、研发高级恶意代码、收买企业内鬼和情报等。从另一个角度来看，攻击者制造了“如果不缴纳赎金，受害人将承受远比赎金更高的综合损失”的困境。

网络安全对抗与防护已经是一种经济运行机制的对决。从防御侧来看，从预算投入方面，我们通常将网络安全在信息化的占比作为一个衡量标准，这使网络安全长期处在从属、配套和被压制状态。网络安全风险后果是否才应该是安全投入的第一衡量标准，也需要我们来思考。

这从对立面让我们思考网络安全投入与对标究竟应该以什么为衡量标准？我们认为从规划预算角度，网络安全必须是一套有独立评价参照系的独立预算口径，而不是简单设定为信息化的组成部分。网络安全投入合理的衡量标准是其运行资产价值和出现安全事件的风险损失，而并非信息化投入。通过在信息化中有限占比的方式来规划网络安全投入的传统思路已经成为安全能力建设的障碍。其逻辑错误在于错误定义了网络安全的保障对象——因为网络安全能力保障的并不是IT固定资产投入价值，而是业务和数据资产价值。对于高度依赖于信息系统运行的关基设施和政企机构，网络安全保障的是机构的全量价值，对应机构是一个企业，该价值就是企业的业务价值和营收价值，基于这个价值来判断网络安全投入的合理性，才是真正目标化的衡量标准，而不是仅与信息化投入关联所构建的成本化衡量标准。对于央企和关键基础设施部门，则还需要进一步评价对应的安全风险从企业自身风险连锁扩大到国家安全、社会治理安全和相关公民个人风险的情况。透过LockBit赎金规则，我们看到需要警惕的是：网络攻击者比网络防御者，先行一步认识到了这一规律。

——客观的敌情想定是做好网络安全防御工作的前提。

从定向勒索攻击造成后果损失来看，我们必须改变对安全风险与价值的认知范式。由于定向勒索攻击已经形成了窃取数据、瘫痪系统和业务、贩卖数据和曝光数据的组合作业。其最大风险不只是系统和业务瘫痪无法恢复，而是同时面临被攻击企业的用户信息、关键数据、文档、资料、代码等核心资产被倒卖，被公开的风险，从而带来更大的连锁反应。从国内外安全领域长期以来的现实情况来看，很多政企机构改善自身安全的动力，并不来自于提升防护水平的能动性，很多企事业单位认为最可能发生的安全风险，不是遭遇攻击，而是因达不到合规标准，会遭到处罚。因此，安全防护领域构成了一套投入-合规-免责的低限建设运行逻辑。而定向勒索攻击所带来的后果，让IT决策者必须判断极限风险，并通过极限风险损失来判断网络安全的工作价值，如何避免业务长时间中断、数据彻底无法恢复、被窃取的数据资产被竞争对手购买，或因曝光严重贬值等极限情况，都是IT决策者和每一个机构必须应对的风险。

针对此类定向勒索攻击的防护必然不是以单点进行突围，必须从整体防护上出发，坚持关口前移，向前部署，构成纵深，闭环运营。最终通过防护体系以达成感知、干扰、阻断和呈现定向攻击方杀伤链的实战运行效果。

通过以定向勒索攻击为代表的案例，可以看到除了合规要求和既有存量之外，分析网络安全投入的关联要素还需要考虑：业务和数据资产的全局价值；攻击可能造成的最大风险损失；遭遇攻击者的可能性以及攻击者能力所能承担的攻击成本，以上因素是安全投入合理性的有效衡量标准。单纯依靠政企机构本身，往往只能知己、不能知敌人，难以完成高质量的评估，因此需要公共产品进行赋能。

——高质量的技术分析是重要的战略支撑能力。

深入系统的威胁分析能力，一直是国内网络安全业界的一个能力长板。在长期的威胁分析斗争过程中（包括上世纪80年代后期的病毒样本分析、本世纪初开始的重大蠕虫事件分析和2010年前后系列APT事件分析），中国网络安全业界输出了大量高质量的分析成果，推动了技术创新、产品开发和持续运营，也有效支撑了相关公共安全领域决策，积累了一大批具有较高分析水平的工程师队伍；从产业层面来看，能进行有效威胁分析的安全企业越来越多。

但需要关注的是：1、在过去几年，高质量的分析成果有减少的趋势。在分析工作中，相对急功近利地追逐先发漏洞、热点事件，但不愿意长时间、大成本投入地持续跟踪深度威胁的情况比较普遍；2、规模型网络安全企业也将分析能力的保持和提升视为一种高昂的企业人力成本，而不愿意进行分析团队的扩建和体系性完善；3、在用户单位和管理部门中，也有一部分人存在着“分析报告就是企业软广”的偏颇认识，而忽视了这种分析工作对于准确判定威胁、溯源威胁行为体、研判防御的重点方向等方面具有极为重要的作用。

需要警惕的是，这些负反馈的作用下，分析能力作为我国产业长板能力会持续退化。

——重新构建主机系统安全层面防御基石。

主机系统是业务和资产数据价值的承载者，也通常是攻击者攻击的最终目标。主机端防护能力的历史颇为悠久，从上世纪80年代中后期就已经开始普及终端杀毒软件，但今天我们在实际的分析、取证、复盘中，发现主机端安全反而成为了其中最薄弱的环节之一。在资产价值向云中主机（工作负载）不断迁移、泛在介入的背景下，防火墙等传统安全环节的价值被急剧弱化，加密流量的广泛使用进一步削弱了流量侧安全能力的可见性，这些因素都迫使安全的支撑基石必须重新回到主机系统侧，确保安全边界构建在每一台主机系统之上，并再将这些细粒度安全边界组织成为防御体系。

在主机的安全防御体系中，将主机环境塑造、恶意代码查杀、主动监测、介质管控、主机防火墙等大量的安全功能进行积木化的整合，实现按需弹性部署，从而在面对钓鱼投放、漏洞突防、恶意介质插入等攻击方式时，能够在主机侧形成包括主机边界防护、对象检测、行为管控、敏感数据保护的微观防御纵深。

——需要构建执行体治理体系。

大量的混合执行体攻击打破了传统的“威胁检测+可信签名”的防御检测范式。攻击者更注重利用系统环境中已经存在的可利用执行对象（如系统shell），并将大量开源和商用正常工具作为实现攻击的路径和工具。这些开源和商用软件在政企机构中有着广泛应用，有的软件本身就带有合法甚至知名机构赋予的信誉，这就使我们面向执行体对象的识别颗粒度要至少到达每一个活跃和新增对象，最小化地缩窄执行入口，最大化地管控系统。这些工作既需要强大的共性能力赋能，也需要每一个关键基础设施和重要信息系统去建立自己的执行体治理基线和闭环运营机制。当然，这些工作离不开能支撑执行体治理的、有效的主机安全防护软件。

——坚持构建动态、综合的防御体系而不是始终摇摆。

不断出现的各类重大安全威胁事件，容易产生类似最应重点防范勒索攻击还是APT攻击一类的疑惑。从水平上看，少数勒索攻击的前导攻击部分的水平，已经接近超高能力网空威胁行为体的APT攻击水准，而且勒索攻击将比APT攻击带来更直接和快速的经济损失与显性的机构信誉影响。定向勒索攻击确实是APT能力+勒索行为的结合体。但从另一角度看，由于勒索攻击组织必然要在一个相对短周期获益，其并无APT攻击者那样必须突破中心目标的关键意志力，其在长期潜伏、持久化和隐蔽作业方面，不会表现出APT攻击者的战略耐心。所以对每一个政企机构来说，其资产人员暴露面，一方面必然同时面对者多种攻击组织，但其可能遭遇的最高烈度或水平的攻击的判断，需要基于将其综合业务资产价值放到复杂的社会安全和地缘安全的背景下进行想定判断。

但必须指出的是，对大量机构来说，目前存在的并非在防御重点是APT攻击还是勒索攻击的选择问题，而是尚未完成防御基本面建设的问题。针对各种复杂的组合攻击，都需要防御层次的展开，都不存在“一招鲜，吃遍天”，所有资源、人力、策略投入的弹性调整，其前提都是已经完成了防御基础能力建设的基本动作，基本形成了动态综合、有效闭环的防御体系。这才能做到针对威胁变化实施针对性布防。可以说防御体系如能有效防御APT攻击，那么也能有效防御定向勒索攻击。

参考资料

https://www.antiy.cn/research/notice&report/research_report/2020_AnnualReport.html

https://weibo.com/1891235985/JyfZUxrFX#comment