勒索防护新思路｜通过验证提升勒索防护能力

勒索攻击在十几年前就存在了，但最近几年才演变成非常现实和直接的威胁，主要是因为加密货币的兴起和流行，帮助勒索攻击通过加密货币获得巨额回报，实现了商业闭环。

勒索防护难点

勒索防护体系存在的难点有：

1.1 外部攻击面与内网安全资产管理效果不理想

• 外部资产暴露面大且不断变化

• 内网安全资产多、更新快、掌握不及时

• 分支机构、子公司、海外机构管理要求不同

• 勒索攻击不是新技术，是各类攻击技术的组合

• 勒索攻击防护是体系化对抗和防御，导致防御面非常大

• 安全防护设备和设备上防护措施众多，存在较多失效点

• 勒索攻击时间长、速度慢、隐蔽性强、社工攻击防御难度大、感知弱

• 难以掌握勒索攻击防御能力，特别是检查评估人员力量薄弱的分支机构和子公司、海外机构的防御能力情况。

• 勒索攻击溯源定位耗时长、定责难

• 应急响应流程效率和效果缺乏量化、实战化评估

被勒索攻击成功的，往往不是重兵防御的集团和总行，而是人员力量薄弱的分支机构、子公司、海外机构。

总结一下：勒索防护最大的难点是防护面太宽，防护设备和安全措施太多，导致存在较多失效点，特别是人员力量薄弱的分支机构和子公司、海外机构，其真实的防护能力难以掌握，导致攻击者从这些薄弱处攻击成功。

通俗说：如果知道自己哪里没做好，解决起来更有针对性，效果更好。知其安推出“勒索防护措施有效性验证解决方案”，能够有效解决以上四大难点中最大的两个：

1、安全防护设备和设备上防护措施众多，存在较多失效点；

2、难以掌握勒索攻击防御能力，特别是检查评估人员力量薄弱的分支机构和子公司、海外机构的防御能力情况。

勒索防护措施有效性验证解决方

 安全验证简介

2.1 资产脆弱性和安全防御脆弱性

资产有脆弱性，包括漏洞、弱口令、未授权访问等；

安全防御体系也有脆弱性，安全防御体系由三部分组成：安全设备、规则策略、安全处置。安全设备、规则策略、安全处置等都有可能失效，比如安全设备性能不足或者宕机（夯死），规则策略可能做的不好，或者就没配置，人的处置可能会误判等，都可能导致安全失效。再比如，我们在某个行业做了 100+ 的边界安全验证，而这个行业绝大多数边界安全都是用的IMPERVA 的 waf，但边界安全拦截率完全不同，最高是 98%，平均 95%，最低只有 20%，安全设备都相同，但规则策略的不同，导致了不同的安全效果差异。

因为资产层有脆弱性，内外部攻击者会用各种漏洞利用方式去找资产的脆弱性，安全防御层就是对攻击者的各种漏洞利用方式进行有效的识别、检测和阻断。

而且安全防御层并不会因为资产层没有某个漏洞而把攻击者针对这个漏洞的利用方式放进来，不管自己保护的资产层有没有漏洞，安全防御层会尽可能的识别、检测和阻断各种攻击方式。

一个安全事件的发生，是因为：

1. 资产层有脆弱性

2. 防御体系也有脆弱性

3. 攻击者穿透了防御体系，找到了资产层脆弱性，实施漏洞利用，造成安全事件

如果要达到降低安全事件发生的目的，消除两者中的任何一个都可以。

• 某机构HIDS内存马防护模块未开启，攻防演习期间对生产业务区主机进行内存马攻击成功，HIDS检测失效率100%
• 某机构NTA探针设备性能不足，互联网DMZ区流量存在严重丢包，互联网资产遭受来自互联网的攻击时，流量告警日志丢失38%，漏检了很多攻击行为

比如我们在模拟攻击 100 个域名时，发现有 5 个域名 NTA 上没有任何告警，排查发现网络团队给安全团队NTA 设备镜像的流量时这 5 个域名是 https 加密流量，而 NTA设备对加密流量是没有任何检测能力。这里涉及到：

当我们没有看到告警的时候，我们其实判断不出来：

• 是没有攻击，导致没有告警？

• 还是有攻击没发现，导致没有告警？
  

解决思路是：

• 模拟各类攻击手法、工具，数据泄露方式

• 收集安全防御体系拦截和告警结果

• 自动化比对，不能拦截、不能告警的用例，告警出来

• 安全验证的告警也作为安全告警的一种，遵循统一的安全运营流程处理
  

这里有三个关键点：

• 模拟方式的完备性和实时性。除了攻击方式和攻击工具以外，还应模拟基于安全策略及绕过的规则验证，以及模拟各类数据泄露在内的数据安全用例

• 除了模拟方式构成的验证用例以外，更重要的是知道防御方针对这种攻击会有怎样预期的结果。“既要懂攻击，还要懂防御”，就像你去体检，除了知道要体检血糖、血脂、血压等体检项外，还要知道血糖的正常值：空腹全血血糖为3.9～6.1毫摩尔/升。只有知道了正常值，才能将检测值和正常值做自动化比对

• 自动化比对。有的单个用例实践中会作用在一万个对象上，而大型机构的用例差不多几千，这些用例一天或一周全量执行一次，叠加起来验证结果比对是天量级任务，不可能通过人工来完成比对，而要实现这点，必须通过“自动化闭环”完成
  

除了上述关键点，实际工程化中还需要解决很多细节问题。原理很简单，工程化实现却需要很多积累。

就像飞机起飞原理很简单：只要速度足够快，机翼上下压力差就可以让飞机起飞。但实际工程化制造飞机和建立航空和民航体系，却是非常有技术含量和门槛的。

勒索防护验证解决方案（工具+服务）

一次典型的勒索攻击，主要分成三个阶段：

1、第一阶段是通过三种主要的攻击方式进行感染植入：边界漏洞攻击、邮件攻击、主机和终端恶意软件投递。包括使用404个高危漏洞去感染和植入勒索软件，404个高危漏洞是人行下发的勒索软件自查清单里面定义的，还在不断更新；

2、一旦勒索软件获得了内网的权限，就会转成半人工或纯人工，勒索软件会去进行横向移动和爆破，来获取和感染更多的机器和权限，直到获得最重要的资产和目标数据库的权限。比如他会去横向移动，RDP3389端口的爆破，会去请求勒索组织的域名、下载勒索组织的样本，然后还会建立持久化与C2的通讯。同时他还会去批处理的移除防病毒的软件、关闭备份、拷贝数据等。

3、当攻击者移动到最核心目标的数据库和重要资产时，它会开始最终的第三阶段：进行加密和勒索。

勒索防护能力验证，是通过模拟勒索软件三个阶段的各种各样的行为，然后去收集防御体系的拦截和告警结果，从而进行自动化比对，看看勒索组织的这些动作和行为，我们能够做到多少有效拦截和告警？从而来评估勒索防护能力的真实情况，以发现我们勒索防护措施的短板和失效点。

以反向的方式去验证和评估企业的勒索软件防护能力。

1）感染植入阶段验证：

模拟勒索软件感染植入的三种方式：

• 在边界防护层面，使用勒索组织常用的 400 多个高危漏洞，模拟黑客利用这些漏洞对边界拦截防护情况进行验证。

• 在邮件安全方面，模拟多种形式的勒索病毒邮件攻击，包括模拟各类钓鱼邮件、附带勒索病毒附件或链接等，验证邮件安全网关和邮件安全防护策略的实际效果。

• 在终端和主机层面，不管是上网下载了勒索病毒，还是 U 盘不小心感染拷贝了勒索病毒，具体都是表现成在主机和终端上，会将勒索病毒落盘。通过模拟70+ 种最活跃的勒索软件家族样本和域名请求，验证终端安全防护和主机安全防护的真实防护能力。

2）传播扩散阶段验证：

在传播扩散阶段，重点模拟勒索软件在企业内部网络中的横向扩散和蔓延能力。勒索病毒一旦进入到企业内网，会千方百计进行横向移动，感染到核心数据库服务器和核心目标服务器。勒索软件行为包括：各种横向移动、RDP3389 端口爆破、MS17-010 扫描、与 C2 服务器建立持久化通讯，有的还会移除防病毒软件、关闭数据备份服务、拷贝敏感数据等。

3）加密勒索阶段验证：

在加密勒索阶段，模拟勒索软件的核心破坏行为，以评估防御体系在最后一道防线上的表现。这包括模拟勒索软件对目标文件系统的加密操作、模拟锁定与破坏、模拟数据销毁或篡改，以验证终端/主机的防护能力。 

我们的方案：

• 通过模拟以上三个阶段勒索病毒攻击，全面量化防御体系在应对勒索软件攻击时的真实能力短板（能力不足）和失效点（有能力但没起作用）。

• 根据短板和失效点报告，有针对性的整改，形成整改方案，输出《勒索防护整改方案》。

• 进行第二次勒索攻击安全有效性验证，验证整改结果，形成策略配置基线，输出《勒索防护策略配置基线》。

• 根据策略配置基线下发要求，要求各个分支必须遵照执行，总部建立常态化的检查机制，定期对总部、各分支进行检查，推动落地。形成《勒索防护检查机制》。

我们的实践：

01-某国有大型银行面向分支机构和分子公司、海外机构

02-某集团“一张图、一张网”勒索防护布防态势

在集团范围内形成对各管辖分子公司、海外机构的全网联防统管，形成基于勒索攻击模拟防护效果的度量评价验证结果，实施掌握全行勒索防御态势感知能力，实现“一张网、一张图”的勒索防护布防态势。

03-某集团多级勒索防护验证体系

通过多级部署，形成全网范围内的所有防护能力的统筹布防图，量化评估各综合公司的安全能力情况。在行使对综合公司的监管能力上，根据验证指标开展更精准的指导管理动作。

在各分支机构部署验证机与靶机，实现物理场所全覆盖，构建自动化主动验证体系。知其安研究院经过对几十个勒索家族、众多勒索事件攻击手法的分析，整理出海量勒索用例，分三阶段覆盖防护各环节，确保对攻击与防御体系无遗漏监测。遇新攻击手法，24 小时内制成用例模拟攻击，抢在攻击者之前掌握失效点。

01- 勒索防护验证有效率

（2）高效评估分支机构和子公司勒索防护能力真实情况

对分支机构和子公司、海外机构的防护能力进行评估，过去只能通过人工或者下达任务的方式进行，对人力水平要求较高，且不具备时效性。依托勒索专项验证平台的自动化闭环功能，7×24 小时常态化评估分支机构、子公司及海外机构勒索防护力，快速精准掌握真实情况。

02- 海外机构整体评价和机构排名

（3）靶向解决防护短板与失效点

以往，要提高勒索防护能力，主要通过人工检查或厂商推荐的方式，对人员依赖较大，缺少针对性，常常出现与实际情况不符、整改效果不理想的情况。通过勒索防护措施有效性验证专项服务，精准到每一个攻击手法防护是否有效，准确定位勒索防护的短板（能力不足）和失效点（有能力但没起作用），给出有针对性的整改建议。

03- 短板和失效点进行策略优化提升

（4）量化可视，助力安全运营决策

勒索专项验证平台对勒索防护能力的有效性验证数据实现量化的、可视化的呈现，为安全运营投入指明方向，作为规划编制依据，清晰回应领导层对防护成效疑虑：安全防护，是基于我们运气好，还是确实防住了？

04- 防护能力量化评估（安全度量）

（5）大型集团和总行风险管理措施落地抓手，创新科技监管手段

通过将人工验证转为全自动化闭环验证，解决了手动模拟的覆盖度和执行稳定性问题，减轻了人工查看告警判断失误的压力。高效自动化验证助总部机构精准、及时把控分支机构安全建设，减少人力投入与误报，整体提升安全运营效率，为大型集团与总行风险管理落地、科技监管创新筑牢根基。

05- 某大型集团对下属单位安全验证及拦截能力排名