4月25日，安天“反勒索新抓手 依托执行体治理升级勒索防护能力”主题分享会在线上召开，从方法框架到产品实践，探索勒索防御的新理念及如何构建行之有效的治理抓手。

安天反勒索的方法和理念基于安天对勒索攻击长期的持续跟踪与分析，和积累的大量实战经验。安天工程师们从勒索攻击事件的复盘和防护启示、执行体治理理念在主机系统侧防勒索中的价值、终端安全产品和云安全产品基于执行体的落地防护能力以及安天勒索防治演练服务方面展开分享，构建端/云/网多层次和实战化的纵深防护体系，强化全主机系统防护的基石作用。目前，直播视频可在安天微信视频号、哔哩哔哩平台回看。

勒索攻击的模式解析与波音遭遇攻击事件复盘

近年来，大型企业和关键信息基础设施面临着愈发猖獗的勒索攻击威胁。勒索攻击已经不再是简单的勒索软件，而是不断演变的复杂形态，攻击者的作业水平也在不断提高。勒索攻击防范意识的缺乏，给防御工作带来了很大的困扰。

安天安全研究与应急处理中心（安天CERT）的工程师指出，为有效应对勒索攻击，我们需要更深入地了解攻击的运作机制。基于细致的分析和全面的评估，进一步构建有效的威胁想定，有针对性地改善防御和响应能力。安天CERT基于对LockBit攻击组织的历史分析成果，依托赛博超脑平台的历史知识数据，借助公开的相关情报等，从多个维度对美波音企业遭遇勒索攻击事件进行了深入的分析和研判。

图1 LockBit组织总体攻击过程复盘

强化主机系统侧执行体治理，防护勒索攻击

面向定向勒索乃至APT级定向攻击，最终在主机系统侧达成作业目的现实情况，安天始终坚持夯实自身在产业上游赋能的优势，以此塑造执行体治理主赛道结构，将资源聚焦于共性方法、共性能力、全主机系统安全、支撑服务、共性平台（赛博超脑）的塑造。

安天解决方案中心的工程师介绍了如何通过防护勒索攻击落地、执行、致效这三个关键环节，强化主机系统侧执行体治理能力，融合主机系统侧业务场景，降低用户遭受勒索攻击的风险。

安天在共性能力和知识体系的支撑下，完善安全能力的引擎化封装和功能积木构建，形成了以智甲防护工作环境、睿甲防护工作负载的积木化灵活组合和可扩展的防护、检测和响应能力，实现全主机系统勒索防御覆盖。

图2 强化主机系统侧勒索攻击防护的基石作用

安天智甲主机勒索防护能力与案例

终端是防御勒索病毒攻击的主战场。安天智甲基于多年对勒索事件的跟踪分析和对抗经验，构建了“五层防御，两重闭环”的防护技术手段。

五层防御分别为：

1.系统加固是基于环境塑造技术，实现对系统配置脆弱点的检查修补，从而减少勒索攻击的暴露面，削弱漏洞利用的成功率；

2.（主机）边界防御是基于外设管控和主机防火墙技术，实现拦截扫描、入侵数据包，阻断攻击载荷传输，拦截外设插入自动运行，使勒索攻击难以获得主机入口；

3.扫描过滤是基于AVL SDK威胁检测引擎和执行体治理技术，实现对主机全量执行体进行细粒度识别，判断检测对象恶意，从而实现精准清除和行为管控；

4.主动防御是基于内核驱动持续监控操作行为，研判是否存在疑似勒索攻击动作，并文件授信（签名验证）机制，过滤正常应用操作动作以降低误报；

5.文档安全是依靠部署多组诱饵文件并实时监测，诱导勒索病毒优先破坏，达成欺骗式防御效果。

基于上述五层防御手段，结合实时防御和准实时/异步防御闭环，达成终端系统侧的勒索病毒有效防护，保障终端系统和数据安全。

图3 智甲勒索防护方案

安天睿甲云上勒索防护解决方案

目前各行业对云计算的应用越来越广泛，云上承载的关键业务和重要数据不断增多，而云上承载业务的云主机、容器等工作负载也成为勒索攻击的主要目标。由于云本身大规模与集中化的资源共享，以及业务之间的高开放性和互联性等特点，会带来很多区别于传统架构的新的攻击面，进一步增加了勒索攻击的风险。

睿甲专注于云上主机、容器、微服务等工作负载的统一安全管理，针对云上的勒索攻击，睿甲从事前暴露面收敛和加固，到事中的实时入侵检测和响应处置，再到事后的数据恢复和溯源取证，安全能力可完整覆盖云上工作负载勒索攻击的全流程，提升勒索威胁对抗能力，帮助用户构建从勒索软件到高级威胁对抗的体系化纵深安全防线。

图4 睿甲云上勒索纵深防护方案

安天勒索防治演练服务

安天安全服务中心的工程师提到，在勒索病毒突发的情况下，用户面临的主要问题包括数据被加密导致无法访问、业务中断造成的经济损失、支付高额赎金的压力，以及可能引发的声誉损害和法律风险等。安天勒索病毒应急演练服务通过提供模拟攻击场景、专业培训和优化应急响应机制等方式，协助用户预防勒索病毒攻击，并在遭遇攻击时能够迅速解决问题，减少损失。

图5 安天勒索防治演练流程