在安天“反勒索新抓手 依托执行体治理升级勒索防护能力”主题分享会上，安天解决方案中心的工程师介绍了通过防护勒索攻击落地、执行、致效这三个关键环节，强化主机系统侧执行体治理能力，融合主机系统侧业务场景，降低用户遭受勒索攻击的风险。

勒索攻击不是某一种特定网络攻击类别，而是基于攻击后果的通用化命名。由于勒索攻击的本质是为了获利，意味着犯罪团伙将采用一切方式发起攻击。因此100%解决勒索攻击问题基本等同于解决所有可能的攻击方式，然而网络防御工作并没有银弹。

随着技术发展和IT场景演进，资产云化、远程接入和移动办公的应用逐步深化，内外网边界接近不复存在；加密协议普遍使用使网络侧可见性严重下降。防火墙和网闸等边界与隔离设备的作用被大大削弱；安全的基石重回主机系统侧。需要围绕着每一台主机资产和工作负载构建独立的安全边界，并进一步把安全边界细化到每一个执行体之上。

面向定向勒索乃至APT级定向攻击，最终在主机系统侧达成作业目的现实情况，安天始终坚持夯实自身在产业上游赋能的优势，以此塑造执行体治理主赛道结构，将资源聚焦于共性方法、共性能力、全主机系统安全、支撑服务、共性平台（赛博超脑）的塑造。安天以智甲和睿甲为基石，逐层重塑产品和能力体系。

图1 安天政企场景网络安全产品与服务价值层次分布图

安天在共性能力和知识体系的支撑下，完善安全能力的引擎化封装和功能积木构建，形成了以智甲防护工作环境、睿甲防护工作负载的积木化灵活组合和可扩展的防护、检测和响应能力，实现全主机系统勒索防御覆盖。面对边界防护措施被穿透，投放一定发生的现实情况，面向勒索攻击落地、执行、致效这三个关键防护环节，强化主机系统侧勒索攻击防护的基石作用：

● 在落地环节：通过全面系统加固，收敛暴露面；结合多维度入侵检测和业务应用检测，全链路感知勒索攻击；依托细粒度执行边界管控，多层次防范勒索病毒落地；基于广泛的执行体对象识别，精准查杀勒索病毒。

● 在执行环节：基于诱饵文件预置，塑造欺骗式防御环境；结合内核级主动防御，拒止勒索攻击；基于勒索攻击行为监测和行为管控基线，第一时间感知和阻断勒索攻击；采用执行体级微隔离，遏制横向移动，收敛主机失陷风险；基于应用运行时防护，防范未知勒索攻击。

● 在致效环节：结合勒索行为锁定和原文件无损恢复，通过安全备份文件进而保障文件安全；采用多源关联分析，提供勒索攻击杀伤链的可视化还原。

图2 面向勒索攻击“落地-执行-致效”关键防护环节，强化主机系统侧勒索攻击防护的基石作用

开展执行体治理后，依托安天共性知识体系、围绕安天防御技术框架（ISPDR）构建的产品和能力模块供给；以构建初始化安全基线为起点，配置加固基线为基础，动态维护执行体安全基线、行为管控基线，塑造高度个性化的业务防护场景；抓住执行体运行是数据基于执行入口向指令转化过程得关键治理机会；基于执行体信誉评估体系，开展全面管控并针对用户业务场景构建相对完整的识别能力；将执行体治理与主机系统业务场景耦合，面向网络侧、主机侧和人员，开展安天勒索防治演练服务，降低用户遭受勒索攻击的风险。

图3 执行体治理与主机系统业务场景耦合，降低用户遭受勒索攻击的风险

安天践行执行体治理理念，以智甲防护工作环境、睿甲防护工作负载，实现全主机系统勒索防御覆盖。通过防护勒索攻击落地、执行、致效这三个关键环节，强化主机系统侧执行体治理能力，防护勒索攻击。

下一篇文章将详细介绍《安天智甲主机勒索防护能力与案例》的内容，以及如何在主机系统侧产品落地执行体治理理念。