网安攻防战，谁主沉浮？

周末，凌晨，万物沉睡。

然而虚拟世界里，一场无硝烟战争刚刚打响。

黑客驱动的一批“木马”悄悄出动，撬开云端服务器。此前，它们“忍辱负重”，伪装成正常文件，潜伏了数月之久。

今晚，是决定黑客团伙吃肉还是吃土的关键时刻，如果勒索成功，可能获得上千万的“回报”。过程相当顺利，各端口的防病毒“警卫”们还未反应，就已经被俘虏。

短短几分钟内，数千台云服务器被加密，终端警报声此起彼伏，停工，停产，停止运营，工厂瞬间停摆，每分钟损失上万。

“亚信安全吗？我们被勒索软件攻击了，该怎么办呀？”电话里的声音惊魂未定。

安全专家们立刻出动，分析出漏洞所在，紧急修补封锁，避免“毒情”进一步扩散，入侵病毒顺利“落网”，遣送沙箱观察，有关该病毒的威胁情报被同步发送至云、管、端各节点，专家们再度巡逻，确认所有雷点被清除干净，通过备份还原，镜像重置等应急措施，数千台云服务器被成功“解救”。

短短二十分钟，演完了一部《长安十二时辰》。

这不是电影，而是数月前，亚信安全帮助客户对抗现代勒索攻击的真实案例。

类似的勒索几乎每天都在发生，但并非每个企业都能幸免于难。

网络安全机构Resecurity预测，到2031年，全球勒索病毒的勒索活动将造成2650亿美元的直接损失，对全球企业造成的潜在总损失或达到10.5万亿美元。

全球知名威胁情报公司RiskIQ的报告则显示，在全球，每分钟就有6家企业遭受勒索攻击，每分钟损失高达180万美元，全年315万家企业被勒索，金额约为6万亿人民币。

而随着云、大数据、 AI 、5G等技术的广泛运用，攻击的影响还会扩散到物理世界。

去年5月7日，勒索攻击团伙DarkSide攻击了美国最大燃油管道公司科洛尼尔，导致近9000公里长的输油“大动脉”被迫掐断，殃及美国17个州和华盛顿特区进入紧急状态，超千家加油站无油可加，一度陷入“抢油慌”。强势如科洛尼尔这样的大企业，为了恢复运营，也只能乖乖支付500万美元赎金。

这也恰恰说明，数字时代，当企业在云上攻城略地，构建城池时，如何保障网络安全，成为了共同挑战。

流水线上的黑客，数字化转型的黑产

招募黑客，需要掌握哪些技能？

如果你在1989年提出这个问题，得到的回答大概率是：学习开源操作系统、编程语言、密码技术、入侵技术等等。

彼时，网络病毒尚处于蛮荒时代，生物研究员约瑟夫·L·波普博士利用简单的对称密码，创造出艾滋病特洛伊木马软件，通过软盘传播，要挟每个受害者支付189美元的解锁赎金，就此开启了勒索软件的历史。

那个时期的勒索软件，无论是传播方式还是欺诈手段，多是散兵游勇，势单力薄。三十年后的今天，情况发生了翻天覆地的变化，黑客行业高度内卷、专业分工，完成了“产业大升级”。

近日，亚信安全在“全面勒索治理即方舟计划”发布会上，首度提出了“勒索病毒进入2.0时代”的断言， 即勒索团伙APT化(Advanced Persistent Threat，高级可持续威胁攻击)，表现出专业化、针对性、持续性、隐秘性的特点，危害性极强。亚信安全在暗网监控和病毒治理的过程中发现，勒索病毒呈现了三大升级趋势：

其一，勒索病毒即服务RaaS（Ransomware-as-a-Service）模式兴起。 勒索软件作战模式，从单兵作战，升级为模块化、产业化、专业化的大型团伙作战，勒索攻击覆盖面更广，危害程度显著增加。一条完整的产业链若隐若现。

勒索病毒开发商授人以渔，在暗网招募加盟渠道商，不仅向入局者出售勒索工具包，还提供特定产品漏洞的定制化服务。当加盟的渠道商们通过勒索软件，成功入侵企业后，开发商们还会派出专业的谈判专家，估算赎金，进行谈判，从中分成。

产业链完善之下，勒索病毒攻击急剧增多。SonicWall在最新的网络威胁报告中称，2021 年全球勒索病毒攻击达到 6.233 亿次，比 2020 年增长 105%。与 2019 年相比，增长了 232%。

其二，勒索目标从“粗放式”转向“集约式”，追求高效益，定向攻击增多。

过去，勒索团伙“守株待兔”，大规模发送垃圾钓鱼文件，广撒网，碰运气，等待猎物送上门来。

现在，勒索团伙不再满足于此，瞄准了具有勒索兑现能力的大型政企，实行定向攻击，有组织有预谋，分工明确，有人负责侦查信息，有人负责制定方案，有人负责招安“内鬼”。俗话说，不怕贼偷，就怕贼惦记，被勒索团伙暗中盯上、持续攻击的企业，实在防不胜防。

其三，勒索方式多样化，出现双重勒索、甚至三重勒索，增加了基于泄露隐私数据勒索以及DDoS的攻击勒索。 过去，勒索团伙的行动，和线下绑票并无太大差异，只要缴纳赎金，就能够释放“人质”——恢复企业数据。

现在，勒索团伙的“职业道德”滑坡明显。他们会先收集企业的核心敏感数据，外泄到黑客专用站点后，然后再加密重要文件和数据，要求企业缴纳一笔解密赎金；如果企业拒绝支付，还会继续威胁，比如声称要在暗网公开或者售卖公司核心数据等；有时甚至“不讲武德”，威胁该企业的客户或合作伙伴等。

浪潮奔涌的工业4.0，防护薄弱的制造行业

当暗网内掀起“产业大变革”、大批网络海盗集结成军时，互联网“海域”驶来了新的“货轮”——步入工业4.0时代的传统企业。

相较于“努力内卷”的黑客，传统企业应对网络安全的新变化，尚有些准备不足。尤其是高端制造业，更成为了勒索软件团伙钟爱的“肉票”，攻击事件频发。

Akamai最近的调查表明，全球最大的勒索软件团伙 Conti 发起的全球勒索软件攻击中，有近30%以制造业为目标。去年5月30日，全球最大的肉类生产商JBS SA遭遇网络攻击，导致工厂瘫痪，影响了全美20%的肉类供应，最终JBS不得不向罪犯低头，支付了总价值达1100万美元的比特币。

今年3月1日，丰田汽车零部件供应商受到勒索病毒攻击，导致系统全面瘫痪，丰田位于日本的14家工厂总计28条生产线暂停运营，汽车因此减产1.3万辆，相当于损失月产能的5%。制造业成为网络勒索重灾区，背后有着多重共性原因。

其一，传统制造业工控系统陈旧，安全漏洞多，易被攻破。不少工厂的流水线设备，可能依旧是上世纪90年代开发的老机器，过去的工控系统，无法适应工业4.0时代万物互联的需求，安全漏洞多。

根据工业互联网产业联盟2021年底发布的《中国工业互联网安全态势报告（2020）》，收录的804个工控系统安全漏洞中，就有708 个漏洞涉及到制造业。加之制造业端口设备多、节点多、数据量大，涉及的系统通讯协议、系统整体架构更加复杂，一旦暴露在网上，就如同行走的“鲜美肉票”，吸引黑客攻击。

其二，制造业自身防护意识薄弱，也导致了制造业的感染风险提升。据观察，“很多制造企业在安全上的投入，只有IT预算的2%-3%左右，安全运营建设还相当薄弱。”

一些制造商还认为，网络攻击离自己很遥远，然而随着大量设备联网、上云，没有一个制造商能够独善其身。制造业的网络安全，已经是事关供应链上下游的系统性问题。即便上游大制造商防控滴水不漏，勒索团伙依旧可以从下游小制造商处，寻找到突破口，以它们为“后门”，渗透进大制造商的网络系统。

其三：制造业供应链复杂，无法承受停工危机，只能缴纳赎金。制造业供应链复杂，牵一发而动全身。某一环节停摆，影响的是整个行业上下游的生存处境。

停工意味着：生产排期推后、难以按时交付、合同违约、回款速度慢、资金链断裂风险……为了尽可能减少损失，制造业只能乖乖支付赎金，息事宁人。赎金可以换回生产重启，却无法消弭关键信息被盗带来的潜在风险。

知识产权、核心科技关系着制造企业的发展命脉，一旦被盗，可能意味着多年积累化为泡影；交付延迟、客户数据暴露，也会影响客户对制造商的信任度，声誉受损，因此，很多制造业企业即使被勒索，也只能打碎牙齿和血吞，独自咽下苦果。

其四：传统的EDR（终端检测与响应系统）安防模式，单点设备各自为战，孤掌难鸣，警报多，效率低。工业4.0时代，暗网强盗鸟枪换炮，从游牧草原式的单兵作战，变成了现代的集团化作战，但不少企业的网络安全模式，却依旧停留在传统的EDR模式，无法适应新变化。

传统的EDR模式，侧重于终端安全防护，包括了台式电脑、笔记本电脑、移动手机、服务器和任何网络的入口点，相当于每个端口都配备了一个“警卫”，可以根据来访者的行为，判断对方是否存在威胁，是否需要被紧急隔离。

但是这些负责终端设备安全的“警卫”，成了信息孤岛，和负责流量侧安排隐患排查的“同事”NDR（网络威胁检测与响应）各自为战，缺乏交流，数据集成能力弱，导致系统警报不断，但对真正的威胁情报，却预警不够及时不够敏感。

运维人员需要应付大量“狼来了”的“假警报”，工作压力大，效率低，还有可能导致倦怠和松懈，等“狼真的来了”，反而无法及时应对。

因此，数字化时代，企业若要提升自己的网安能力，对抗无孔不入的勒索攻击，急需一次“头脑”和“武力”的全面升级，整合云、网、边、端的安全方案，从而打造立体防御体系。

方舟护航，立体攻防全域作战，打赢黑产暗战

数字化转型一体两面，既需要通过新技术的应用，高速发展经济，提升效率，与此同时也需要保障安全。

而互联网安全的底座基石，正是平台化的安全体系，XDR的解决方案也就由此诞生。所谓XDR，可以理解为是对传统EDR模式的扩展与增强，它能够横跨云、网、边、端多个安全层，收集关联信息，发现威胁事件，从而调整端口EDR或NDR的产品状态，响应威胁。

可以说，XDR模式让安全系统拥有了统一的“头脑”，全面清晰的视野，及时精准的告警，解放了运维人员的工作。近日，亚信安全推出的方舟计划，就是以主动防范理念为指引，以XDR立体化防护的产品技术为根基，以安全服务为支撑，实现了三位一体的勒索治理新模式，形成全链条、立体化的勒索治理合力。

从发现威胁到清除漏洞，避免二次勒索，亚信安全有能力快速响应并打赢勒索攻击阻击战，最大化降低客户的风险和损失。

效率如此之高，打击如此精准，得益于亚信安全构建的立体防御体系。

其一，洞悉全局，远瞩高瞻的情报体系。

一封疑似钓鱼邮件从被网关发现到送沙箱甄别检测需要多久？亚信安全的答案是十分钟以内。

效率如此之高，在于亚信安全积累深厚，拥有“火眼金睛”。 亚信安全自身的威胁情报优势，并与多个国际知名的网络安全威胁情报公司建立合作关系，从而建设了一套国际化的威胁情报系统，能够及时获得第一手情报资料，掌握勒索团伙新动向。

这套先进的情报系统，相当于“勒索攻击团伙”的“全球通缉库”。

当亚信安全的保卫团队开始参与包围企业建立的数字孪生环境时，勒索体检中心会率先开展一次全面清查，部署端点及网络探针EDR（终端安全响应系统）、TDA（360度网络安保巡查系统）巡视“孪生环境”，排查分析，发现可疑分子时，及时上报统一威胁运营平台，通过比对画像，将勒索攻击前置工具、伴生木马和勒索病毒等一举擒获。

依托于此，亚信安全能够为客户提供分行业、场景和需求的定制化专项体检服务，全面评估、预判潜藏的隐秘威胁，并且针对勒索事件制定相应预案，避免因突遇勒索陷入混乱。

除了定期体检，治理漏洞，亚信安全的防护保卫军还会定期进行专项风险排查，开展攻防演练，发现新的风险点，不断提升作战能力。

其二，协同运作，高效联动的XDR立体防护保卫军。 传统的EDR模式，终端侧和流量侧的警卫们各自守卫“一亩三分地”，而方舟计划聚沙成塔，把零散的“警卫”们，组成了一支战斗力强悍的铁军。

亚信安全的专家们凭借着多年和黑客斗智斗勇积累起来的技术经验，打造了一个睿智的指挥部“XDR平台”，全面覆盖勒索团伙的攻击链，通过“事前预防、事中处理、事后扫雷”三大手段，构建立体化、平台级的运营防护能力。在事前风险排查阶段，XDR平台通过勒索体检、提前部署、预案机制等手段解决蠢蠢欲动的暗网强盗，对他们起到了一定的震慑。

在事中应急处置阶段，XDR平台通过本地+云端威胁情报研判，快速精准分析威胁事隐患，实现全网联动，以虚拟补丁及时封堵漏洞，避免病毒进一步扩散。在事后扫除威胁阶段，成功捕获勒索威胁后，XDR平台会再次进行体检。通过TDA这辆“巡逻车”，沿流量侧巡逻，察觉异常流量，检测二次攻击行为，并和终端的EDR、云端的威胁情报共同联动，定期，持续，扫清城市周围的威胁 “雷点”，避免黑客的多次攻击。

其三，人机配合，24小时贴身服务的专家团队。

亚信安全发现，传统企业在网络安全运维上的人才缺口，达到上百万之多。因此，除了提供覆盖全流程的解决方案之外，亚信安全还组建了一支3000人的专家“智囊团”，覆盖全国31个省市，7×24小时在线，确保企业发生勒索攻击风险后，能够第一时间找到可靠“军师”精明决策。

如此一来，亚信安全的方舟计划，彻底打破了传统安全产品无法高效联动的困局，以统一的XDR平台，将碎片化安全能力融为一体，变为系统性、能够全局联动的远程免疫系统，化繁为简，实现了企业网络安全的一次全面升级。随着大数据、云计算、人工智能等新兴技术不断发展，新应用、新场景层出不穷，美丽的云上世界徐徐展开，但危险与暗礁也无处不在，传统企业面临着严峻的安全挑战。

而亚信安全之所以能够护航企业，依赖于其多年的专业经验、全栈的技术优势，“懂网、懂云，懂安全”，才能实现“天下无贼”的美好愿景。面对内卷的黑客和犯罪手法，独木难成林，唯有平台化的防御体系，百川聚江海，实现云网边端协同一体化运作，才能护航千里，把来势汹汹的暗网海盗们挡在门外。