调研回访：威努特主机防勒索周年升级 对勒索病毒“零容忍”

《勒索攻击解决方案》是安全419在2022年推出的网安系列选题之一，该系列选题主要以访谈调研形式，充分了解来自网络安全企业一侧的系统解决方案，最终希望能为企业进行勒索攻击部署防护起到借鉴和帮助作用。此前，安全419先后走访了多家网络安全企业，其中工控网络安全厂商威努特给我们带来了不同的视角，在其围绕“威努特主机防勒索系统”搭建的勒索攻击解决方案，可以大幅减负企业投入，但又不会牺牲针对性的勒索攻击防护。



该系统于去年4月份发布，据悉，在今年4月系统发布一周年之际，威努特主机防勒索系统也迎来了版本升级，安全419也以回访形式邀请到了威努特负责产品搭建的副总经理杨璐，再次就勒索趋势及产品升级等问题开展了相关讨论。

勒索软件攻击持续增长 已成企业首要网络威胁

杨璐表示，威努特研发主机防勒索产品之初，曾全面捕获了当时活跃的150余款勒索病毒样本，技术人员通过分析病毒样本杀伤链，从而让产品防护能力更具针对性。现在，持续地勒索病毒样本分析工作仍在进行，当第二个版本迭代时，其发现常见勒索病毒家族数量已上升到700余家。


“这代表着勒索软件家族化的进一步壮大，这也是为什么勒索攻击几乎每天都在发生的根本原因之一。”

总体分析近年来不断发展的勒索软件攻击趋势，杨璐总结了两点：

其一是RaaS（勒索即服务）模式家族化发展让勒索病毒变种速度加快，新的勒索病毒不断涌现，几乎每天都能看到新的勒索病毒出现，这证明攻击者的攻击成本和难易程度都在降低；

其二是多重勒索趋势明显，攻击者不再像过去那样只对系统数据进行加密，而是绝大多数都加入了多重勒索，除了锁定主机，不支付赎金就威胁泄露数据已是勒索组织的常用手段。

“有一些案例还证明，就算中招的企业支付了赎金，攻击者也没有放过泄露数据，攻击者只对钱感兴趣，对企业的生死根本不在乎。”

谈及勒索软件攻击泛滥并且难以治理的源头时，杨璐将其归咎于虚拟货币造成的不可追溯的变现能力之上，我们确实会看到越来越多的组织参与到打击勒索犯罪工作当中，但是打击成本太高，就是因为溯源难，加之国际地缘政治问题导致的相互之间的合作不畅，未来勒索软件攻击还将长期存在。

勒索软件攻击持续爆发、持续增长、多重勒索在未来仍将持续，在攻击者肆无忌惮的抽奖式攻击、特定式攻击下，企业必须做好防范工作，勒索软件攻击也必须得到全民重视，养成全民安全防范意识。

根据杨璐的观察发现，随着勒索攻防屡屡上演，考虑到勒索病毒与传统病毒的典型特征的不同，且其威胁更大，未来不排除政策上将防勒索软件攻击产品作为专项发展，威努特也是最早发现这一趋势的安全厂商，如今威努特主机防勒索产品在发布一年之后能力上也在不断提升。

专项发展在各行业都显得越加重要，威努特作为国内头部工控网络安全厂商分析其中原因也明确指出，无论是工业行业，还是关基行业，业务系统、核心生产系统的安全稳定都不能被中断，从整体攻击趋势上来看，勒索攻击已成为企业来自网络上的主要威胁之一，因此需要常态化专项防护。

勒索攻击常谈常新 企业频繁中招原因为何？

“勒索病毒是新世界的新事物，不能用老世界的老办法。”

杨璐分析为什么勒索病毒常谈常新，且不断会有企业中招，特别是那些安全能力并不差的企业纷纷成为经典案例。实际上企业在进行安全建设时都会遵循一定的标准架构，无论是国际上成熟的安全体系还是国内的等保合规标准，问题在于勒索软件的趋利特性让其成为技术迭代最快的攻击之一。当“矛”在迭代，“盾”也需要迭代。

这也是网络安全行业常常谈起的攻防两端的不平衡问题，往往都是“矛”太锋利，而“盾”仍保持原有的样子，仍然在强调结构性、完整性，属于被动防御，成为受害者自然不足为奇。

解决网络安全问题，杨璐认为重点在于让攻防两端回到同一起跑线，针对性地去解决，将被动防御变成主动防御，原有的安全架构也需要及时调整，需要做出补偿性安全措施。

新世界新问题需要特定的安全产品来解决，杨璐以沈院士提出的“可信”理论进一步阐述说明，可信建立的其实就是主动防御，其可以定义每一个行为，现在出现的零信任其实机制上都一样，策略中心负责多维验证每一次的行为是否可信，但是这些新的思想还并没有广泛覆盖到企业一侧。

如何解决新世界的新问题？杨璐观察发现，很多安全厂商在面对勒索病毒时，其解决方案仍然没有逃出架构式理论，架构式理论的弊端是解决方案都比较厚重，就勒索软件攻击而言，实际上更需要的是一种“特效药”。

总结而言，之所以勒索软件攻击发展数年企业能清醒认知其风险，但仍有大量企业不断中招，问题就在于防御机制需要调整，从而进一步平衡攻防两端。对于那些不重视安全的企业而言，可能只有经历血泪，才能让其下定决心投入安全建设。

威努特主机防勒索周年升级 对勒索病毒“零容忍”

威努特主机防勒索系统于去年4月份发布，该产品就是针对勒索软件攻击专门研发的补偿性安全产品，也是针对勒索软件攻击场景下的“特效药”产品。

根据此前了解，该系统核心提供五大基础能力，分别是勒索行为监测、勒索病毒诱捕、关键业务保护、核心数据保护、数据备份恢复，从而实际检测、防护、恢复能力相结合的专项安全方案。应用该系统就勒索软件攻击而言，可大幅提高针对性的主动防御策略，产品通过不断地迭代升级，可针对勒索病毒不断变化的攻防趋势做出系统对应。

简单理解这款“特效药”防勒索产品，其功能上行为监测+病毒诱捕提供的能力是拒绝病毒入侵并执行，这也是系统的核心能力和前提能力；而业务和数据保护也是绝伦无比，如勒索软件最重要的威胁就是破坏业务和数据，系统运行可在系统底层技术加持下让核心业务系统始终处于服务状态，这点保障了一旦防御失守，业务也仍然照常运行，重要数据也不会受到破坏；最后底层兜底的是数据备份恢复，即对业务和数据提供了层层递进的保障能力。

据杨璐介绍，在威努特主机防勒索系统发布一周年之际，其系统功能进一步优化，2.0版本的威努特主机防勒索系统带来的主要变化是：

行为监测升级：勒索软件存在共性行为，如攻击者突破网络会有横向扩展，在主机端遍历数据，或是最终病毒下发加密数据，或者是窃取数据，这些都属于共性行为。此前威努特主机防勒索系统研发初期，曾对上百款勒索病毒样本做出分析，统计了诸多共性行为，周年升级之后，系统将加入勒索病毒差异化行为的监测能力，进而将共性行为和非共性的异常行为一网打尽，大幅加大勒索病毒的检测能力。

在此方面，勒索病毒为了躲避检测，还会使用进程注入的方式开展攻击，从而伪装作恶行为，或让恶意行为无法被阻断。威努特主机防勒索系统此次升级采用大量技术，如数字签名验证、远程线程创建禁用、DLL加载限制等，从而保护系统进程不被注入，相当从行为源头限制病毒作恶。

数据备份升级：当企业意识到中招勒索之后如不支付赎金，数据将无法恢复，所以行业公认的底层对应之道就是对数据进行日常实时备份。威努特主机防勒索系统同样提供数据备份恢复能力，且其初代产品就提供了轻量化的备份机制，熵值备份及加密备份全面保证备份数据的有效性和不可篡改。当前，该系统进一步提升了备份效率，对客户而言可以以无感知的方式快速完成关键数据的多个副本备份到指定的加密空间当中。

“最主要的升级还是行为监测，从传统防病毒角度来说通常辨别的是特征，但特征不可枚举，而行为可以，在封闭的系统中搞破坏攻击者能够使用的招数是有限的。这次升级，我们就针对这块大幅提升了监测能力，相当于能力上我们已经能够对勒索软件行为上实现‘零容忍’。”杨璐着重强调称。

对于该能力，杨璐以实际案例进一步地做了介绍，以今年三月份出现的Money Message勒索病毒为例，在其大肆攻击全球多家知名企业之后，经威努特系统测评发现，在病毒被发现的近一个月后，国内外24款知名杀毒软件仍无法识别该病毒，这相当于基于威胁情报和病毒特征的防护软件或安全平台在该病毒入侵时将会失效。

而在部署威努特主机防勒索系统的环境中，在执行Money Message勒索病毒样本时，基于行为的监测机制可准确识别该病毒，警告并阻止病毒程序卷影删除和数据加密等行为，并迅速将病毒程序隔离删除，即威努特主机防勒索系统成功拦截了当时市面上所有主流杀毒产品都无法阻止的Money Message勒索病毒。

据悉，在威努特主机防勒索系统发布一周年之际，其产品应用积累了大量的行业客户，据杨璐透露，金融、医疗、学校、制造业是该产品深入应用的典型行业，因为这些行业一方面有的对安全有着更高的要求，有的则是安全建设相对滞后，其共同面对的问题是他们都是勒索组织主要的攻击对象，所以行业特性对专项防勒索产品有着明确的需求。

勒索软件建立在密码技术之上，还有加密货币溯源难来做基础支撑，企业在中招之后如果没有相应的安全措施，一旦重要系统或数据被加密，其实最终妥协支付赎金就会占更高比例，因为企业没有办法应对，比如唯一的财务数据被加密的致命损失。所以事前的安全建设是企业应对勒索软件攻击的唯一途径，这也带来了成本投入问题。

据杨璐透露，从企业安全建设的综合成本来考虑，威努特主机防勒索系统也极具优势，一方面它解决的企业棘手的安全问题，同时相较传统型的安全解决方案，或事前、事中、事后的勒索防护方案，其建立在威努特主机防勒索系统之上的防勒索方案在投入产出比上更具优势，甚至是十倍以上的关系。

关基数字化发展下的勒索防护建议

当前，在数字中国战略推动下，企业广泛的数字化进程不断加快，在工业、能源等关基行业都在积极推动数转智改造，从安全角度来看，数字化过程显而易见地扩大了企业原有的攻击面，企业核心生产系统意外中断以及核心资产被加密勒索都是无法接受的，所以重点行业必须做好勒索防护。

威努特是国内头部工控网络安全厂商，杨璐也从关基行业角度出发，为其勾勒了一套从多年前经典案例之下总结的勒索防护建议，即其提出的“ABC”工业主机安全防护理念。该理念被分为三大安全实践：其中A对应的是AWL（Application White List），即应用程序白名单；B对应的是Before and After，代表“一前一后”的介质安全问题；C对应的是Configuration Management，即配置管理。

据杨璐的进一步讲解，C→B→A是这套方案的实施顺序，其中配置管理要以权限最小化为原则，如以支撑业务为前提的关闭没有必要的服务或端口及程序，安全配置企业可以手工完成，也可以引入统一策略、集中管理的主机配置核查管理系统来批量完成；

在介质安全方面，对应的是在封闭的工控网络场景下，U盘、移动硬盘等移动存储设备的不规范化使用是网络病毒引入的主要途径，“一前一后”核心原则要求存储介质在使用前使用后都需要进行一次完整的病毒查杀动作，以确保不被引入病毒；

在应用程序白名单方面实际上对应着系统化的工业场景下的安全能力搭建，过去白名单技术可控制应用程序启停，但实施时需考虑产品的兼容性、可靠性，以及具体工程实施时的可行性。

对应当前，威努特主机防勒索系统则可以理解为A所对应的企业应具备的专门应对勒索软件攻击的防御能力，即勒索病毒或其他恶意程序释放运行时，企业在主机一侧所应具备的监测和阻断能力。实际上在该系统的加持之下，CB两侧也可以很好地予以进一步防范解决。

杨璐也强调称，考虑到勒索软件攻击的高危害性，企业需要这种专业化的安全产品来解决这种特定场景下的高风险问题，威努特主机防勒索系统就是这种专业化的“特效药”产品。一些典型的案例也在证实，企业现有的安全建设可能不足以全面防御勒索病毒，安全419也认同高风险需要重点投入，需要独立的产品来解决。

尾声.

“勒索软件将长期存在、勒索软件无差别攻击、安全鸿沟越拉越大……”，安全419曾对2022年全年勒索软件攻击趋势做出如上总结。我们也认为，勒索软件攻击将会代言网络安全，成为企业长期的网络侧威胁。关于勒索软件攻击的挑战从根本上来说还要归于技术问题，因为绝大多数企业几乎是主动地把大门向黑客敞开。

总结安全419过去一年系统调研的多家网安厂商推出的勒索软件攻击解决方案，以及在与其他网安厂商交流时我们发现，在大而全的“事前、事中、事后”系统性的解决方案之余，各厂商也纷纷计划推出或已经推出专门为勒索软件攻击场景上的专项产品，这种产品具备的优势主要就是成本投入低，针对性防御强，且融合化发展趋势也让其产品功能逐渐丰富。

在这方面，威努特将会具备先发优势，该类型产品围绕勒索场景搭建了系列的闭环技术应对能力，产品发布一年有余，不仅取得了领先的用户实践，且通过实践不断优化产品功能，从而成为各行各业企业客户对抗勒索软件攻击的得力武器。