对话亚信安全现代勒索攻击团伙其实就是APT组织，单纯靠数据备份治标不治本

　　勒索软件已成为最被瞩目的安全威胁之一。全球威胁情报机构RiskIQ曾发表过统计，表示每1分钟就有6家单位遭受勒索攻击，而每分钟因网络安全导致的损失高达180万美元，整年超过6万亿人民币。也正因此，如何对勒索病毒进行有效的防护和治理也顺势成为话题。
　　对于这一话题，36氪获悉，亚信安全近期特地召开了「全面勒索治理即方舟计划」发布会。
　　在发布会中，亚信安全持续强调的一个观点是，现代勒索攻击团伙其实就是APT组织。也正基于这一判断，亚信安全推出了「方舟计划」，希望通过这一计划，并结合其自身既有的产品、技术能力，帮助企业降低勒索风险。
　　会议中，亚信安全介绍，勒索软件的＂鼻祖＂诞生于1989年，而在那个互联网的＂蛮荒＂时代，攻击者还没有找到高效且＂安全＂的敲诈方法。但历经数年演化，勒索病毒经历了与比特币支付方式结合、与钓鱼邮件结合、攻击目标转向大型政企、与蠕虫木马结合、出现RaaS服务、数据泄露与多重勒索等多个发展阶段。所以，无论从攻击形式、攻击技术，还是从勒索形式角度看，勒索病毒攻防的矛盾博弈已经日益激烈。
　　对此情况，亚信安全认为，大量＂堆砌＂的安全产品和零散部署的安全检测技术无法与勒索软件对抗。合理的方式应该是，参考与APT对抗的模式应对勒索软件。
　　在具体逻辑上，亚信安全认为，现代勒索攻击的转变升级主要体现在作战模式、攻击目标和勒索方式上。
　　首先，勒索即服务RaaS（Ransomware-as-a-Service）的兴起使得勒索的作战模式从传统的小型团伙单兵作战，转变为模块化、产业化、专业化的大型团伙作战，其造成的勒索攻击覆盖面更广，危害程度显著增加；其次，对于勒索攻击的目标，也从过往的广撒网蠕虫式攻击升级成为针对政府、关键信息基础设施、各类企业的定向攻击；另外，从勒索方式来看，现代勒索攻击已经从传统的支付赎金恢复数据的勒索方式，演化为同时开展双重勒索，甚至三重勒索。
　　另外亚信安全还认为，勒索病毒已经完全符合了网络安全行业对于APT组织的认定标准：
　　1． 几乎所有的勒索攻击都基于经济目的；
　　2． 所有的勒索攻击都是潜伏的，多阶段的持续性攻击；
　　3． 现代勒索攻击主要是针对企业组织的定向攻击；
　　4． 勒索的攻击方式多样，包括鱼叉攻击、商品化与定制化恶意软件、远端控制工具，漏洞利用等。
　　也依照这一思路，亚信安全为方舟治理提供了三大能力：
　　勒索体检中心：运营团队通过部署端点及网络探针，对勒索攻击进行全面排查分析，帮助客户防范在前，早发现、早预警、早研判、早处置。利用最新的勒索威胁情报进行数据碰撞，确认企业环境中是否存在勒索行为，将勒索攻击爆发风险降低。
　　全流程处置机制：亚信安全「方舟」覆盖勒索病毒攻击治理响应的全流程，依照攻击发生的状态，协助用户建立勒索防护策略、勒索攻击事前防护、勒索攻击识别阻断方法，以及勒索攻击应急响应。
　　现代勒索治理解决方案：基于亚信安全的XDR技术，现代勒索治理方案可覆盖勒索病毒的攻击链，通过＂事前预防、事中处理、事后扫雷＂三大手段，构建立体化、平台级的运营防护能力。
　　在具体落地上，亚信安全表示，目前已经有行业用户通过亚信安全勒索体检中心对IT环境进行安全测评，针对潜藏勒索威胁风险获得了安全治理规划和建议。同时，亚信安全也配备了覆盖全国 31个省市服务网络，通过安全服务工程师等构成的本地团队，以及云端安全运营专家、病毒样本专家、威胁情报专家的总部团队，协助企业确认环境中是否有勒索行为。
　　在发布会后，36氪等媒体也就勒索软件等话题与亚信安全首席研发官吴湘宁、亚信安全副总裁徐业礼、亚信安全副总裁刘政平进行了讨论。
　　以下是对话节选：
　　记者：APT攻击和现代勒索攻击之间没有本质区别，是基于哪些原因得出上述判断？有这样的判断，对勒索治理有什么样的作用？
　　徐业礼：以往我们认识的APT，基本上都是悄悄地偷数据，把所有数据偷走以后不发声，客户也不知道东西被偷走了。这个时候为什么不发声？因为APT的目标不是立刻让组织或者企业付钱为目标，而是拿到这些数据以后偷技术、偷客户，然后私下里卖给竞争对手等。
　　其实整个网络安全攻击最终造成破坏无非三种：第一偷数据；第二破坏企业的信息系统；第三绑架信息系统里面的这些主机或者是组件，来为他所用，干坏事。那现在的勒索团伙其实和APT一样，背后的组织人员不比APT组织少。勒索团伙还采用加盟的模式，在暗网里形成成熟的商业模式。只要有一些攻击能力的黑客或者黑产的从业者，就可以加入勒索团伙一块做坏事。这些组织的行为和APT没有差别。另外，现在我们网络安全行业认定的APT组织总数不超过200个，有40多个APT组织，都参与过勒索攻击。所以本身APT组织和勒索团伙没什么两样，就是一个等号。
　　那我们把勒索团伙认定为APT组织，目的是什么呢？第一，是希望整个行业认识到，这种勒索攻击是非常的阴险狡诈的，也是非常具有破坏力的，大家要引起足够重视，不能用传统的防病毒，或者老三样的防护手段。大家必须要建立立体化的防御，必须要有运营团队参与，必须要用有真材实料的产品替客户分忧，提前发现并及时地阻挡黑客的内网渗透，把他们逼退，这是第一部分。
　　第二部分，我们把它认定为APT的组织，其实也是意识上的提升，让整个网络安全行业都能够一起携手应对这种勒索攻击广泛延伸的趋势。网络安全，光靠一家肯定也不能解决所有的问题，只有整个行业都对它有足够的认知，联起手来，才会有更好的效果。
　　最后一个，我们把它定性为 APT 组织，也是想让监管单位也意识到，其实勒索攻击的团伙也应该用APT的手段来对待，而不是简单的一个黑灰产，小团队。
　　记者：演讲中提到勒索病毒攻击的六个步骤，前五个步骤其实更多在用亚信安全的网关检测和防护能力。那么在勒索软件的执行阶段，也就是在终端上执行的时候，这最后一道防线亚信安全是怎么考虑的？
　　刘政平：其实终端层面的能力需要在两个层面加强。一个是防护，就是我们说到传统的杀毒软件，针对勒索行为做智能化。比如，如果一旦检测到异常加密行为，我们可以直接阻断那个进程。虽然可能黑客已经利用一个路径入侵到系统里，但他无法对你的文件进行加密。
　　第二，在终端被攻入之后，你要能检测到，这个能力是很重要的。黑客在投放这个攻击武器时，是经过测试的。既然传统的病毒码检测不到，那么能检测到的肯定是我们现在做的端点EDR的能力。EDR 是通过威胁情报来检测，IOC来匹配的。它检测到之后，我们就快速要进行样本分析，把样本自动化提出来之后在沙箱里跑，或者在实验室里面分析，就是做决策。有了这个机制，就算被攻破了，我们也能快速响应去处理掉这个风险点。
　　徐业礼：勒索攻击正常情况下都会去尝试破坏你的防御能力，比如说攻占ID、破坏防病毒系统。假设破坏成功了以后再执行勒索软件，应对这种情况的好办法，真的不多。第一企业要加强自身的备份能力恢复，还要加上平常的演练。但最重要的是，我们能不能及时检测，并且阻止这种行为，这些真真正正是比较前置的事情。
　　记者：有观点认为当前发生勒索后的数据恢复方式还是以备份为主，想了解备份在方舟勒索威胁治理中处于什么样的位置？
　　吴湘宁：反勒索是不是主要靠备份？我们认为，这件事的当务之急是去溯源这次勒索怎么进来的。
　　今天被勒索，不是说有了备份，把数据打开、解密就可以解决勒索的问题，这是个治标的思路。想想看，当你被勒索的时候，数据已经外泄了。如果仅是简单地恢复数据，其实没有解决本身这次勒索中的数据外泄问题。同时还有一个问题，就是即使你把数据恢复了，难道下次就不被勒索吗？毕竟勒索的源头没有找到。
　　所以我觉得，如果认为数据备份可以防勒索的话，这个观点是片面的，甚至是不正确的。数据备份更多是防止勒索的一个必要补充的手段。大家更应该明白，如果有数据备份当然恢复的效率更高，但更重要是如何在事前保护这些数据不被外泄。同时一旦被勒索了以后，怎么样溯源才能尽快找到被攻入的那个漏洞点。
　　我们现在看到，一旦被一次勒索，后面会有多次勒索紧接而来。假如你有备份不交赎金，恢复以后，可能不会过多久就会遇到二次勒索，甚至三次勒索，而且每次勒索价码会越来越高。这些都是问题。
　　记者：方舟计划主要的目标客户群体是什么？收费的模式有哪些？
　　刘政平：方舟计划是一个体系，实际上包含了我们的平台、产品和服务。我们会研究客户的业务场景，包括它现在安全的阶段、成熟度等等。如果是缺某一些能力，我们就要协助客户去完善这方面的能力。所以，这个方案不可能是单一的定价，我们要针对每个客户进行方案设计，有了方案设计之后才能有相应的价码。
　　记者：亚信安全其实一直在讲XDR的体系，今天又发布了方舟计划，二者间的关联是怎样的？
　　吴湘宁：过去的两年，我们分别发布了 XDR1.0 和2.0。XDR1.0，我们讲威胁可感知、安全可运维。后来我们发布了XDR 2.0，讲的是威胁可认知，安全智运维。我们今天发布勒索防护计划，就是亚信安全在整个XDR上的不断实践，能够更清楚地认知威胁的一个重要表现。
　　比如我们把勒索归纳成九个阶段，有不同的特点，就是一种认知。另外，我们对勒索提出了六个阶段的防护，也是一种认知。而且我们还把这六个阶段的攻击步骤归纳成72个检测点，告诉客户到底怎么防，在什么地方防，这也是认知的很重要一个步骤。从勒索的九个阶段，到攻击步骤的六个阶段，再到72个检测点，这些都是我们深入落实整个XDR的理念，威胁可认知的过程。
　　今天的方舟计划更大的含量就是我们通过平台+产品+服务的方式提供给客户。这个服务不仅有本地的服务，还有远程的服务等，所以这其实是我们落地的整个XDR 2.0的一些方式。
　　再拆解一下，平台+产品+服务中的平台讲的是我们的XDR平台。我们是希望把整个安全的，特别是在检测和响应的能力做成原子化。把这些原子能力落实到我们所有的，端边云网的产品里，最终要汇聚到平台侧，进行统一的精密联动和精密编排。今天亚信安全的产品是打通的，通过编排、联动实现自动化、智能化，云化，这个平台就是XDR的平台。
　　今天来说，国内这些客户有不同的背景，比如能源，金融行业的头部企业，有自己非常强的安全运营能力，也有产品+平台+服务，能做自己内部的整合。但是对很多制造业企业来说，还没有能力去做资源的整合，安全点投入也没有那么大。这类客户要追求性价比，把投入和产出均衡。所以现在我们有云化的、远程的，相对成本较低，轻量化的运维，也就是托管型的运维。这也是我们希望能够使大量企业用户普遍受益的商业模式。