2024 年，網(wǎng)絡(luò)安全事件層出不窮，影響危害愈演愈烈，尤其以勒索攻擊為代表。

據(jù)國(guó)外知名咨詢機(jī)構(gòu)Verizon《 2024 年數(shù)據(jù)泄露調(diào)查報(bào)告》的數(shù)據(jù)顯示，經(jīng)濟(jì)利益驅(qū)動(dòng)下，高ROI的攻擊手段備受青睞，攻擊者愈發(fā)傾向使用能高投資回報(bào)率的攻擊手段。其中最為嚴(yán)重的就是勒索攻擊，占據(jù)高ROI攻擊事件的近三分之二。

另外，根據(jù)聯(lián)邦調(diào)查局互聯(lián)網(wǎng)犯罪投訴中心(IC3)勒索軟件投訴數(shù)據(jù)顯示，由勒索軟件和其他勒索行為導(dǎo)致的損失成本中位數(shù)為4. 6 萬(wàn)美元。

企業(yè)雖然在不斷地加固“防護(hù)盾”，但“道高一尺，魔高一丈”，勒索攻擊也隨之生變，尤其是AI技術(shù)的加持下，勒索攻擊也越來(lái)越“狡猾”。自此，勒索組織發(fā)出勒索攻擊，企業(yè)反勒索對(duì)抗，呈現(xiàn)了一場(chǎng)又一場(chǎng)像“貓鼠游戲”般的較量。

企業(yè)應(yīng)該如何在這場(chǎng)較量中“穩(wěn)操勝券”?建立“反勒索”思維是第 一步、構(gòu)建“有韌性”的、全面的制度+技術(shù)體系至關(guān)重要，而具體到技術(shù)、能力層面，企業(yè)又如何應(yīng)對(duì)不斷升級(jí)的勒索攻擊?

在這樣的背景下，應(yīng)對(duì)勒索攻擊的檢測(cè)和防護(hù)是企業(yè)必然需要具備的能力。

深耕網(wǎng)絡(luò)安全賽道多年的瑞數(shù)信息給出了更為明確的技術(shù)方案——“用AI來(lái)對(duì)抗AI”，勒索攻擊的檢測(cè)和防護(hù)也可以更智能。

一、勒索攻擊與反勒索的“貓鼠游戲”

勒索攻擊與反勒索防護(hù)之間的關(guān)系，正如一場(chǎng)復(fù)雜的“貓鼠游戲”。在捍衛(wèi)博弈中，“貓”與“鼠”分別扮演著進(jìn)攻與防御的角色，雙方不斷圍觀、預(yù)測(cè)、規(guī)避與反制。

早期的勒索病毒傾向于對(duì)整個(gè)文件進(jìn)行全局加密，導(dǎo)致文件內(nèi)部的混亂程度極 高，極易被傳統(tǒng)檢測(cè)工具識(shí)別。

傳統(tǒng)的勒索防護(hù)手段通常依賴于檢測(cè)文件和數(shù)據(jù)的“無(wú)序性”，即通過(guò)分析加密后文件的混亂度來(lái)判斷是否遭遇勒索病毒。

然而，隨著勒索攻擊者的技術(shù)仍在不斷升級(jí)，不斷調(diào)整加密策略，使得傳統(tǒng)檢測(cè)方式面臨嚴(yán)峻的挑戰(zhàn)，攻防之間始終處于動(dòng)態(tài)博弈之中。例如采用跳躍式加密方式，僅對(duì)文件的某些部分進(jìn)行加密，使文件整體的混亂程度變化不大，從而規(guī)避傳統(tǒng)檢測(cè)工具的判斷。

另外，不同類型的文件本身存在差異性。某些類型的文件在未加密狀態(tài)下就具有較高的“無(wú)序性”，這就需要防護(hù)工具針對(duì)文件類型進(jìn)行細(xì)粒度的分類和建模。

更為重要的是，AI技術(shù)的發(fā)展，不僅提升了網(wǎng)絡(luò)安全防護(hù)的技術(shù)水平，也讓勒索攻擊手段變得更加復(fù)雜，目標(biāo)愈發(fā)明確，攻擊更加隱蔽，更加難以防范，危害也日益增大。

隨著勒索攻擊專業(yè)化、團(tuán)隊(duì)化運(yùn)作，勒索攻擊逐步發(fā)展出五大新趨勢(shì)：

●新一代勒索攻擊采用low and slow(高隱蔽且高持久化)的攻擊手法;

●多重勒索模式引發(fā)數(shù)據(jù)泄漏風(fēng)險(xiǎn);

●病毒變異較快，攻擊路徑多元化，易傳播;

●勒索病毒擴(kuò)散渠道轉(zhuǎn)向web應(yīng)用漏洞。

●供應(yīng)鏈成為勒索攻擊的重要切入點(diǎn);

在 2024 年發(fā)生的勒索攻擊事件中，不少案例都呈現(xiàn)以上五大特征。如 2024 年 6 月出現(xiàn)的Brain Cipher勒索組織，在短時(shí)間內(nèi)在印度尼西亞發(fā)起攻擊導(dǎo)致Brain Cipher。最 新消息顯示，他們攻擊了全球最 大的會(huì)計(jì)師事務(wù)所之一的德勤Deloitte英國(guó)公司，并竊取了超過(guò)1TB的敏感數(shù)據(jù)。

Brain Cipher采用典型的雙重勒索，除了加密文件外，還會(huì)竊取敏感數(shù)據(jù)，并威脅稱，如果要求得不到滿足，他們就會(huì)公開(kāi)這些數(shù)據(jù)，對(duì)攻擊企業(yè)造成嚴(yán)重影響。

對(duì)于企業(yè)而言，如何做好勒索攻擊的檢測(cè)和防護(hù)則更為艱難。不過(guò)，深耕網(wǎng)絡(luò)安全多年的瑞數(shù)信息有“巧囊妙計(jì)”—— 數(shù)據(jù)安全檢測(cè)與應(yīng)急響應(yīng)系統(tǒng)(DDR)。

二、瑞數(shù)信息：AI賦能下的“反勒索之盾”

為什么說(shuō)瑞數(shù)信息的DDR解決方案是面向復(fù)雜勒索攻擊的“巧囊妙計(jì)”?

這是DDR的產(chǎn)品架構(gòu)。

不難發(fā)現(xiàn)，瑞數(shù)信息DDR解決方案的底層是強(qiáng)大的數(shù)據(jù)安全底座，通過(guò)永 久增量數(shù)據(jù)獲取、不可篡改的安全存儲(chǔ)和動(dòng)態(tài)隔離功能，保證數(shù)據(jù)的完整性和安全性。

檢測(cè)引擎中引入了AI智能能力，借助機(jī)器學(xué)習(xí)和熵值計(jì)算技術(shù)，對(duì)文件和數(shù)字根據(jù)庫(kù)的動(dòng)態(tài)變化進(jìn)行深度檢測(cè)，準(zhǔn)確識(shí)別異常行為與潛在威脅。

在整體架構(gòu)上，DDR實(shí)現(xiàn)了從事前數(shù)據(jù)風(fēng)險(xiǎn)管理、事中智能威脅采集到事后快速應(yīng)急響應(yīng)的三重保障。它不僅融合了最前沿的信息安全技術(shù)，還充分考慮了實(shí)際操作中的靈活性與易用性，幫助為企業(yè)構(gòu)建起一塊“堅(jiān)不可摧”的“反勒索之盾”。

具體來(lái)看：

1、 數(shù)據(jù)安全是底層邏輯

瑞數(shù)DDR以“數(shù)據(jù)鏈接+數(shù)據(jù)安全支架”為基礎(chǔ)，搭建了支架的數(shù)據(jù)安全防線：

· 數(shù)據(jù)鏈接：支持多種數(shù)據(jù)接入方式，通過(guò)永 久增量和增量合成的方式實(shí)現(xiàn)離線數(shù)據(jù)的獲取，將企業(yè)生產(chǎn)數(shù)據(jù)有效轉(zhuǎn)化為離線檢測(cè)資源，最 大限度減少檢測(cè)對(duì)生產(chǎn)環(huán)境的影響。

· 數(shù)據(jù)安全底座：提供不可篡改的存儲(chǔ)機(jī)制(如WORM功能)，確保備份數(shù)據(jù)倉(cāng)庫(kù)不受攻擊影響。同時(shí)，支持快照存儲(chǔ)、云對(duì)象存儲(chǔ)等用途的災(zāi)備技術(shù)，提升數(shù)據(jù)存儲(chǔ)和恢復(fù)的靈活性。

· 動(dòng)態(tài)變化回顧：利用文件與數(shù)據(jù)庫(kù)的動(dòng)態(tài)變化追蹤技術(shù)，對(duì)備份數(shù)據(jù)的每日增量部分進(jìn)行深度分析，快速定位被勒索攻擊的損壞數(shù)據(jù)，檢測(cè)準(zhǔn)確率超過(guò)99%。

通過(guò)數(shù)據(jù)安全基礎(chǔ)的強(qiáng)大功能，瑞數(shù)DDR能夠有效隔離并保護(hù)備份數(shù)據(jù)，為勒索攻擊的快速檢測(cè)和恢復(fù)提供保障。

2、融入AI能力的盾牌

瑞數(shù)DDR結(jié)合AI技術(shù)創(chuàng)新出“人工智能安全檢測(cè)引擎” ，集成了文件健康體檢和數(shù)據(jù)庫(kù)健康體檢的功能，從而提供了全方位的數(shù)據(jù)保護(hù)措施。

· 在線檢查 + 離線深度檢測(cè)：結(jié)合熵值計(jì)算與機(jī)器學(xué)習(xí)算法，分析勒索加密行為特征，以應(yīng)對(duì)“l(fā)ow and slow”模式下的勒索攻擊。通過(guò)對(duì)文件和數(shù)據(jù)庫(kù)的熵值方差建模，實(shí)現(xiàn)表級(jí)、字段級(jí)深度檢測(cè)，并聯(lián)動(dòng)數(shù)據(jù)安全底座，實(shí)現(xiàn)深度檢測(cè)和異動(dòng)監(jiān)控，提升檢測(cè)準(zhǔn)確度的同時(shí)，可以迅速感知異常。

· 自主學(xué)習(xí)進(jìn)化：面對(duì)跳躍式加密、局部加密等復(fù)雜手段，瑞數(shù)信息持續(xù)追蹤勒索組織的加密方法，及時(shí)補(bǔ)充檢測(cè)引擎中。其收斂性機(jī)器學(xué)習(xí)引擎能夠自我學(xué)習(xí)與進(jìn)化，使得能夠檢測(cè)模型在面對(duì)變化多端的攻擊手段時(shí)，也能保持高度準(zhǔn)確性。

AI不僅增強(qiáng)了系統(tǒng)的自適應(yīng)能力，還通過(guò)智能學(xué)習(xí)持續(xù)優(yōu)化檢測(cè)引擎，確保檢測(cè)效率和準(zhǔn)確性始終保持在高水平。

3、DDR為企業(yè)數(shù)據(jù)安全打造了“三重防線”

瑞數(shù)信息通過(guò)“事前數(shù)據(jù)風(fēng)險(xiǎn)管理、事中智能威脅感知、事后快速應(yīng)急響應(yīng)”構(gòu)建了全面的安全閉環(huán)：

· 事前預(yù)警：通過(guò)動(dòng)態(tài)沙箱功能模擬真實(shí)生產(chǎn)環(huán)境，準(zhǔn)確定位潛在的攻擊路徑。

· 事中防護(hù)：實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)的異常變化，包括文件內(nèi)容與權(quán)限的偏離，確保威脅在早期階段被遏制。

· 事后恢復(fù)：系統(tǒng)通過(guò)損害評(píng)估報(bào)告及修補(bǔ)建議，結(jié)合行為分析和日志分析等手段，確認(rèn)需要恢復(fù)的時(shí)間點(diǎn)，將數(shù)據(jù)恢復(fù)時(shí)間控制在分鐘級(jí)，以確保被加密數(shù)據(jù)的恢復(fù)時(shí)間在業(yè)務(wù)可承受的范圍之內(nèi)。

這三道防線的建立，有效對(duì)抗勒索攻擊，協(xié)助企業(yè)在快速恢復(fù)系統(tǒng)的正常運(yùn)行，將勒索攻擊造成的損失降到最 低。

瑞數(shù)的DDR實(shí)際應(yīng)用中展現(xiàn)出了其強(qiáng)大的靈活性和適應(yīng)性，目前這套解決方案已經(jīng)在不少行業(yè)得到實(shí)踐驗(yàn)證，從高精制造業(yè)到金融、能源、電商互聯(lián)網(wǎng)等，打造了了不少標(biāo)桿案例。

三、結(jié)語(yǔ)

面向日益復(fù)雜的勒索攻擊時(shí)，企業(yè)的防護(hù)能力已不再只是“盾”的強(qiáng)化，更需要“矛”的準(zhǔn)確反制。

未來(lái)，面對(duì)不斷升級(jí)的網(wǎng)絡(luò)安全威脅，只有將“反勒索”思維、全面的制度+技術(shù)體系與“主動(dòng)反制”的技術(shù)能力相結(jié)合，才能在這場(chǎng)“貓鼠游戲”化被動(dòng)為主動(dòng)，最終構(gòu)建起堅(jiān)不可摧的“反勒索之盾”，為企業(yè)的長(zhǎng)足發(fā)展保駕護(hù)航。

（推廣）