勒索軟體已成為最被矚目的安全威脅之一。全球威脅情報機構RiskIQ曾發表過統計，表示每1分鐘就有6家單位遭受勒索攻擊，而每分鐘因網路安全導致的損失高達180萬美元，整年超過6萬億人民幣。也正因此，如何對勒索病毒進行有效的防護和治理也順勢成為話題。

對於這一話題，36氪獲悉，亞信安全近期特地召開了「全面勒索治理即方舟計劃」釋出會。

在釋出會中，亞信安全持續強調的一個觀點是，現代勒索攻擊團伙其實就是APT組織。也正基於這一判斷，亞信安全推出了「方舟計劃」，希望透過這一計劃，並結合其自身既有的產品、技術能力，幫助企業降低勒索風險。

會議中，亞信安全介紹，勒索軟體的“鼻祖”誕生於1989年，而在那個網際網路的“蠻荒”時代，攻擊者還沒有找到高效且“安全”的敲詐方法。但歷經數年演化，勒索病毒經歷了與比特幣支付方式結合、與釣魚郵件結合、攻擊目標轉向大型政企、與蠕蟲木馬結合、出現RaaS服務、資料洩露與多重勒索等多個發展階段。所以，無論從攻擊形式、攻擊技術，還是從勒索形式角度看，勒索病毒攻防的矛盾博弈已經日益激烈。

對此情況，亞信安全認為，大量“堆砌”的安全產品和零散部署的安全檢測技術無法與勒索軟體對抗。合理的方式應該是，參考與APT對抗的模式應對勒索軟體。

在具體邏輯上，亞信安全認為，現代勒索攻擊的轉變升級主要體現在作戰模式、攻擊目標和勒索方式上。

首先，勒索即服務RaaS（Ransomware-as-a-Service）的興起使得勒索的作戰模式從傳統的小型團伙單兵作戰，轉變為模組化、產業化、專業化的大型團伙作戰，其造成的勒索攻擊覆蓋面更廣，危害程度顯著增加；其次，對於勒索攻擊的目標，也從過往的廣撒網蠕蟲式攻擊升級成為針對政府、關鍵資訊基礎設施、各類企業的定向攻擊；另外，從勒索方式來看，現代勒索攻擊已經從傳統的支付贖金恢復資料的勒索方式，演化為同時開展雙重勒索，甚至三重勒索。

另外亞信安全還認為，勒索病毒已經完全符合了網路安全行業對於APT組織的認定標準：

1． 幾乎所有的勒索攻擊都基於經濟目的；

2． 所有的勒索攻擊都是潛伏的，多階段的持續性攻擊；

3． 現代勒索攻擊主要是針對企業組織的定向攻擊；

4． 勒索的攻擊方式多樣，包括魚叉攻擊、商品化與定製化惡意軟體、遠端控制工具，漏洞利用等。

也依照這一思路，亞信安全為方舟治理提供了三大能力：

勒索體檢中心：運營團隊透過部署端點及網路探針，對勒索攻擊進行全面排查分析，幫助客戶防範在前，早發現、早預警、早研判、早處置。利用最新的勒索威脅情報進行資料碰撞，確認企業環境中是否存在勒索行為，將勒索攻擊爆發風險降低。

全流程處置機制：亞信安全「方舟」覆蓋勒索病毒攻擊治理響應的全流程，依照攻擊發生的狀態，協助使用者建立勒索防護策略、勒索攻擊事前防護、勒索攻擊識別阻斷方法，以及勒索攻擊應急響應。

現代勒索治理解決方案：基於亞信安全的XDR技術，現代勒索治理方案可覆蓋勒索病毒的攻擊鏈，透過“事前預防、事中處理、事後掃雷”三大手段，構建立體化、平臺級的運營防護能力。

在具體落地上，亞信安全表示，目前已經有行業使用者透過亞信安全勒索體檢中心對IT環境進行安全測評，針對潛藏勒索威脅風險獲得了安全治理規劃和建議。同時，亞信安全也配備了覆蓋全國 31個省市服務網路，透過安全服務工程師等構成的本地團隊，以及雲端安全運營專家、病毒樣本專家、威脅情報專家的總部團隊，協助企業確認環境中是否有勒索行為。

在釋出會後，36氪等媒體也就勒索軟體等話題與亞信安全首席研發官吳湘寧、亞信安全副總裁徐業禮、亞信安全副總裁劉政平進行了討論。

以下是對話節選：

記者：APT攻擊和現代勒索攻擊之間沒有本質區別，是基於哪些原因得出上述判斷？有這樣的判斷，對勒索治理有什麼樣的作用？

徐業禮：以往我們認識的APT，基本上都是悄悄地偷資料，把所有資料偷走以後不發聲，客戶也不知道東西被偷走了。這個時候為什麼不發聲？因為APT的目標不是立刻讓組織或者企業付錢為目標，而是拿到這些資料以後偷技術、偷客戶，然後私下裡賣給競爭對手等。

其實整個網路安全攻擊最終造成破壞無非三種：第一偷資料；第二破壞企業的資訊系統；第三綁架資訊系統裡面的這些主機或者是元件，來為他所用，幹壞事。那現在的勒索團伙其實和APT一樣，背後的組織人員不比APT組織少。勒索團伙還採用加盟的模式，在暗網裡形成成熟的商業模式。只要有一些攻擊能力的駭客或者黑產的從業者，就可以加入勒索團伙一塊做壞事。這些組織的行為和APT沒有差別。另外，現在我們網路安全行業認定的APT組織總數不超過200個，有40多個APT組織，都參與過勒索攻擊。所以本身APT組織和勒索團伙沒什麼兩樣，就是一個等號。

那我們把勒索團伙認定為APT組織，目的是什麼呢？第一，是希望整個行業認識到，這種勒索攻擊是非常的陰險狡詐的，也是非常具有破壞力的，大家要引起足夠重視，不能用傳統的防病毒，或者老三樣的防護手段。大家必須要建立立體化的防禦，必須要有運營團隊參與，必須要用有真材實料的產品替客戶分憂，提前發現並及時地阻擋駭客的內網滲透，把他們逼退，這是第一部分。

第二部分，我們把它認定為APT的組織，其實也是意識上的提升，讓整個網路安全行業都能夠一起攜手應對這種勒索攻擊廣泛延伸的趨勢。網路安全，光靠一家肯定也不能解決所有的問題，只有整個行業都對它有足夠的認知，聯起手來，才會有更好的效果。

最後一個，我們把它定性為 APT 組織，也是想讓監管單位也意識到，其實勒索攻擊的團伙也應該用APT的手段來對待，而不是簡單的一個黑灰產，小團隊。

記者：演講中提到勒索病毒攻擊的六個步驟，前五個步驟其實更多在用亞信安全的閘道器檢測和防護能力。那麼在勒索軟體的執行階段，也就是在終端上執行的時候，這最後一道防線亞信安全是怎麼考慮的？

劉政平：其實終端層面的能力需要在兩個層面加強。一個是防護，就是我們說到傳統的防毒軟體，針對勒索行為做智慧化。比如，如果一旦檢測到異常加密行為，我們可以直接阻斷那個程序。雖然可能駭客已經利用一個路徑入侵到系統裡，但他無法對你的檔案進行加密。

第二，在終端被攻入之後，你要能檢測到，這個能力是很重要的。駭客在投放這個攻擊武器時，是經過測試的。既然傳統的病毒碼檢測不到，那麼能檢測到的肯定是我們現在做的端點EDR的能力。EDR 是透過威脅情報來檢測，IOC來匹配的。它檢測到之後，我們就快速要進行樣本分析，把樣本自動化提出來之後在沙箱裡跑，或者在實驗室裡面分析，就是做決策。有了這個機制，就算被攻破了，我們也能快速響應去處理掉這個風險點。

徐業禮：勒索攻擊正常情況下都會去嘗試破壞你的防禦能力，比如說攻佔ID、破壞防病毒系統。假設破壞成功了以後再執行勒索軟體，應對這種情況的好辦法，真的不多。第一企業要加強自身的備份能力恢復，還要加上平常的演練。但最重要的是，我們能不能及時檢測，並且阻止這種行為，這些真真正正是比較前置的事情。

記者：有觀點認為當前發生勒索後的資料恢復方式還是以備份為主，想了解備份在方舟勒索威脅治理中處於什麼樣的位置？

吳湘寧：反勒索是不是主要靠備份？我們認為，這件事的當務之急是去溯源這次勒索怎麼進來的。

今天被勒索，不是說有了備份，把資料開啟、解密就可以解決勒索的問題，這是個治標的思路。想想看，當你被勒索的時候，資料已經外洩了。如果僅是簡單地恢復資料，其實沒有解決本身這次勒索中的資料外洩問題。同時還有一個問題，就是即使你把資料恢復了，難道下次就不被勒索嗎？畢竟勒索的源頭沒有找到。

所以我覺得，如果認為資料備份可以防勒索的話，這個觀點是片面的，甚至是不正確的。資料備份更多是防止勒索的一個必要補充的手段。大家更應該明白，如果有資料備份當然恢復的效率更高，但更重要是如何在事前保護這些資料不被外洩。同時一旦被勒索了以後，怎麼樣溯源才能儘快找到被攻入的那個漏洞點。

我們現在看到，一旦被一次勒索，後面會有多次勒索緊接而來。假如你有備份不交贖金，恢復以後，可能不會過多久就會遇到二次勒索，甚至三次勒索，而且每次勒索價碼會越來越高。這些都是問題。

記者：方舟計劃主要的目標客戶群體是什麼？收費的模式有哪些？

劉政平：方舟計劃是一個體系，實際上包含了我們的平臺、產品和服務。我們會研究客戶的業務場景，包括它現在安全的階段、成熟度等等。如果是缺某一些能力，我們就要協助客戶去完善這方面的能力。所以，這個方案不可能是單一的定價，我們要針對每個客戶進行方案設計，有了方案設計之後才能有相應的價碼。

記者：亞信安全其實一直在講XDR的體系，今天又釋出了方舟計劃，二者間的關聯是怎樣的？

吳湘寧：過去的兩年，我們分別釋出了 XDR1。0 和2。0。XDR1。0，我們講威脅可感知、安全可運維。後來我們釋出了XDR 2。0，講的是威脅可認知，安全智運維。我們今天釋出勒索防護計劃，就是亞信安全在整個XDR上的不斷實踐，能夠更清楚地認知威脅的一個重要表現。

比如我們把勒索歸納成九個階段，有不同的特點，就是一種認知。另外，我們對勒索提出了六個階段的防護，也是一種認知。而且我們還把這六個階段的攻擊步驟歸納成72個檢測點，告訴客戶到底怎麼防，在什麼地方防，這也是認知的很重要一個步驟。從勒索的九個階段，到攻擊步驟的六個階段，再到72個檢測點，這些都是我們深入落實整個XDR的理念，威脅可認知的過程。

今天的方舟計劃更大的含量就是我們透過平臺+產品+服務的方式提供給客戶。這個服務不僅有本地的服務，還有遠端的服務等，所以這其實是我們落地的整個XDR 2。0的一些方式。

再拆解一下，平臺+產品+服務中的平臺講的是我們的XDR平臺。我們是希望把整個安全的，特別是在檢測和響應的能力做成原子化。把這些原子能力落實到我們所有的，端邊雲網的產品裡，最終要匯聚到平臺側，進行統一的精密聯動和精密編排。今天亞信安全的產品是打通的，透過編排、聯動實現自動化、智慧化，雲化，這個平臺就是XDR的平臺。

今天來說，國內這些客戶有不同的背景，比如能源，金融行業的頭部企業，有自己非常強的安全運營能力，也有產品+平臺+服務，能做自己內部的整合。但是對很多製造業企業來說，還沒有能力去做資源的整合，安全點投入也沒有那麼大。這類客戶要追求價效比，把投入和產出均衡。所以現在我們有云化的、遠端的，相對成本較低，輕量化的運維，也就是託管型的運維。這也是我們希望能夠使大量企業使用者普遍受益的商業模式。