本文通過深入的介紹和分析勒索病毒威脅的規律，旨在強調，在設計應對勒索病毒攻擊的方案時，必須注重嚴密性、可落地性，應遵循“減少接觸、及時阻斷、底線防御”這三條原則，設計部署應對勒索病毒攻擊的有效防御解決方案。

勒索病毒威脅緣何只增不減

自2016年底席卷全球的互聯網數據庫勒索風潮起，到2017年5月12日爆發的WannaCry勒索，勒索病毒正式被大眾熟知，成為全球范圍內主流的網絡安全威脅力量，醫療行業則是受勒索病毒威脅最為嚴重的行業之一。據美國電信巨頭Verizon統計，2017年勒索病毒在全網所有的惡意軟件攻擊中的占比高達39%，令人驚訝的是，其在醫療行業中的占比遠高于平均值，飆升到了85%，2017年之后，勒索病毒威脅更是保持只增不減的趨勢，一直維持在高位。

在這個過程中，勒索病毒不斷在發展和變化。從攻擊對象上，其從廣譜式無差別勒索攻擊迅速過渡至面對企業和政府的集中式攻擊。從攻擊金額上，其贖金訴求從幾百美金上漲至幾百萬美元……短短三年時間，勒索病毒通過各種傳播方式和演進措施，已經在全球形成完全成熟的勒索產業鏈，影響甚廣。面對勒索病毒的爆發式上漲，我們必須改變過往的認知，將勒索病毒作為獨立的網絡安全場景進行防范，充分思考其帶來的各類危害。

下圖是lumu公司發布的勒索威脅情報情況，主要闡述了勒索事件帶來的影響和受害者在被勒索時所采取的措施：

? 36%的受害者在遭受勒索病毒入侵后選擇支付了贖金，而其中17%的受害者支付了贖金卻依然無法恢復數據；

?  勒索病毒給企業帶來了巨大的困擾，如北美69%，亞太55%的企業曾報告其受到了勒索病毒的影響。

醫療行業是受勒索病毒入侵感受較為直觀、頻繁的行業，也是受影響最深刻、廣泛的行業。面對頻繁發生的勒索事件以及時時刻刻存在的勒索威脅，醫院需要思考和選擇，勒索后是否需要迫于無奈交付巨額贖金？是否需要能夠承擔業務戛然而止帶來的損失？是否在遭受勒索病毒前提前做好事前防范……面對全球形勢下的勒索威脅，通常醫院的決策決定了其在遭受勒索病毒攻擊后的生存能力。

下圖為美創科技在8、9月發布的勒索月報，闡述了勒索病毒在當月入侵的行業占比：

可以直觀地看到，醫療行業在眾多受影響的行業中占比還是相對較大，是勒索病毒威脅的重災區，除此之外，像教育、互聯網企業、政府機構、金融、能源等行業也都受到不同程度的影響，總而言之，各類報告、數據、事實都在印證：勒索病毒威脅廣泛存在，是否被勒索只是概率問題。

勒索病毒威脅為何會成為網絡安全主流威脅

2016年為勒索病毒元年，2017年，WannaCry成為了網絡安全史上影響最大的安全事件之一，大眾真正開始為其帶來的危害與影響感到恐慌，勒索病毒至此成為網絡安全主流威脅之一。

事實上，勒索病毒成為網絡安全主流的威脅，還有更為隱秘的原因：勒索軟件/服務是黑色產業鏈的顛覆性創新。在勒索病毒出現之前，黑色產業鏈的盈利模式主要還是靠數據買賣、攻擊服務等方式，意味著黑客（即賣家）在交易關系中，首先需要找到合適的買家，而受買賣關系渠道（如只能在暗網中交易）、買家低價求助等條件的限制，黑客的收益、興趣也都會有所折損，例如部分黑客在嘗到微小收益的甜頭后選擇收手。

但勒索病毒突破了以往黑色產業鏈的模式，解決了尋找買家變現的問題，即：通過加密文件，讓被勒索者被迫成為買家，讓被勒索者自己迫于數據破壞和業務終止帶來無奈，逼迫其支付贖金。由于勒索病毒的門檻較低，勒索入侵事件在短時間內成為了一個人人可參與、易參與的高回報產業，這種低門檻、高收益的高級商業模式從本質上決定了勒索攻擊必然會成為網絡安全最主流的威脅。

以上特征決定了只要勒索攻擊如此來錢快的商業模式不被摧毀/破解，如果沒有更好的黑產商業模式可顛覆式地替代勒索攻擊的盈利模式，那么黑客的野心會一直存在，也意味著通過勒索病毒進行入侵的事件會不斷蔓延生產，每個人、每個單位組織都會有更大的概率親眼目睹、感受勒索攻擊帶來的危害。

當前勒索病毒攻擊防御的困境

從入侵的技術手段來看，勒索病毒與傳統的網絡攻擊方式相比，并沒有特別出彩的內容，但是從影響的后果來看，其簡單粗暴的入侵方式（即加密文件）讓受害者無法從以“檢測和響應”為基礎的傳統網絡安全架構中找到合適的方式應對，尤其是大多數受害者目前主要還是以“人工響應”為主，事前檢測不到、事中缺少機制攔截管控、事后響應速度慢等問題，讓現有的機制紕漏無所遁形。

這是因為，傳統的網絡攻擊往往伴隨著復雜的攻擊工程，如需要通過端口掃描、網絡嗅探、服務器密碼爆破、SQL注入嘗試等一系列工作進行步步滲透，這一復雜的探索過程給以“檢測和響應”為主的安全架構留下了相對充足的響應時間，允許有一定程度的響應時間延遲以讓防御者及時做出響應。

但勒索病毒攻擊并不需要如此復雜的環境檢測，其通常利用既有的漏洞特征，如0DAY漏洞進行全網掃描，做無目標/既定目標的破壞性操作，使響應時間趨于零，讓受害者無法及時應對。這種對于響應方式進行改變的攻擊使得勒索防御異常困難，對此，通常有三種選擇可以有效應對：

? 不讓惡意軟件到達目標，即無法接觸目標、無法運行；

? 在勒索病毒啟動破壞動作（加密）的時候，立即阻止其行為；

? 破壞后，通過已有備份進行數據恢復，以輔助業務恢復正常。

但從實用性而言，第1條幾乎是不可能完成的任務。讓病毒無法進入系統一直以來都是棘手的問題，通過網絡、U盤、內部人員等行為都有可能讓惡意軟件有機可乘，目前尚無100%完美無暇的方案。這就決定了這條應對措施依然只能依賴概率，但顯然，求助于概率使得問題永遠無法被完美解決，即這條措施變得不可信賴。

而第3條，在被勒索后，受害者需要面臨長期的業務中斷和數據丟失問題，想要找回數據，需要確保備份和生產環境分離，如異地備份、離線備份，保證生產庫和備份庫不被同時勒索。

綜合以上，在設計應對勒索病毒攻擊的方案時，必須注重嚴密性、可落地性，因此較為周全的解決方案應當做到以下三條原則：

減少接觸

通過減少惡意軟件接觸目標（如辦公PC、服務器、終端等）的機會，來減少被勒索的概率。

及時阻斷

通過及時阻斷勒索病毒入侵行為，避免勒索病毒帶來進一步的傷害，讓攻擊失效。

底線防御

通過備份、容災等備用方案，保證被勒索后依然有數據可以恢復。

應對勒索病毒攻擊的有效防御解決方案

當前，常見的勒索病毒解決方案還是以殺毒軟件為主，即：通過將靜態文件特征、惡意軟件行為特征加入至黑名單，通過檢測和攔截進行防御。但勒索病毒的變異特征較為明顯，會通過更新/修改自身代碼以繞過殺毒軟件的查殺，因此，面對變種病毒，這些以黑名單為主的產品需要頻繁地更新特征庫，以適應病毒的變化，而分析病毒、更新病毒庫等操作無形中拉長了響應時間，為病毒提供了充足的運行時間窗口，這也使得這種防御模式更為被動。

針對以上困境，美創科技始終將目標聚焦于勒索病毒最本質的特點：即黑客主要以加密數據文件為手段，向受害者所要贖金。那么無論勒索病毒特征如何變化，它始終需要對數據文件進行加密操作，這其中就包括讀取文件、寫入文件、刪除文件、復制文件等操作，相對于上文所述的勒索病毒動態變化，這里提到的讀寫操作可以被認為是靜態不變、固定的特征。從以上特征來看，結合美創多年來倡導的零信任理念，可對文件、文件的操作行為進行細粒度的權限控制，目前這一方式已在美創諾亞防勒索產品中得到落地，其中主要的防御功能有：

1）文件控制：對操作不同文件類型的應用進行識別、控制。勒索病毒在加密時，有一個較為明顯的特征：即同一個勒索病毒應用程序會對多種文件類型進行加密操作。針對這一特征，我們設定特定的文件類型只能由特點的應用進行操作。舉個例子，數據庫文件只能由數據庫相關的合法應用進行操作，如果勒索病毒/其它未經授權的應用（無論是否正版，只要是未經授權的）進行操作時便會進行攔截。

2）應用授權：設定特定的應用對特定文件的操作權限。主要是為了防止勒索病毒假冒正常應用對文件進行加密。當我們對不同應用都設置了不同的文件控制權限時，即使勒索病毒假冒成功，我們也能夠通過細粒度的文件操作權限進行控制，如防刪除等，將影響縮小至可控范圍內。

3）應用控制：通過部分特征來描述應用，建立應用信任白名單和黑名單，對于黑名單應用進行直接攔截，這一部分吸取傳統的勒索病毒解決方案的優點，可快速精確地識別勒索病毒。

4）誘餌文件：設置特定的誘餌文件并對其進行監控，當出現應用對誘餌文件進行操作時，觸發相關安全響應，如隔離病毒、查殺病毒進程、郵件短信告警等。

除以上防御策略外，針對服務器上運行的較為固定應用程序的重要數據庫服務器，勒索病毒入侵后，病毒的應用程序區別于固定運行的合規程序。因此，可設置相關策略，對所有新增的應用進行隔離，實現對其余應用的“零信任”，從而在勒索病毒到達之前實現防御效果。

提升數據安全以應對勒索病毒新套路

但根據勒索病毒手段攻擊的演變，當前已有部分用戶拒絕支付贖金，黑客惱怒進而選擇直接進行數據公開的案例，預計未來也是勒索病毒發展的方向之一。

美創醫療數據安全整體解決方案

同時，勒索病毒攻擊也意味著受害者數據環境存在不同程度的漏洞，帶來更嚴重的趨勢，如內部人員利用核心數據進行勒索，建議及時進行數據安全建設，以保障核心資產的安全。美創作為數據安全行業的領導者，已有豐富的實戰應對經驗，可提供全方位的解決方案，幫助用戶提升整體數據安全水平