基于杀伤链的勒索软件防御指南 -勒索软件攻击防御技术方案 基于杀伤链的勒索软件控制框架 202501

基于杀伤链的勒索软件防御指南当前，勒索软件仍然是最具影响力的网络攻击形式。为了让企业能快速落地防勒索能力，本报告提供了实战化的勒索攻击防御技术方案，让有效的安全能力快速发挥效果。同时，本报告提出一个系统框架，指导组织采取具体步骤和方法路勒索攻击杀伤链勒索软件控制框架基于勒索软件攻击杀伤链，分析攻击者端到端的攻击步骤与相互关系，同时我们将ATT&CK策略整合到杀伤链模型中，描述攻击者特定的战术、技术和程序（TTP）。组织通过映射勒索软件杀伤链，了解威胁和风险节勒索攻击杀伤链勒索攻击防御体系勒索攻击防御体系\\\\\\\\\基于杀伤链的勒索软件防御指南层层递进有效的勒索检测体系通过“勒索攻击杀伤链”可以发现，应对勒索攻击的关键在于预防，重点在于检测响应，“绝杀手段”为阻断约束，由于不同的安全防护措施在勒索软件攻击的不同阶段发挥不同程度的作用，通过梳理勒索软件典型安全防护措施，与勒索攻击过程形成映射，围绕勒索软件攻击预防、检测响应、阻断约束、恢复重建四个阶段，打造全链路的勒索软件攻击 该方案覆盖勒索攻击全周期，在勒索攻击链各个阶段均部署应对技术能力，建立勒索事件层层递进有效的检测响应体按照勒索病毒攻击“事前、事中、事后”三个阶段，从预防、检测响应、阻止约束、恢复重建四个方面防范化解攻击在勒索攻击预防阶段，主要从资产管理、高风险漏洞管理等方面采取措施，如实现常态化、动态化业务资产管理，进/////////基于杀伤链的勒索软件防御指南建立常态化资产台账和动态化更新机制，覆盖总部和境内外分支附属机构的各类互联网应用系统。构建软件资产自动化收集能力与资产信息及时更新能力，为开展7×24威胁监测和事件处置，常态化开展资产及互联网被动上报业务特业务特Agent每天对业务资产进行信息采集，建立常态化资产台账及动态化更新机通过识别服务器内资产特征（服务器Confluence远程代码执行漏洞Confluencemacropreview模板注入漏洞……公安部启动了“两高一弱”专项行动，旨在检测并修复高风险漏洞、高风险端口及弱密码问题。因此，该方案针对勒索专项风险，实现企业攻击面持续检测、弱口令智能分析、修复进度闭环管理等安全能力，全面治\\\\\\\\\基于杀伤链的勒索软件防御指南威胁检测在实战中一般分为已知特征检测、已知行为检测、未知行为检测三个层次，复杂度逐步增加，该方案威胁检\最终无法防御已知特征的勒索检测主要利用多检测引擎实现防病毒查杀，并实现动态落盘查杀+静态扫描查杀●病毒木马多检测引擎：整合多个杀毒引擎，并包括自研杀毒引擎，查杀率高，对挖矿木马●动态落盘查杀+静态扫描查杀：支持对所有可疑落盘文件进行落盘查杀，扫描是否存在文件特征切片Cry文件特征切片Crye()勒filefest本、、样本切片样本切片防勒索攻击系统防勒索攻击系统……..……..……..通过勒索家族软件已知攻击行为的分析，以及大量常规攻击检测能力的积累，针对经常出现的行为提供专已知攻击位置设置检测锚点，或对某类已知攻击链路设置连续检测点，●恶意行为识别特定勒索攻击：在一些定向勒索或APT级定向攻击中，攻击样本通常会对系统中本身存在的备份、卷影机制等进行删除，避免业务恢复。通过大量的勒索、挖矿等应急的实例，份删除机制配置监测点，当有攻击者或攻击软件对这些锚点进行劫持时会触发探针的行为监控行为监控行为监控…\\\\\\\\\ W W W W……未知行为检测主要通过智能诱饵精准定位文件加密阶段行为，并利用行为白名单构建数据库勒索专项模型●静态/动态诱饵双管齐下：纯动态诱饵无法让探针自动化的理解业务信息，实现诱饵的精准投放，纯静态 ●行为白名单与数据库勒索专项模型构建：防勒索软件通过监测并学习主机上的进程创建、文件执行和外部连接等行为数据，利用科学算法对大量行为数据进行聚合与分析，从而形成于资产清点的相关优势，自动识别数据库进程位置，学习正常进程对数据库文数据源数据模型建设数据模型治理/////////基于杀伤链的勒索软件防御指南勒索病毒攻击…… 当发现勒索攻击事件时，首先需要进行勒索攻击阻断，通过文件隔离、进程阻断、网络隔离等手段，层层加码精准隔勒索病毒攻击…… 在勒索攻击阻断阶段，企业应强化突发事件应急处置能力，将攻击造成的影响降到最低。企业一旦发生勒索软件攻击事件，立即按照网络和数据安全事件应急处置管理要求和应急处置流程，启动勒索软件攻击应急响应预案，断开网络连接，隔离被感染主机，阻断网络传播途径，修复网络安全漏洞，尽快利用备份系统进行数在勒索攻击恢复阶段，该方案可通过密钥截取和解密，实现勒索加密数据还原。通过安全研究团队对近百种勒索家族的样本分析，在病毒程序启动时进行行为劫持，捕获加密操作或生成秘钥的操作行为，结合安全研究团队维护的勒索家族规则（已知病毒的加密规律、加密位置、加密算法）或加密行为（加密大小、二进制数），勒索秘钥文件秘钥勒索软件攻击实施阶段，在RSA秘钥加密前，通过注入hook手段，获取病毒程序生成的加密密钥，或者通过在流量层进行秘钥数据劫持，结合维护的病毒规则或者加密行为，即使真正的发生勒索事件，可将劫持后的\\\\\\\\\基于杀伤链的勒索软件防御指南防勒索方案通过多种创新优势能力，包括强化基于函数特征的检测能力、勒索专项行为检测能力、数据库专项行为学习能力、动态勒索诱饵防护能力、密钥截取和解密能力等，构建了一个多层次、全方位的防勒索检测防御体系，提高勒索●AI函数检测引擎：补充传统病毒查杀检测引擎的检测能力，基于函数特征检测文件，解决家族型勒索软件变形的检●动态勒索诱饵：解决静态诱饵方案部署实施困难的问题，简化实施复杂度，减少磁盘需要部署的文●更多勒索专项行为检测：针对勒索会出现的实际攻击行为频率，提供更具针对性的行为检测，可更早发现各类高危●数据库专项行为学习：基于资产清点的相关优势，自动识别进程位置，学习正常进程对数据库文件的操作行为，从●密钥截取和解密：通过在病毒程序启动时进行行为劫持，捕获加密操作或生成秘钥的操作行为，结合安全研究团队在加速构建的数字化新场景下，面对更为瞄准企业或机构、技术手段越发成熟且多变、产业分工更精细的勒索软件攻击，如何跳脱赎金“绑架”，进行有效的防范与应对，已成为各行业企业的必答题。通过端侧防勒索技术方案，以勒索行为检测、勒索诱捕、密钥截取和解密等多项创新技术，精准识别和防御勒索软件，实现事前预防、事中检测/阻断、事后恢/////////基于杀伤链的勒索软件防御指南\\\\\\\\\基于杀伤链的勒索软件防御指南编排配置，以便在响应阶段快速重建完整的应用程/////////基于杀伤链的勒索软件防御指南\\\\\\\\\基于杀伤链的勒索软件防御指南确申请补丁，并根据漏洞威胁对所有补丁进行优先•利用管理平台监控所有补丁的正确部署(例如通过•遗留系统不支持打补丁或无法更新，请隔离并断开•确保所有使用过的软件都•确保所有补丁都根据潜在的漏洞威胁进行优先排序/////////基于杀伤链的勒索软件防御指南•在电子邮件网关上安装过\\\\\\\\\基于杀伤链的勒索软件防御指南使用与原始数据相同的控制件来保护建立并维护恢复数据的隔离实例，可以通过离线、云或异地系统对备份目定期抽样对企业资产进行备份恢复使用与原始数据相同的控制件来保护建立并维护恢复数据的隔离实例，可以通过离线、云或异地系统对备份目定期抽样对企业资产进行备份恢复建立一个安全的网络架构，解决网络建立和维护体系结构图和其他网络系使用终端用户设备访问企业资源之在防火墙后面，并通过VPN定的尝试次数后强制执行帐通过互联网对外部访问。所有管理任务使用专用的隔离计算资源，与企业的主网络隔离，不允/////////基于杀伤链的勒索软件防御指南控制域控制措施杀伤链映射缓解策略使用使用SIEM或日志分析平台，集中管理跨企业资产的安全事件告警，并进••终端用户设备实施合规策略，并删除不符合策略的终端设备。收集网络流量日志，并进行流量检查收集网络流量日志，并进行流量检查\\\\\\\\\基于杀伤链的勒索软件防御指南建立并维护一个安全意识计划，定期培训员工验证并报告过时的软件补远程办公人员需正确配置网络访问建立和维护供应商商清单，定期检查建立和维护一个供应商管理策略，定供应商合同包括安全要求，如最低安全保障要求、安全事件或数据泄露通知和响应、数据加密要求和数据处理/////////基于杀伤链的勒索软件防御指南控制域控制措施