防护勒索攻击：一场勒索攻击与智能防护的较量

近年来，云上数据安全已经成为企业的又一大难题，尤其是勒索攻击频发，有组织的黑客攻击目标已经从核心数据窃取扩展到金融、交通、能源、通信等行业的关键信息基础设施，对企业数据安全构成了极大的威胁和挑战。

同时AI时代，犯罪团队已经开始利用AI和机器学习来增强勒索软件攻击的能力和效率，勒索攻击也在不断升级。

一、AI时代，勒索攻击更为智能

近年来，云计算的普及使得越来越多的企业将核心数据迁移到云端。然而，这也为勒索攻击提供了新的战场。

2021年，美国最大燃油管道运营商Colonial Pipeline遭受勒索攻击，导致其关键管道系统瘫痪，造成大规模的燃油短缺和经济损失。这次攻击不仅暴露了云上数据的脆弱性，也显示出勒索攻击对关键基础设施的巨大威胁。

2024年年初，全球能源管理和工业自动化巨头施耐德电气遭受Cactus勒索软件攻击，导致公司数据被盗。据报道，Cactus勒索软件团伙在网络攻击期间窃取了该公司数TB的公司数据，威胁该公司，如果不支付赎金，就会泄露被盗的数据。

根据Group-IB发布的《2023-2024年高科技犯罪趋势报告》显示，勒索软件保持强劲增长，2023年数据泄露网站上的公司数量同比增长74%。

安全公司Sophos发布的《2023勒索软件态势报告》也显示，66%的机构在过去一年中遭受过勒索软件攻击。其中，76%的攻击导致数据被加密，受害机构为此而付出的平均成本为182万美元。

大规模增加的勒索软件攻击正在瞄准所有行业，金融、交通、能源、通信等行业的关键信息基础设施尤其成为勒索软件的攻击目标。

这些事件再次提醒企业，勒索攻击不断，云上数据安全需要引起高度重视。

另外，随着人工智能技术的快速发展，网络安全领域也经历了深刻的变化。AI技术不仅提升了防护能力，同时也被不法分子所利用，进化出更加隐蔽和复杂的勒索攻击。

传统的勒索攻击通常依赖于社会工程学或漏洞利用，而AI技术的引入使得攻击者能够更精准地选择目标并躲避检测。例如，机器学习算法可以帮助黑客分析目标网络的漏洞，生成定制化的攻击路径；深度学习技术可以用于开发更难检测的恶意软件变种，甚至可以实时调整攻击策略，以规避防御系统的拦截。

AI技术还大大提升了勒索攻击的效率。通过自动化的手段，攻击者能够在极短时间内对大量目标发起攻击，从而增加成功的概率。此外，AI还可以用于优化赎金需求，基于受害者的支付能力和紧急程度，制定出最有可能成功的赎金金额。

可以说，AI时代下的勒索攻击，已经不仅仅是单纯的技术对抗，而是智慧与智慧的较量。

二、当智能勒索攻击“撞上”智能防护

日益复杂和频繁的勒索攻击，对企业的网络安全防护提出了更高的要求。企业必须提升自身的防护能力，从早期检测到数据恢复，全方位构建起强有力的防护体系，如早期发现勒索加密，加强主机防勒索能力，构建勒索应对体系，增加数据安全检测预警能力等，以应对AI时代下的网络安全挑战。

作为国家重要的基础设施企业，电力公司必须确保在遭遇勒索攻击时，能够迅速恢复数据，避免业务系统出现无法恢复、恢复时间不可预期、应对流程不明确的混乱局面，并将勒索攻击的影响范围控制在最小。

德迅云安全推出的德迅零域（微隔离），德迅零域·微隔离安全平台可部署在混合数据中心架构中，实现跨平台的统一安全管理，通过自主学习分析、可视化展示业务访问关系，实现细粒度、自适应的安全策略管理。产品在真实威胁中，可快速隔离失陷主机网络，阻断横向渗透行为，让零信任理念真正落地。

实时采集业务网络连接和资产信息，接收服务端指令，管控主机防火墙。

聚合、统计网络连接，进行可视化呈现，根据业务流量生成网络策略，并分析策略的覆盖。

控制台可清晰展示网络连接和策略配置情况，用户通过控制台集中管理网络策略并进行隔离操作。

• 流量看得清——业务拓扑图可视化展示访问关系

  自动学习业务访问关系，并以多种拓扑图清晰展示，结合资产信息，为策略制定提供基础。

  拓扑图上交互式设置，自动生成策略，提高效率。
  发现主机上无用的端口，减少风险暴露面。
  丰富的查询方式和图例，直观评估策略配置情况。

三、从预警到快速恢复，全周期保护数据安全

威胁可隔离——失陷主机快速隔离防止威胁扩散

在发生真实攻击场景下，提供应急响应手段，迅速隔离失陷主机网络，防止威胁进一步扩散。

出站、入站、双向网络流量，可选择不同隔离方式。
开放特定端口并指定访问IP，给上机排查问题提供条件。
威胁清除后远程解除隔离，恢复正常通信。

管控多选择——根据管理要求选择不同控制强度

访问控制模式决定控制策略如何放行/阻断网络连接，配合不同的管理要求，支持不同强度的控制模式。

主机控制模式：为每个业务端口配置策略，严密防护。
服务控制模式：管控20%的关键端口，降低80%的风险。

策略好管理——多种策略形式实现自动化运维

依据不同管理场景，配置不同粒度的控制策略，并随业务或环境变化自适应调整策略，实现自动化运维。

提供业务组、标签、端口、IP等不同粒度的策略管理。
用标签定义策略，形式精简，降低运维成本。
策略表达明白易读，避免基于IP的安全策略。

策略易验证——监控异常访问并自动验证策略

在不真实拦截流量的情况下，持续监控学习业务访问关系，自动验证策略准确性和覆盖度。

自动验证策略正确性，减少人力成本。
重保场景中，发现恶意横向渗透行为。
发现异常访问，第一时间发出告警。

保护更全面——非受控设备和DMZ区主机访问控制

对未部署Agent的网络设备和业务敏感主机实现保护，并可对DMZ区主机的外网访问进行控制。

对已部署和未部署Agent主机之间的访问，进行安全控制。
严格限制出入外网的流量，收缩DMZ区主机暴露面。

在云计算、虚拟技术的广泛应用之下，现代企业内部网络庞大且复杂，想要实施东西向控制会遇到许多挑战，只有解决好这些痛点问题，才能使它成为解决安全问题的一把利刃。

德迅零域·微隔离安全平台可部署在混合数据中心架构中，实现跨平台的统一安全管理，通过自主学习分析、可视化展示业务访问关系，实现细粒度、自适应的安全策略管理。产品在真实威胁中，可快速隔离失陷主机网络，阻断横向渗透行为，让零信任理念真正落地。