在安天“反勒索新抓手 依托执行体治理升级勒索防护能力”主题分享会上，安天的工程师介绍了当前云场景业务所面临的勒索威胁现状，并就如何有效防御云上勒索威胁，提出具体的解决方案。

为此，智甲家族产品通过多年的防勒索知识积累，针对勒索攻击构建了“五层防御，两重闭环”的专属防护解决方案，最终实现为不同类型终端提供多层次、全周期的动态防护效果。

云上面临的勒索攻击现状

目前各行业对云计算的应用越来越广泛，云上承载的关键业务和重要数据不断增多，而云上承载业务的云主机、容器等工作负载也成为勒索攻击的主要目标。由于云本身大规模与集中化的资源共享，以及业务之间的高开放性和互联性等特点，会带来很多区别于传统架构的新的攻击面，进一步增加了勒索攻击的风险。

这也使得传统防勒索方案无法有效覆盖当前云场景业务的安全防护需求，其难点主要体现在三个方面：首先，云上勒索攻击目标更加多样，包括服务器、虚拟机、云主机、容器、微服务等，传统勒索攻击更多地关注办公终端；其次，云业务场景具备弹性伸缩、动态迁移的特性，导致云上暴露面无法很好收敛，更容易遭到勒索攻击；另外，若用户对云内东西向安全建设不足时，会出现API滥用、互相VPC内部信任等问题，导致勒索病毒更容易在云环境中横向移动。

安天睿甲云上勒索防护解决方案

针对云上海量异构的工作负载的勒索防护需求，安天睿甲产品分别从事前、事中、事后三个阶段提供多层次、立体化、可扩展的勒索防护解决方案，安全能力可覆盖云上工作负载勒索攻击的全流程，帮助用户构建从勒索软件到高级威胁对抗体系化的纵深安全防线。

图1 安天睿甲云上勒索防护方案总体思路

事前阶段：通过细粒度的资产识别和全面的风险核查，发现风险暴露面，并提供针对性的系统加固、补丁修复、行为基线、网络基线等事前加固手段，收敛暴露面。

图2 风险总览视图

图3 行为基线视图

事中阶段：通过内置EDR、HIDS、RASP、日志审计等多维度威胁检测能力，实时发现并阻止勒索软件落地前的入侵行为。针对已落地的勒索软件，睿甲提供勒索攻击诱饵、勒索行为特征检测、恶意外连监测、重要文件保护等多种能力，当勒索软件执行时可快速发现定位并阻止其勒索行为执行。针对正在横向渗透的勒索攻击，睿甲通过进程级访问控制的微隔离，将失陷工作负载控制在指定有限范围内，有效遏制其横向移动攻击。

图4 Lockbit勒索软件告警

图5 高危工作负载隔离处置

事后阶段：睿甲提供文件备份恢复和事件溯源能力，根据时间周期、攻击IP、受影响工作负载、进程、文件等IOC溯源，完整还原攻击者的攻击路径，有效支撑当勒索事件发生后的文件恢复和溯源取证工作。

图6 勒索事件溯源拓扑图

客户实践-某金融用户案例

项目背景：金融行业近几年勒索攻击事件频发，用户单位为避免遭受勒索攻击影响，特进行勒索防护专项建设。用户需求主要包括两点：当前在主机内部署的杀毒软件面对当前复杂多样的勒索攻击手段缺乏全面的防护手段；用户除主机业务外还有部分容器化业务，当前针对容器业务没有任何安全防护，希望可以进行统一安全管理。

安天方案：通过安装安天睿甲主机安全产品将主机和容器业务进行统一管理；首先对主机和容器化应用资产进行清点，及时发现僵尸资产、高权限应用、风险账号、高危漏洞等风险，并提供修复建议或加固措施，以减少攻击面；基于微隔离自动梳理网内东西向流量，利用智能推荐策略可有效执行细粒度的访问控制，遏制勒索病毒横向移动；针对复杂多样化的勒索攻击手段，睿甲通过防恶意代码、防篡改、防暴力破解、系统主动防御、反弹shell防护、行为基线等安全能力，从系统、应用、网络等多维度进行勒索威胁的有效防护。

用户价值

➢ 24小时不间断防护，时刻保障用户高价值数据；

➢ 从识别分析到响应处置提供一站式勒索病毒防护，支撑安全运营闭环；

➢ 针对海量异构的防护对象，做到统一客户端、统一管理平台，减少用户安全资源成本重复投入；

➢ 多层次、立体化的勒索防护机制，提升勒索威胁对抗能力，构建从勒索软件到高级威胁对抗体系化的纵深安全防线。

此外，针对勒索威胁的防治工作，还需要进行实战化演练，不断提升网络安全保障水平，下一篇文章将详细介绍《安天勒索防治演练服务》。