據國外知名咨詢機構Verizon《2024年數據泄露調查報告》的數據顯示,經濟利益驅動下,高ROI的攻擊手段備受青睞,攻擊者愈發傾向使用能高投資回報率的攻擊手段。其中最為嚴重的就是勒索攻擊,占據高ROI攻擊事件的近三分之二。
另外,根據聯邦調查局互聯網犯罪投訴中心(IC3)勒索軟件投訴數據顯示,由勒索軟件和其他勒索行為導致的損失成本中位數為4.6萬美元。
企業雖然在不斷地加固“防護盾”,但“道高一尺,魔高一丈”,勒索攻擊也隨之生變,尤其是AI技術的加持下,勒索攻擊也越來越“狡猾”。自此,勒索組織發出勒索攻擊,企業反勒索對抗,呈現了一場又一場像“貓鼠游戲”般的較量。
企業應該如何在這場較量中“穩操勝券”?建立“反勒索”思維是第一步、構建“有韌性”的、全面的制度+技術體系至關重要,而具體到技術、能力層面,企業又如何應對不斷升級的勒索攻擊?
在這樣的背景下,應對勒索攻擊的檢測和防護是企業必然需要具備的能力。
深耕網絡安全賽道多年的瑞數信息給出了更為明確的技術方案——“用AI來對抗AI”,勒索攻擊的檢測和防護也可以更智能。
一、勒索攻擊與反勒索的“貓鼠游戲”
勒索攻擊與反勒索防護之間的關系,正如一場復雜的“貓鼠游戲”。在捍衛博弈中,“貓”與“鼠”分別扮演著進攻與防御的角色,雙方不斷圍觀、預測、規避與反制。
早期的勒索病毒傾向于對整個文件進行全局加密,導致文件內部的混亂程度極高,極易被傳統檢測工具識別。
傳統的勒索防護手段通常依賴于檢測文件和數據的“無序性”,即通過分析加密后文件的混亂度來判斷是否遭遇勒索病毒。
然而,隨著勒索攻擊者的技術仍在不斷升級,不斷調整加密策略,使得傳統檢測方式面臨嚴峻的挑戰,攻防之間始終處于動態博弈之中。例如采用跳躍式加密方式,僅對文件的某些部分進行加密,使文件整體的混亂程度變化不大,從而規避傳統檢測工具的判斷。
另外,不同類型的文件本身存在差異性。某些類型的文件在未加密狀態下就具有較高的“無序性”,這就需要防護工具針對文件類型進行細粒度的分類和建模。
更為重要的是,AI技術的發展,不僅提升了網絡安全防護的技術水平,也讓勒索攻擊手段變得更加復雜,目標愈發明確,攻擊更加隱蔽,更加難以防范,危害也日益增大。
隨著勒索攻擊專業化、團隊化運作,勒索攻擊逐步發展出五大新趨勢:
新一代勒索攻擊采用low and slow(高隱蔽且高持久化)的攻擊手法;
多重勒索模式引發數據泄漏風險;
病毒變異較快,攻擊路徑多元化,易傳播;
勒索病毒擴散渠道轉向web應用漏洞。
供應鏈成為勒索攻擊的重要切入點;
在2024年發生的勒索攻擊事件中,不少案例都呈現以上五大特征。如2024年6月出現的Brain Cipher勒索組織,在短時間內在印度尼西亞發起攻擊導致Brain Cipher。最新消息顯示,他們攻擊了全球最大的會計師事務所之一的德勤Deloitte英國公司,并竊取了超過1TB的敏感數據。
Brain Cipher采用典型的雙重勒索,除了加密文件外,還會竊取敏感數據,并威脅稱,如果要求得不到滿足,他們就會公開這些數據,對攻擊企業造成嚴重影響。
對于企業而言,如何做好勒索攻擊的檢測和防護則更為艱難。不過,深耕網絡安全多年的瑞數信息有“巧囊妙計”—— 數據安全檢測與應急響應系統(DDR)。
二、瑞數信息:AI賦能下的“反勒索之盾”
為什么說瑞數信息的DDR解決方案是面向復雜勒索攻擊的“巧囊妙計”?
這是DDR的產品架構。
不難發現,瑞數信息DDR解決方案的底層是強大的數據安全底座,通過永久增量數據獲取、不可篡改的安全存儲和動態隔離功能,保證數據的完整性和安全性。
檢測引擎中引入了AI智能能力,借助機器學習和熵值計算技術,對文件和數字根據庫的動態變化進行深度檢測,精準識別異常行為與潛在威脅。
在整體架構上,DDR實現了從事前數據風險管理、事中智能威脅采集到事后快速應急響應的三重保障。它不僅融合了最前沿的信息安全技術,還充分考慮了實際操作中的靈活性與易用性,幫助為企業構建起一塊“堅不可摧”的“反勒索之盾”。
具體來看:
1、 數據安全是底層邏輯
瑞數DDR以“數據鏈接+數據安全支架”為基礎,搭建了支架的數據安全防線:
數據鏈接:支持多種數據接入方式,通過永久增量和增量合成的方式實現離線數據的獲取,將企業生產數據高效轉化為離線檢測資源,最大限度減少檢測對生產環境的影響。
數據安全底座:提供不可篡改的存儲機制(如WORM功能),確保備份數據倉庫不受攻擊影響。同時,支持快照存儲、云對象存儲等用途的災備技術,提升數據存儲和恢復的靈活性。
動態變化回顧:利用文件與數據庫的動態變化追蹤技術,對備份數據的每日增量部分進行深度分析,快速定位被勒索攻擊的損壞數據,檢測準確率超過99%。
通過數據安全基礎的強大功能,瑞數DDR能夠有效隔離并保護備份數據,為勒索攻擊的快速檢測和恢復提供保障。
2、融入AI能力的盾牌
瑞數DDR結合AI技術創新出“人工智能安全檢測引擎” ,集成了文件健康體檢和數據庫健康體檢的功能,從而提供了全方位的數據保護措施。
在線檢查 + 離線深度檢測:結合熵值計算與機器學習算法,分析勒索加密行為特征,以應對“low and slow”模式下的勒索攻擊。通過對文件和數據庫的熵值方差建模,實現表級、字段級深度檢測,并聯動數據安全底座,實現深度檢測和異動監控,提升檢測精準度的同時,可以迅速感知異常。
· 自主學習進化:面對跳躍式加密、局部加密等復雜手段,瑞數信息持續追蹤勒索組織的加密方法,及時補充檢測引擎中。其收斂性機器學習引擎能夠自我學習與進化,使得能夠檢測模型在面對變化多端的攻擊手段時,也能保持高度準確性。
AI不僅增強了系統的自適應能力,還通過智能學習持續優化檢測引擎,確保檢測效率和準確性始終保持在高水平。
3、DDR為企業數據安全打造了“三重防線”
瑞數信息通過“事前數據風險管理、事中智能威脅感知、事后快速應急響應”構建了全面的安全閉環:
事前預警:通過動態沙箱功能模擬真實生產環境,精準定位潛在的攻擊路徑。
事中防護:實時監測數據的異常變化,包括文件內容與權限的偏離,確保威脅在早期階段被遏制。
事后恢復:系統通過損害評估報告及修補建議,結合行為分析和日志分析等手段,確認需要恢復的時間點,將數據恢復時間控制在分鐘級,以確保被加密數據的恢復時間在業務可承受的范圍之內。
這三道防線的建立,有效對抗勒索攻擊,協助企業在快速恢復系統的正常運行,將勒索攻擊造成的損失降到最低。
瑞數的DDR實際應用中展現出了其強大的靈活性和適應性,目前這套解決方案已經在不少行業得到實踐驗證,從高精制造業到金融、能源、電商互聯網等,打造了了不少標桿案例。
三、結語
面向日益復雜的勒索攻擊時,企業的防護能力已不再只是“盾”的強化,更需要“矛”的精準反制。
未來,面對不斷升級的網絡安全威脅,只有將“反勒索”思維、全面的制度+技術體系與“主動反制”的技術能力相結合,才能在這場“貓鼠游戲”化被動為主動,最終構建起堅不可摧的“反勒索之盾”,為企業的長足發展保駕護航。
京公網安備 11010502049343號