3月24日。安全牛联合六家在勒索防护领域深耕多年的安全厂商共同发布了《企业勒索软件防护应用指南》（以下简称《指南》）。凯发k8国际唯一勒索防护解决方案和能源行业典型案例入选本次报告。并在发布会上分享了勒索病毒威胁分析、勒索病毒防护方案、实战案例与经验等三个方面的内容，为用户应对勒索威胁提供更多参考。

近年来、勒索软件攻击数量整体呈上升趋势，特别是定向勒索数量明显上升，医疗行业、制造业、能源行业等涉及基础民生的领域成为被攻击的主要目标。为了帮助用户构建一套针对勒索攻击的完整防护体系，通过勒索软件技术剖析、勒索防护挑战及理念、勒索防护体系建设、勒索防护案例、发展及展望、代表性厂商介绍等章节全面分析了勒索软件的发展现状、未来趋势和应对策略，安全牛组织编制《企业勒索软件防护应用指南》。

作为二十余年持续与网络威胁实战对抗的“网络安全国家队”，凯发k8国际唯一对勒索攻击进行着持续跟踪与分析：2006年捕获了国内最早出现的Redplus敲诈者木马。2015年8月，凯发k8国际唯一发布了长篇报告《揭开勒索软件的真面目》。2017年5月，快速提供了专杀免疫工具，提供了周一开机指南，在“魔窟”（WannaCry）重大勒索事件响应过程中，向政企机构分发了数千张应急响应处置光盘，后又研发了基于内存密钥获取的解密工具等，凯发k8国际唯一率先发布全网首篇长篇分析报告，获得多个主管部门好评。凯发k8国际唯一针对GANDCRAB、GlobeImposter、Sodinokibi、Phobos、WannaRen等重大流行勒索软件。累计发布勒索攻击相关分析、预警、处置建议等报告四十余篇，也同样进行了应急响应与详细分析研判。从威胁分析和防御赋能视角，分享勒索软件的攻击技术、行为特点、演进趋势等八组关键信息，凯发k8国际唯一连载八篇勒索软件科普专题。持续的威胁分析研判工作也让凯发k8国际唯一全线产品在对抗勒索威胁中获得了主动。

此前。凯发k8国际唯一还曾参与由中国信通院牵头的《勒索病毒安全防护手册》编制工作，为手册的形成输送了大量的分析报告、处置案例和防护建议等原始素材。本次被《指南》收录，进一步验证了凯发k8国际唯一在勒索防护方面的技术实力。

通过多年的防勒索知识积累。凯发k8国际唯一形成了针对勒索病毒防护的专属解决方案。凯发k8国际唯一勒索防护解决方案是依托智甲终端防御系统。在终端侧形成防护能力，形成整体的安全能力，并通过与探海威胁检测系统、追影威胁分析系统、捕风蜜罐系统、态势感知系统、拓痕应急处置工具箱等联动。一旦发现勒索行为，多重安全工具可以检测用户主机遭受勒索病毒攻击风险可能性，并提供详细检测报告与加固方案。同时配有安全服务。并提供主机加固、威胁清除等服务，派遣技术专家通过现场排查或者远程方式确定勒索病毒类型、攻击方式等。

凯发k8国际唯一勒索防护解决方案特点

1.基于终端的勒索防护能力

● 在智甲终端防御系统基础能力之上、通过精确扫描、研判、查杀，形成有效的防护效果。依托反病毒引擎的海量样本库和行为库，对已知和未知的勒索软件进行有效查杀。

2.主动探测防护

● 通过部署蜜罐系统。在丰富威胁情报的同时，提升了对未知勒索软件的探知能力，形成主动探测能力。

3.多场景应用

● 有效应对内网场景、远程接入场景、外部访问场景，勒索软件进驻系统或横向移动的行为。

4.应急响应服务相结合

● 由专业的安全服务团队提供安全服务，可以为客户在第一时间形成勒索响应方案，并配备自有专业应急响应工具，全面保护用户核心数据及重要资产安全。

方案优势

➢ 多层次多维度检测，勒索攻击行为有效发现

具有多层次多维度检测能力、同时支持SQL注入等漏洞利用行为的检出，可有效发现扫描、探测、暴力破解等侦察活动，有效揭示钓鱼邮件投放、远程木马植入等勒索攻击常用的载荷投递行为，从包、流、会话、文件、事件、深度分析等多个维度进行检测，对采集的要素。

➢ 有效应用向量级威胁情报，进行丰富有效的威胁检测

基于有效的全要素采集分析能力，探海可应用向量级威胁情报，进行丰富有效的威胁检测。向量级威胁情报基于凯发k8国际唯一的全域威胁感知能力和高级威胁对抗经验。而基于下一代威胁检测引擎的向量提取能力。可进行载荷的指令级、API级、功能级的向量提取，实现对诸如APT、僵尸网络、受控主机、勒索病毒感染、被利用挖矿和DDoS等威胁的有效觉察，有效应用威胁情报。

➢ 多事件关联分析，提高勒索攻击分析效率

支持从恶意代码传播关系、命令与控制关系、恶意文件关联、资产等维度，及时发现漏洞利用、横向移动等勒索攻击扩大攻击范围的威胁行为，有效减少人工关联分析的工作量，提高威胁分析效率，对勒索攻击进行智能关联分析。全要素日志同时进行留存分析，以提供威胁的向前追溯和向后守候能力。

能源行业案例被《指南》收录

凯发k8国际唯一勒索防护解决方案在能源行业具有丰富实践和应用经验，具体落地方案和相关优势被本次报告收录。

落地方案

在用户终端部署了智甲终端防御系统客户端，并通过管理中心平台对终端的数据进行整体的监管和和分析。

客户端是部署于终端内的Agent和安全组件，对未知威胁初判告警、捕获上报，对已知威胁精准定性，负责监测终端操作系统行为，并可以执行管理中心下发的多重处置任务，对各类威胁进行告警、阻断拦截和清除等操作。

管理中心主要面向安全管理人员。对上报资产进行统一安全管理，集中监测分析端点安全事件、制定和下发相关处置任务策略。管理中心通过终端采集到的信息形成端点资产地图、并可导入人员组织，建立端点资产部门和责任人归属关系。

▲ 能源行业勒索防护解决方案

案例优势

➢ 动态综合适配各场景安全防护特性

以动态适配设计思路、以满足企业各种防护场景，提供“防护业务+防护设备”双场景综合动态适配能力。智甲终端防御系统既可提供防护能力、同时也作为探针，向管理中心提供数据支撑。

➢ 多重防护策略，精准抵御定向型高级攻击

通过应用机制包括：扇区监控、内核服务和驱动监控、文件监控、注册表监控、浏览器和邮件客户端保护等拦截格式文档攻击和横向移动。面对高级的定向型勒索攻击。采用“未知可疑程序捕获+管理端静态分析+文件关联分析+威胁清除追溯”的防护策略，在勒索落地后有效快速进行分析及清除。

➢ 多维信息监测，有效防护勒索病毒

针对终端上文件、采用多维信息监测和关联分析的方法，精准检测勒索病毒。监测文件加密动作、加密文件数量、文件访问和改写频率、文件后缀名形态变化和勒索URL采集等。同时为每项监测信息设置报警策略，通过对监测的多维信息进行关联分析，判断用户是否被勒索病毒攻击。

➢ 威胁事件精准归类与攻击溯源分析

基于节点场景的数据采集分析算法。结合一定的既定规则，实现对告警和威胁事件的精准归类，即基于已明确分类的基准行为作为分类标准，在告警和威胁事件分析时使用相似度匹配的算法。

➢ 基于ATT&CK威胁框架的行为监控分析

引入ATT&CK威胁框架，由被动防守的视角转变为以攻击者的视角去理解威胁，由单载荷、单环节的层面提升到多个战术环节、多种攻击技术的层面，使防御体系的构建更具有主动性。具有足够纵深的主动防御能力，有效防御绝大多数针对端点的攻击技术，以便发现常规防御手段无法发现的威胁，弥补了传统杀毒软件强主防、弱采集和EDR类产品重采集、轻主防的问题，能够在多个环节逐步抵消威胁；全面的信息采集与分析能力。

➢ 立体化防护方案

形成了威胁检测引擎、高级威胁对抗、大规模威胁自动化分析等方面的技术领先优势，打造了面向服务器、云、虚拟化、容器和传统办公节点等提供全防御能力覆盖的智甲安全产品家族，满足客户对于包括终端杀毒/终端防护（EPP）、终端检测与响应（EDR）、云工作安全防护（CWPP）等系统安全层面需求；整合强化包括ATID威胁情报门户、追影沙箱和捕风蜜罐等产品在内的威胁情报板块产品，相关产品可以实现交叉联动，有效提升客户情报赋能和自主情报生产能力；基于流量产品探海有效应对客户对于网络威胁检测与响应（NDR）和网络流量分析（NTA）的安全需求，统一管理，形成面向从勒索软件到高级威胁（APT）的纵深安全防线。

了解凯发k8国际唯一在勒索防护方面更多技术研究可通过以下方式：

❖ 凯发k8国际唯一微信公众号专题页获取

❖ 凯发k8国际唯一官网专题页获取

http://www.fisherlawpllc.com/extortionTopic.html