在當(dāng)今網(wǎng)絡(luò)空間世界，勒索病毒已是最猖獗和最具破壞力的病毒。信息安全界各專(zhuān)業(yè)人士在研究如何徹底剿滅此類(lèi)病毒時(shí)，也曾推出各種防勒索方案，但實(shí)際上我們?nèi)匀豢梢灶l頻聽(tīng)到勒索病毒攻擊事件，其中不乏知名大公司大企業(yè)，而且被勒索的金額通常巨大。

關(guān)于勒索病毒最近最熱的新聞莫過(guò)于今年2月英國(guó)政府剛宣布控制了Lockbit組織，而一周后該組織官宣復(fù)活，并且提出會(huì)針對(duì)政府進(jìn)行報(bào)復(fù)，勒索病毒的猖獗程度和杜絕難度可見(jiàn)一斑。

網(wǎng)絡(luò)空間戰(zhàn)一直以來(lái)被冠以“沒(méi)有硝煙的戰(zhàn)爭(zhēng)”，但由于網(wǎng)絡(luò)空間屬于虛擬世界，在探討網(wǎng)絡(luò)空間的問(wèn)題時(shí)總是讓人感覺(jué)缺乏實(shí)在感，仿佛蒙上了一層面紗，很難窺探其真實(shí)面貌。通過(guò)對(duì)照現(xiàn)實(shí)物理世界，我們嘗試撥開(kāi)迷霧。

2023年剛剛過(guò)去的新冠抗疫就是發(fā)生在物理世界的一次真實(shí)的、沒(méi)有硝煙的戰(zhàn)爭(zhēng)。中國(guó)政府在抗疫過(guò)程中走出了中國(guó)抗疫模式，保證中國(guó)經(jīng)濟(jì)和社會(huì)秩序井然，展示了強(qiáng)大的應(yīng)對(duì)能力和組織執(zhí)行力，在全世界抗疫中交出來(lái)高水平的答卷，贏得了世衛(wèi)組織的高度認(rèn)可。我們依據(jù)時(shí)間線(xiàn)來(lái)梳理一下這次抗疫中的關(guān)鍵事件。

1.“吹哨人”在重災(zāi)區(qū)武漢率先拉響警報(bào)，該病毒會(huì)危害人類(lèi)健康導(dǎo)致死亡；

2.人類(lèi)對(duì)該病毒基本屬于未知，暫無(wú)特效藥物，武漢選擇火速率先封城，切斷人員進(jìn)出流動(dòng)，避免擴(kuò)散全國(guó)；

3.由于沒(méi)有被第一時(shí)間檢測(cè)和發(fā)現(xiàn)，封城之前實(shí)際上病毒攜帶人已經(jīng)流出和逃逸，各地相繼出現(xiàn)病例，各地相繼宣布封城；

4.隨著感染案例持續(xù)擴(kuò)散，各地開(kāi)始停工停產(chǎn)，居家隔離，基于樓棟進(jìn)行隔離，控制人員流動(dòng)和擴(kuò)散，并上門(mén)排查上報(bào)健康狀況，手動(dòng)排查行程（是否有流動(dòng)過(guò)或到過(guò)疫區(qū)），將癥狀者拉到專(zhuān)門(mén)的區(qū)域進(jìn)行隔離；

5.科研機(jī)構(gòu)開(kāi)始緊急研究病毒，試圖了解病毒，搞清病毒源頭，病毒特征，治療方法和特效藥物等；

6.基于已有的知識(shí)開(kāi)始上防護(hù)措施，要求戴口罩，洗手，酒精消毒，全社會(huì)教育推廣，旨在減少傳播；

7.監(jiān)測(cè)各地新增病例以及治愈數(shù)據(jù)，開(kāi)始逐步解封，復(fù)產(chǎn)復(fù)工；

8.科技手段核酸檢測(cè)和行程碼，健康碼等出現(xiàn)，大幅提升檢測(cè)效率，大大降低漏報(bào)、瞞報(bào)和繞過(guò)物理關(guān)卡導(dǎo)致的病毒流動(dòng)可能性；

9.國(guó)外大規(guī)模爆發(fā)，各地封鎖海關(guān)，加強(qiáng)入境健康排查和隔離觀察；

10.防疫政策開(kāi)始改變，不再大面積封城，只封鎖發(fā)現(xiàn)病例附近區(qū)域，清零后解封，最大保證社會(huì)經(jīng)濟(jì)生活正常；

11.疫苗出現(xiàn)，全民開(kāi)始推行接種，但由于病毒變種較多，也無(wú)法保證能免疫所有病毒，未知變種仍有感染的可能性（后續(xù)也驗(yàn)證了）；

12.隨著病毒毒性減弱，全員放開(kāi)，抗疫結(jié)束；

13.至今仍無(wú)產(chǎn)生新冠特效藥。

勒索病毒作為虛擬世界的病毒，除了病毒的載體和物理世界的新冠不同，其它基本上有相當(dāng)程度的相似性：

1.都有極高的破壞性。新冠危害人的健康和生命，勒索病毒破壞數(shù)據(jù)的可用性和保密性；

2.都會(huì)出現(xiàn)大規(guī)模爆發(fā)的可能性。新冠危害社會(huì)安全和經(jīng)濟(jì)，勒索病毒導(dǎo)致企業(yè)業(yè)務(wù)中斷；

3.都具有很強(qiáng)的傳播能力。勒索病毒甚至有很多是主動(dòng)傳播；

4.都有大量的未知和變種，同時(shí)無(wú)法找到源頭和清理源頭。

聯(lián)軟科技基于對(duì)勒索病毒特點(diǎn)和市面上現(xiàn)有解決方案的分析，我們發(fā)現(xiàn)如下問(wèn)題：

現(xiàn)有方案基本都在強(qiáng)調(diào)基于病毒的檢測(cè)發(fā)現(xiàn)和響應(yīng)能力以及數(shù)據(jù)備份來(lái)構(gòu)建方案，例如殺毒強(qiáng)調(diào)病毒庫(kù)多少，病毒庫(kù)更新多快，基于行為檢測(cè)的技術(shù)（各種DR，態(tài)感等）在強(qiáng)調(diào)規(guī)則多，運(yùn)算模型強(qiáng)大，而數(shù)據(jù)備份也在強(qiáng)調(diào)可以做到按天恢復(fù)數(shù)據(jù)。

但實(shí)際上勒索病毒最難防范的地方在于它的不確定性。由于其背后是巨大的經(jīng)濟(jì)利益，勒索病毒基本已經(jīng)形成產(chǎn)業(yè)化，有專(zhuān)門(mén)的病毒研究、制造和主動(dòng)傳播分工合作，會(huì)針對(duì)當(dāng)前的防御體系和防御技術(shù)，專(zhuān)門(mén)研究防御陣線(xiàn)漏洞和各種突破防御逃脫制裁的方式。而對(duì)比單一企業(yè)與勒索產(chǎn)業(yè)團(tuán)隊(duì)在安全力量上的配置，前者基本處于力量失衡，大有道高一尺，魔高一丈的態(tài)勢(shì)。所以，企業(yè)的安全檢測(cè)響應(yīng)防御防線(xiàn)屢被攻破，勒索事件頻頻發(fā)生，不少企業(yè)經(jīng)濟(jì)損失慘重。

其次基于數(shù)據(jù)備份的恢復(fù)技術(shù)，在遇到業(yè)務(wù)系統(tǒng)被加密時(shí)，即使數(shù)據(jù)備份到天，也難以快速恢復(fù)業(yè)務(wù)。

基于以上原因，聯(lián)軟科技結(jié)合物理世界戰(zhàn)爭(zhēng)的思維提出了基于防止企業(yè)大面積中勒索病毒的網(wǎng)絡(luò)安全底座方案。

該方案具有如下特點(diǎn)：

1.基于戰(zhàn)爭(zhēng)思維，利用網(wǎng)絡(luò)空間中的“地利”與“人和”，構(gòu)建防御體系，不追求“零傷亡”，保證主力部隊(duì)不會(huì)被殲滅，實(shí)現(xiàn)底線(xiàn)安全風(fēng)險(xiǎn)管控。

2.重點(diǎn)關(guān)注業(yè)務(wù)連續(xù)性保護(hù)，通常企業(yè)由于大規(guī)模中勒索病毒導(dǎo)致生產(chǎn)業(yè)務(wù)停擺的損失遠(yuǎn)大于勒索金額，這一點(diǎn)在當(dāng)前很容易被忽視。

3.該方案基于網(wǎng)絡(luò)訪(fǎng)問(wèn)控制技術(shù)，結(jié)合軟件定義的策略，聯(lián)動(dòng)網(wǎng)絡(luò)空間內(nèi)的網(wǎng)絡(luò)設(shè)備（如交換機(jī)、防火墻、網(wǎng)關(guān)等），可隨時(shí)按需構(gòu)造一個(gè)個(gè)靈活的隔離空間，通過(guò)切斷域的網(wǎng)絡(luò)訪(fǎng)問(wèn)將病毒控制在隔離區(qū)域，控制病毒大規(guī)模擴(kuò)散和橫向移動(dòng)（新冠病毒的抗疫過(guò)程也驗(yàn)證了這種隨時(shí)按需隔離的措施是控制病毒擴(kuò)散的唯一有效手段）。

4.通過(guò)重要業(yè)務(wù)系統(tǒng)的備份域而不是數(shù)據(jù)備份，來(lái)保證主營(yíng)業(yè)務(wù)的連續(xù)性。

5.在劃分域的基礎(chǔ)上，再通過(guò)域間訪(fǎng)問(wèn)策略和通道的收斂，來(lái)降低管控的難度，同時(shí)也便于可視化。

6.通過(guò)策略的可視化，來(lái)及時(shí)發(fā)現(xiàn)人為的配置錯(cuò)誤，預(yù)測(cè)可能存在的配置風(fēng)險(xiǎn)。

7.在訪(fǎng)問(wèn)權(quán)限較大的網(wǎng)管域，業(yè)務(wù)連續(xù)性影響較大的備份域，設(shè)置以主動(dòng)欺騙技術(shù)為主的產(chǎn)品，加強(qiáng)對(duì)勒索病毒的發(fā)現(xiàn)。