采寫／何惜金

編輯／陳紀英

周末，凌晨，萬物沉睡。

然而虛擬世界里，一場無硝煙戰爭剛剛打響。

黑客驅動的一批“木馬”悄悄出動，撬開云端服務器。此前，它們“忍辱負重”，偽裝成正常文件，潛伏了數月之久。

今晚，是決定黑客團伙吃肉還是吃土的關鍵時刻，如果勒索成功，可能獲得上千萬的“回報”。過程相當順利，各端口的防病毒“警衛”們還未反應，就已經被俘虜。

短短幾分鐘內，數千臺云服務器被加密，終端警報聲此起彼伏，停工，停產，停止運營，工廠瞬間停擺，每分鐘損失上萬。

“亞信安全嗎？我們被勒索軟件攻擊了，該怎么辦呀？”電話里的聲音驚魂未定。

安全專家們立刻出動，分析出漏洞所在，緊急修補封鎖，避免“毒情”進一步擴散，入侵病毒順利“落網”，遣送沙箱觀察，有關該病毒的威脅情報被同步發送至云、管、端各節點，專家們再度巡邏，確認所有雷點被清除干凈，通過備份還原，鏡像重置等應急措施，數千臺云服務器被成功“解救”。

短短二十分鐘，演完了一部《長安十二時辰》。

這不是電影，而是數月前，亞信安全幫助客戶對抗現代勒索攻擊的真實案例。

類似的勒索幾乎每天都在發生，但并非每個企業都能幸免于難。

網絡安全機構Resecurity預測，到2031年，全球勒索病毒的勒索活動將造成2650億美元的直接損失，對全球企業造成的潛在總損失或達到10.5萬億美元。

全球知名威脅情報公司RiskIQ的報告則顯示，在全球，每分鐘就有6家企業遭受勒索攻擊，每分鐘損失高達180萬美元，全年315萬家企業被勒索，金額約為6萬億人民幣。

而隨著云、大數據、 AI 、5G等技術的廣泛運用，攻擊的影響還會擴散到物理世界。

去年5月7日，勒索攻擊團伙DarkSide攻擊了美國最大燃油管道公司科洛尼爾，導致近9000公里長的輸油“大動脈”被迫掐斷，殃及美國17個州和華盛頓特區進入緊急狀態，超千家加油站無油可加，一度陷入“搶油慌”。強勢如科洛尼爾這樣的大企業，為了恢復運營，也只能乖乖支付500萬美元贖金。

這也恰恰說明，數字時代，當企業在云上攻城略地，構建城池時，如何保障網絡安全，成為了共同挑戰。

流水線上的黑客，數字化轉型的黑產

招募黑客，需要掌握哪些技能？

如果你在1989年提出這個問題，得到的回答大概率是：學習開源操作系統、編程語言、密碼技術、入侵技術等等。

彼時，網絡病毒尚處于蠻荒時代，生物研究員約瑟夫·L·波普博士利用簡單的對稱密碼，創造出艾滋病特洛伊木馬軟件，通過軟盤傳播，要挾每個受害者支付189美元的解鎖贖金，就此開啟了勒索軟件的歷史。

那個時期的勒索軟件，無論是傳播方式還是欺詐手段，多是散兵游勇，勢單力薄。三十年后的今天，情況發生了翻天覆地的變化，黑客行業高度內卷、專業分工，完成了“產業大升級”。

近日，亞信安全在“全面勒索治理即方舟計劃”發布會上，首度提出了“勒索病毒進入2.0時代”的斷言，即勒索團伙APT化(Advanced Persistent Threat，高級可持續威脅攻擊)，表現出專業化、針對性、持續性、隱秘性的特點，危害性極強。亞信安全在暗網監控和病毒治理的過程中發現，勒索病毒呈現了三大升級趨勢：

其一，勒索病毒即服務RaaS（Ransomware-as-a-Service）模式興起。勒索軟件作戰模式，從單兵作戰，升級為模塊化、產業化、專業化的大型團伙作戰，勒索攻擊覆蓋面更廣，危害程度顯著增加。一條完整的產業鏈若隱若現。

勒索病毒開發商授人以漁，在暗網招募加盟渠道商，不僅向入局者出售勒索工具包，還提供特定產品漏洞的定制化服務。當加盟的渠道商們通過勒索軟件，成功入侵企業后，開發商們還會派出專業的談判專家，估算贖金，進行談判，從中分成。

產業鏈完善之下，勒索病毒攻擊急劇增多。SonicWall在最新的網絡威脅報告中稱，2021 年全球勒索病毒攻擊達到 6.233 億次，比 2020 年增長 105%。與 2019 年相比，增長了 232%。

其二，勒索目標從“粗放式”轉向“集約式”，追求高效益，定向攻擊增多。

過去，勒索團伙“守株待兔”，大規模發送垃圾釣魚文件，廣撒網，碰運氣，等待獵物送上門來。

現在，勒索團伙不再滿足于此，瞄準了具有勒索兌現能力的大型政企，實行定向攻擊，有組織有預謀，分工明確，有人負責偵查信息，有人負責制定方案，有人負責招安“內鬼”。俗話說，不怕賊偷，就怕賊惦記，被勒索團伙暗中盯上、持續攻擊的企業，實在防不勝防。

其三，勒索方式多樣化，出現雙重勒索、甚至三重勒索，增加了基于泄露隱私數據勒索以及DDoS的攻擊勒索。過去，勒索團伙的行動，和線下綁票并無太大差異，只要繳納贖金，就能夠釋放“人質”——恢復企業數據。

現在，勒索團伙的“職業道德”滑坡明顯。他們會先收集企業的核心敏感數據，外泄到黑客專用站點后，然后再加密重要文件和數據，要求企業繳納一筆解密贖金；如果企業拒絕支付，還會繼續威脅，比如聲稱要在暗網公開或者售賣公司核心數據等；有時甚至“不講武德”，威脅該企業的客戶或合作伙伴等。

浪潮奔涌的工業4.0，防護薄弱的制造行業

當暗網內掀起“產業大變革”、大批網絡海盜集結成軍時，互聯網“海域”駛來了新的“貨輪”——步入工業4.0時代的傳統企業。

相較于“努力內卷”的黑客，傳統企業應對網絡安全的新變化，尚有些準備不足。尤其是高端制造業，更成為了勒索軟件團伙鐘愛的“肉票”，攻擊事件頻發。

Akamai最近的調查表明，全球最大的勒索軟件團伙 Conti 發起的全球勒索軟件攻擊中，有近30%以制造業為目標。去年5月30日，全球最大的肉類生產商JBS SA遭遇網絡攻擊，導致工廠癱瘓，影響了全美20%的肉類供應，最終JBS不得不向罪犯低頭，支付了總價值達1100萬美元的比特幣。

今年3月1日，豐田汽車零部件供應商受到勒索病毒攻擊，導致系統全面癱瘓，豐田位于日本的14家工廠總計28條生產線暫停運營，汽車因此減產1.3萬輛，相當于損失月產能的5%。制造業成為網絡勒索重災區，背后有著多重共性原因。

其一，傳統制造業工控系統陳舊，安全漏洞多，易被攻破。不少工廠的流水線設備，可能依舊是上世紀90年代開發的老機器，過去的工控系統，無法適應工業4.0時代萬物互聯的需求，安全漏洞多。

根據工業互聯網產業聯盟2021年底發布的《中國工業互聯網安全態勢報告（2020）》，收錄的804個工控系統安全漏洞中，就有708 個漏洞涉及到制造業。加之制造業端口設備多、節點多、數據量大，涉及的系統通訊協議、系統整體架構更加復雜，一旦暴露在網上，就如同行走的“鮮美肉票”，吸引黑客攻擊。

其二，制造業自身防護意識薄弱，也導致了制造業的感染風險提升。據觀察，“很多制造企業在安全上的投入，只有IT預算的2%-3%左右，安全運營建設還相當薄弱。”

一些制造商還認為，網絡攻擊離自己很遙遠，然而隨著大量設備聯網、上云，沒有一個制造商能夠獨善其身。制造業的網絡安全，已經是事關供應鏈上下游的系統性問題。即便上游大制造商防控滴水不漏，勒索團伙依舊可以從下游小制造商處，尋找到突破口，以它們為“后門”，滲透進大制造商的網絡系統。

其三：制造業供應鏈復雜，無法承受停工危機，只能繳納贖金。制造業供應鏈復雜，牽一發而動全身。某一環節停擺，影響的是整個行業上下游的生存處境。

停工意味著：生產排期推后、難以按時交付、合同違約、回款速度慢、資金鏈斷裂風險……為了盡可能減少損失，制造業只能乖乖支付贖金，息事寧人。贖金可以換回生產重啟，卻無法消弭關鍵信息被盜帶來的潛在風險。

知識產權、核心科技關系著制造企業的發展命脈，一旦被盜，可能意味著多年積累化為泡影；交付延遲、客戶數據暴露，也會影響客戶對制造商的信任度，聲譽受損，因此，很多制造業企業即使被勒索，也只能打碎牙齒和血吞，獨自咽下苦果。

其四：傳統的EDR（終端檢測與響應系統）安防模式，單點設備各自為戰，孤掌難鳴，警報多，效率低。工業4.0時代，暗網強盜鳥槍換炮，從游牧草原式的單兵作戰，變成了現代的集團化作戰，但不少企業的網絡安全模式，卻依舊停留在傳統的EDR模式，無法適應新變化。

傳統的EDR模式，側重于終端安全防護，包括了臺式電腦、筆記本電腦、移動手機、服務器和任何網絡的入口點，相當于每個端口都配備了一個“警衛”，可以根據來訪者的行為，判斷對方是否存在威脅，是否需要被緊急隔離。

但是這些負責終端設備安全的“警衛”，成了信息孤島，和負責流量側安排隱患排查的“同事”NDR（網絡威脅檢測與響應）各自為戰，缺乏交流，數據集成能力弱，導致系統警報不斷，但對真正的威脅情報，卻預警不夠及時不夠敏感。

運維人員需要應付大量“狼來了”的“假警報”，工作壓力大，效率低，還有可能導致倦怠和松懈，等“狼真的來了”，反而無法及時應對。

因此，數字化時代，企業若要提升自己的網安能力，對抗無孔不入的勒索攻擊，急需一次“頭腦”和“武力”的全面升級，整合云、網、邊、端的安全方案，從而打造立體防御體系。

方舟護航，立體攻防全域作戰，打贏黑產暗戰

數字化轉型一體兩面，既需要通過新技術的應用，高速發展經濟，提升效率，與此同時也需要保障安全。

而互聯網安全的底座基石，正是平臺化的安全體系，XDR的解決方案也就由此誕生。所謂XDR，可以理解為是對傳統EDR模式的擴展與增強，它能夠橫跨云、網、邊、端多個安全層，收集關聯信息，發現威脅事件，從而調整端口EDR或NDR的產品狀態，響應威脅。

可以說，XDR模式讓安全系統擁有了統一的“頭腦”，全面清晰的視野，及時精準的告警，解放了運維人員的工作。近日，亞信安全推出的方舟計劃，就是以主動防范理念為指引，以XDR立體化防護的產品技術為根基，以安全服務為支撐，實現了三位一體的勒索治理新模式，形成全鏈條、立體化的勒索治理合力。

從發現威脅到清除漏洞，避免二次勒索，亞信安全有能力快速響應并打贏勒索攻擊阻擊戰，最大化降低客戶的風險和損失。

效率如此之高，打擊如此精準，得益于亞信安全構建的立體防御體系。

其一，洞悉全局，遠矚高瞻的情報體系。

一封疑似釣魚郵件從被網關發現到送沙箱甄別檢測需要多久？亞信安全的答案是十分鐘以內。

效率如此之高，在于亞信安全積累深厚，擁有“火眼金睛”。亞信安全自身的威脅情報優勢，并與多個國際知名的網絡安全威脅情報公司建立合作關系，從而建設了一套國際化的威脅情報系統，能夠及時獲得第一手情報資料，掌握勒索團伙新動向。

這套先進的情報系統，相當于“勒索攻擊團伙”的“全球通緝庫”。

當亞信安全的保衛團隊開始參與包圍企業建立的數字孿生環境時，勒索體檢中心會率先開展一次全面清查，部署端點及網絡探針EDR（終端安全響應系統）、TDA（360度網絡安保巡查系統）巡視“孿生環境”，排查分析，發現可疑分子時，及時上報統一威脅運營平臺，通過比對畫像，將勒索攻擊前置工具、伴生木馬和勒索病毒等一舉擒獲。

依托于此，亞信安全能夠為客戶提供分行業、場景和需求的定制化專項體檢服務，全面評估、預判潛藏的隱秘威脅，并且針對勒索事件制定相應預案，避免因突遇勒索陷入混亂。

除了定期體檢，治理漏洞，亞信安全的防護保衛軍還會定期進行專項風險排查，開展攻防演練，發現新的風險點，不斷提升作戰能力。

其二，協同運作，高效聯動的XDR立體防護保衛軍。傳統的EDR模式，終端側和流量側的警衛們各自守衛“一畝三分地”，而方舟計劃聚沙成塔，把零散的“警衛”們，組成了一支戰斗力強悍的鐵軍。

亞信安全的專家們憑借著多年和黑客斗智斗勇積累起來的技術經驗，打造了一個睿智的指揮部“XDR平臺”，全面覆蓋勒索團伙的攻擊鏈，通過“事前預防、事中處理、事后掃雷”三大手段，構建立體化、平臺級的運營防護能力。在事前風險排查階段，XDR平臺通過勒索體檢、提前部署、預案機制等手段解決蠢蠢欲動的暗網強盜，對他們起到了一定的震懾。

在事中應急處置階段，XDR平臺通過本地+云端威脅情報研判，快速精準分析威脅事隱患，實現全網聯動，以虛擬補丁及時封堵漏洞，避免病毒進一步擴散。在事后掃除威脅階段，成功捕獲勒索威脅后，XDR平臺會再次進行體檢。通過TDA這輛“巡邏車”，沿流量側巡邏，察覺異常流量，檢測二次攻擊行為，并和終端的EDR、云端的威脅情報共同聯動，定期，持續，掃清城市周圍的威脅 “雷點”，避免黑客的多次攻擊。

其三，人機配合，24小時貼身服務的專家團隊。

亞信安全發現，傳統企業在網絡安全運維上的人才缺口，達到上百萬之多。因此，除了提供覆蓋全流程的解決方案之外，亞信安全還組建了一支3000人的專家“智囊團”，覆蓋全國31個省市，7×24小時在線，確保企業發生勒索攻擊風險后，能夠第一時間找到可靠“軍師”精明決策。

如此一來，亞信安全的方舟計劃，徹底打破了傳統安全產品無法高效聯動的困局，以統一的XDR平臺，將碎片化安全能力融為一體，變為系統性、能夠全局聯動的遠程免疫系統，化繁為簡，實現了企業網絡安全的一次全面升級。隨著大數據、云計算、人工智能等新興技術不斷發展，新應用、新場景層出不窮，美麗的云上世界徐徐展開，但危險與暗礁也無處不在，傳統企業面臨著嚴峻的安全挑戰。

而亞信安全之所以能夠護航企業，依賴于其多年的專業經驗、全棧的技術優勢，“懂網、懂云，懂安全”，才能實現“天下無賊”的美好愿景。面對內卷的黑客和犯罪手法，獨木難成林，唯有平臺化的防御體系，百川聚江海，實現云網邊端協同一體化運作，才能護航千里，把來勢洶洶的暗網海盜們擋在門外。