亮点回顾：了解勒索攻击态势，发现隐匿风险！原创

各位线上的朋友们大家好，欢迎参加腾讯云企业新在线学堂系列课程，我是本次会议的主持人Lisa。腾讯云企业创新在线学堂是围绕企业业务需求，聚焦在数据管理、AI安全、办公协同等8大数字化需求场景推出的系列课程，携手腾讯云，创新驱动无限可能，共同开启企业成长新篇章。在数字化浪潮汹涌的今天啊，我们的企业不仅享受着技术革新带来的便利与效率，也面临着前所未有的网络安全挑战，那其中勒索攻击已经成为了悬挂在企业头顶的一把利剑，严重的威胁着数据的安全与业务的连续性。那随着勒索软件技术的不断演进，攻击手段也日益变得复杂多样，企业急需构建起坚固的防御体系来应对这一严峻的挑战。

那本期课程呢？直面勒索攻击，构建企业数字安全防线，旨在为企业安全负责人、it管理人员以及所有关注数字安全的同仁们提供一套全面而深入的应对策略与实战指导。在数字化转型加速推进的背景下，本期课程呢也不仅关注技术层面的防护，更加强调意识的提升、策略的规划以及应急响应能力的综合建设。好了，那首先就让我们有请今天的第一位分享嘉宾，来自中国信通院云大所开源和软件安全部副主任魏斌，魏老师主要从事云安全保险、云网络安全保险相关的研究工作，那今天魏老师的分享主题是中国信通院云上勒索攻击防护系列工作详解，有请。

谢谢主持人，呃，各位屏幕前的观众朋友们，呃，各位专家老师，各位，呃同仁，大家下午好，我这边是中国新能院的魏斌，今天给大家做一个简要分享。那么我这边的分享主要从几个方面，呃，那么会从勒索软件的发展概述，包括态势展望以及相关的体系建设，最后是我们呃院里面的的一些相关工作。呃，那么也是主要做一个个人的自我介绍，那么我这边是中国中国信息通信研究院云计算与大数据研究所开源和软件安全部的魏斌，那么主要从事的方向呢？有安全方向，包括云安全，网络安全以及软件供应链安全，也包括包含一些保险，云网络安全保险相关的研究工作。那么我们也进入今天的主题，那么勒索软件相关的发展概述，呃，我国网络安全整体的市场其实是成立一个稳定增长的一个态势，那么但是呃，勒索软件攻击其实已经成为了网络安全的最大威胁之一。

呃，大家可以看到整个每时每刻吧，其实都有一些勒索事件的发生，那么其实有的事情是比较严重的，有的事情其实是呃，可能个人才能收到，那但是总体来说，其实每时每刻，呃，这个勒索攻击都是在发生着。那么也是有多个原因促使勒索攻击在各地频发，那么我们也是总结了，呃，从这个基础基础设施建设到远程办公到高书金，那么企业内部的基基础设施建设不完善，包括缺少有效的安全防护措施，这个一定是最主要的一个原因，那么因为我们自己没有做好，所以说导致勒索攻击成功的攻击到了我们的一个基础设施，那么第二呢，就是高额赎金，嗯，因为。勒索团队把我们锁死了之后，会管我们要一个巨额的赎金，这种高额赎金其实也促进了网络攻击者的一个犯罪动力，那么第三就是从呃前几年开始，我们这个远程办公其实也增加了相应的一个安全风险，那么这个影响范围，其实从个人、企业到国家级层面，其实都是有一定的影响，对于企业会造成这种呃生产的破坏，包括持续供给数据的丢失，很大很多的一个影响吧。呃我们也是总结了一下勒索软件呃发展的一一个时期，从1989年全球第一个勒索软件诞生，到现在的2024年，其实我们认为勒索攻击已经进入了一个高发期的一个程度，那么呃其实伴随着这么多年勒索攻击软件的一个呃成长，呃，其实它的一个攻击流程也是处于日益多样化的，我们这边也是简单，呃，归纳总结了一下常规的勒索攻击的一个途径，那么。

其实从初始的访问到后续的凭证以及攻击相应资源，然后就勒勒索软件开始运行了，最后实施勒索。嗯，第二呢，就是一个相关勒索软件发展态势的一个展望。

呃，第一肯定是这个影响越来越广，刚才也是说了，呃近几年来也是有更多的呃关机基础设施，呃会受到更多的一个挑战，我们这边只是列了几个简单，就是几个比较重要的一个民生的相关的范围，包括民生啊，呃医疗基础设施，呃这个整体的勒索攻击，其实呃影响越来越多，加密手段越来越复杂多样，他们自己也是在有一些演进和变化，那么第二呢，是隐蔽和变异快，隐蔽性是勒索工勒索软件存在的一个必然的典型策略，它要伪装才能更好的进行攻击，那么第二呢，它。这个变异速度是非踌快的，因为呃，我们的防护手段不断加强，那么它如果变异不快的话，它无法更好的进行攻击，那么第三大块儿呢。是这个rus化的一个服务模式，呃，其实就是偏向于SAR斯化，这个也是最近几年常有人提，那么如果从零开始学习勒索攻击，呃，这是会是一个比较复杂长期的一个过程，但是如果是一个RA化的一个模式，我们攻击可能简单提取，用一个简单软件包，无需呃基础的一个IP ITP攻击的一个相关知识，我们就可以拿几个软件包，通过上下游的一个产业链来进行攻击，那么这个也是促使更多的人，呃，各级的分销者可以参与到这个攻击，嗯，来瓜分其中的一个利益。第4是跨平台，当然这个平台其实现在已经不是一个很大的一个问题了，从Windows到Linux到Mac，其实都会受到这个勒索软件的一个利用。第5是漏洞，那么漏洞肯定是勒索攻击的一个比较重要的一个途径，嗯，第6是这个。

加密加密货币从最早期的攻击，呃其实就已经逐渐应用到了这个加密货加密货币来支付赎金，那么我们现在其实对于这一部分还是处于一个学习阶段吧，呃，现通过不断的学习，呃区块链技术可能会被应用到相关的这个加密货币呃支付赎金的一一个相关信息获取当中。

第7是PAPP定向化，那么大型企业和技术设施一定是这个勒索团队攻击的一个一个重点，呃第8是多重勒索，现在不光是我攻击到你了，然后把你的机器锁死，就是现在还有窃取数据，然后呃有这个公开数据以及勒索攻击，呃相关的一个，呃多重勒，多重勒索的一个事情，然后第9呢，是是是是供应链渗透，那么整个供应链渗透其实现在已经成为了这个。勒索攻击，呃相呃很重要的一个切入点，那么我们会发现大型的软件供应商已经成为了这个被攻击的一个对象，我们也认为未来呃这个供应链攻击会成为勒索软件攻击的一的一个非常重要的一个入口。

呃，第10是处置专业化，那么前面9点其实我们都说的是，呃，这个勒索团队，勒索攻击会有怎么专业化的一个成长，那么我们的防护手段其实也是在有一个非常呃专业专业化的一个成长，嗯。然后第11，因为我们整个勒索其实是以这个全球化，呃攻击为主，那么我们也是认为全球化的一个治理，会促进国际共同抵御这个相应的一个危险。呃，第三大部分我们是想做一个勒索防护体系的一个相关分享，传统的勒索软件攻击，我们认为这个防护效率已经不足，需要推陈出新，我们这边也列举了一些传统备份式的勒索防护方式，那么在新技术下，勒索攻击其实是在逐渐进化的，我们下面也列了一些比喻，比如说单点防御啊，传统的呃这样的防护手段，呃，纵深防御差，然后防御措施包包括缺少情报的相关意识，应急响应之后，这些相应的一个一个弊端吧。呃，那么我们认为更有效的一个防御手段，其实还是从事前施工之后，事前的话我们也是归纳总结了几个机制，当然可能也是相对比较传统啊，就是从这种员工的培训啊，到加强备份的管理，主动防御，呃，系统加固，然后关键数据，对于关键数据的一个保护机制，以及相应的补丁机制，呃，持续监测，这个一定是我们很重要的一环。除了事前的相关工。

做，那那么持续监测呃，会对整个事件进行一个排查和溯源分析，快速响应和事后加固，现在提的人也是越来越多，那么我们会有一个数据恢复的一个机制，呃，包括购买一些保险呃，可以完成快速响应以及售后加固完加强我们的安全能力。呃，这边的话我们也是做了一些防护产品的一些呃整理吧，因为整体的勒索攻击防护产品其实非常非常多，现在市场上也是呃种类繁多，但是防护功能其实也是有一定的的一个交叉，我们这边下一步的研究可能就是来呃归纳总结呃勒索攻击防护相关的一个安全产品，那我们从中可能找到一些共性的一些东西，然后可能把底层这种连打通联通，呃作为我们下一步的一个工作方向，基本上就是可能呃就是更好的梳理勒索软件攻击防护相关的一个产品的一个能力吧。嗯，呃，这边呢，是一个相关的技术，当然这边也是我们下一步呃重点的一个工作，就是从相应的一个产品，然后到相应的一个技术。

呃，另外一个角度呢，就是我们整个勒勒索攻击，提到勒索，其实就不能不提到网络安全保险，这个在国外现在是已经非常成熟的一的一个应用，现在国内随着呃2023年12寓和2023年7月这个供应部呃发的相关网络安全保险的促进意见，以及试点工作的一个通知，呃以及今年三暂发了相关目录，其实从呃从这种顶层设计角度，现在也是在促进网络安全保险相关的一个发展。

那么我们这边也也是从2022014年开始做，现在做网络安全保险已经做了10年十十年左右了，嗯，我们这边主要是从事前的风险评估啊，包括事后的定损定责，呃，来支撑相关网络安全保险的一个服务。最后，呃，是可能简单介绍一下我们中国新能院，因为屏幕前的观众可能对院里面也都不是那么了解，那么我们院呢，是供应部的直属事业单位，呃，在2014年改名叫中国信息通信研究院，呃，我我们这边的部门主要做的是开源和安全相关的方向，那么我们这边会有一些，呃，白皮书啊，研究报告，一些产物，如果屏幕前的观众有所需要的话，都可以，呃，找找我们这边。

呃，第二呢，我们的主页就是写相关的标准，团体标准，行业标准，国家标准，包括国际标准，这个我们也都有涉猎。呃，开源部分呢，我们是有一些，呃工作是长期都在推进当中，呃，然后这边是一个安全的主要相关业务，那么可以看到防守所呢，今年的一个比较重点的一个业务。呃，导就是也是给大家介绍我一下我们的这个标准，呃，我们这个云上勒索攻击防护能力，呃其实现在已经经历了一个相应的团体标准，呃我们是从这个三大维度出发，事件适中之后，根据勒索防控周期的6个阶段，那么从准备呃，预防，检测，缓解，恢复到根源分析，呃我们是总结了乐视防护的五大成场景，就包括现在屏幕上面这几个终端啊，系统数据备份，在被防护和邮件安全，也是欢迎大家，呃，更多的给我们的这个勒索相关标准提出相应的一个意见，然后助力我们更好的呃，总结行业共性的一个趋势。

呃，最后呢，也是给大家介绍一下我们的一个工作目标，我们在2022年底是写了一本勒索软件攻击防护发展报告，呃，那么这个呢，其实我们呃也是做了很大的一个一个梳理总结吧，嗯。呃，从刚才的这几个角度，我们都做了一个重点的一个分析，那么屏幕右下方呢，然后有我的一个呃，工作二维码，然后是我的微信，如果大家感兴趣勒索相关的一个工作，也可以随时找到我们这边来，嗯，我这边的一个相关分享，可能大概就是这样，然后再给大家几秒钟的时，呃，这种时间可以扫描一下，有下方我这边二维码，嗯。那我这边的分享就到此结束，谢谢主持人。嗯。

谢谢，谢谢我们魏斌老师的分享，那我们线上的同学呢，如果你有疑问呢，也可以在问答区留言，我们的讲师啊会在问答环节为大家答疑解惑，那接下来有请我们今天的第二位分享嘉宾来自腾讯安全零信任产品负责人刘东峰刘老师，刘老师曾参与多个大型的零信任终端安全项目规划，有着丰富的终端安全项目落地经验，欢迎刘老师给我们带来基于身份构建立体化勒索防护体系主题分享，有请。好的，呃，各位线上的同学们大家好，我是来自于腾讯LV团队的刘登峰，然后很高兴今天有机会能够为大家带来一场关于呃防勒索的这么一场演讲和分享，那么呃，我过去呢，是主要是负责我们整个腾讯零星LV这个产品啊，它也是一个终端安全类产品，呃，所以今天我们也是基于从终端侧来为大家去带来关于我们勒索防护的一些分享与解析，今天的分享内容呢，我们大概会从呃三个方面去为大家做分享啊，第一个是我们当前所看到的一些比较典型的勒索攻击的分类的方式，以及攻击的方式，第二个呢，就是关于我们如何去构建一个比较有效的这样一个端点的勒索防护体系啊，第三块儿就是关于我们的勒索防护的一些落地的最佳实践，那么其实今天提起勒索软件的这个事情啊，大家都已经不陌生了，但最早他其实是可以追溯到1989年的，在那个年代我们就已经出现了通过。

呃，软盘那个时候还没有硬盘嘛，还是以软盘为主，通过邮寄的方式来做这个勒索攻击的这一个呃勒索事件，那么其实当勒索病毒真正的在大众的视野里面开始被广泛认知呢，我们还是要呃追溯到这个2017年，因为在17年的时候，全球范围内爆发了一场呃叫永恒之蓝的这么一场攻击的勒索事件，在全球范围内基本上是感染了超过数十万台计算机的啊，因为当时我们在国内也帮助大量的行业用户去处置了很多关于这样的一些安全威胁，包括帮用户去做这个分析溯源，以及一些及时的加固，在那一次事件里面呢，我们其实就已经感知到，在国内像包括像政府，教育，医疗啊等这些行业都遇到了非常非常多的这样的一个呃，勒索攻击形式，所以从那以后呢，基本上勒索攻击就已经从这种个人黑客啊，或者脚本嫂子这样的个人攻击，逐渐转向了有组织有规模的这样的攻击。那么这里面还。

值得一提的呢，是在2018年的12月1日，当时国内也是有一个。偏个人组织吧啊，偏个人的这样一个攻击形式，他通过互联网传播这样的攻击病毒之后呢，去弹出微信支付的这样的一个呃支付二维码，收款的二维码，要求大家交付赎金了之后再去呃解密大家的数据啊，但是因为国内的金融监管还是比较严格的，所以基本上警方用了五天时间就完成了破案，所以自那以后呢，基本上我们可以看到在国内外发生的这种大型的成体系化的勒索事件，都已经逐渐的变成了以加密货币为代表的一些呃赎金支付的这种方式，尤其是在呃从2018年往后发展到今年2024年，基本上今年勒索软件在整个全球范围内，它的这种影响范围之广和损失之巨是前所未有的，尤其是在2017年之后啊，当时我们看到的大量的这个勒索攻击，其实都是呃广泛的逐渐变成黑产嘛，然后呢，他可能会去制作很多这样的勒索软件，通过互联网快速的去传播蠕虫式这样的。

重读，通过大家的一些高危端口，3389或是或者是四四五去传播，但那个事情还仍属于广撒网，但是在今年上半年我们可以看到，呃，据数据相关的记载，今年上半年记录在案的勒索攻击事件就已经发生了超过400起，而且平均的勒索金额就已经超过了500万啊，因此这基本上是我们可以看到勒索攻击这种形式已经进入到一个新的阶段了，那么想要去解决这种问题呢？我们可能更多的还是要对呃勒索攻击事件的这种攻击种类和攻击方式有更多的了解，所以我们其实基本上大体上可以把它的主要种类分成针对设备加密和针对数据加密两个种类，那么针对设备加密呢，其实是以前会啊见的比较多的，其实现在相对来说就没有那么多了，但依然还是存在啊，包括针对用户的开机密码。

以及针对用户的这个呃，电脑的启动引导区啊，通过这种方式来要求用户必须要去呃，输入这个密码才能够启动，因为这样的话就可以通过这种方式让用户的电脑不可用嘛，同时呢，还有一些就是通过一些远控啊，就是我可能控制你的电脑啊，像RDP这种远程桌面，然后来人工运行一些合法的软件去加密你某个硬盘的分区，但因为你没有对应的解密密码，所以你也会导致整个磁盘分区不可用导，进而导致你的数据啊出现丢失的情况啊。另外还有一类就是像针对移动平台的这个加密，那么这是第一大类是针对设备加密，第二大类呢，就是我们当前所看到的最多的。

就是针对我们呃，用户电脑终端上面的这个文档数据和敏感数据做加类的那个做加密的这一样一类攻击啊，这里面典型就是像在2018年所出现的这个wa crime啊，这种方式呢，一方面它会采用这种加密货币作为赎金的方式啊，因为这种加密货币去中心化的这种特性，所以导致基本上也是纯匿名交易，没有办法去做呃完整的追踪，那一旦通过加密货币完成了这个交易之后呢，基本上也没有办法去再把你的这个钱要回来，然后其次呢，它也会通过一些这种比较呃复杂的非对称的加密算法，像r sa或者是AES等等这种方式去做这个加密，从当前的这个解密形式来看的话，解密的难度是非常非常高的，所以基本上呃，只要一旦加密就基本上无法去破解啊，当然这个国内也有少部分，包括腾讯安全，我们曾经也做过一些比较简单的啊，这种那个勒索加密的一些解密破解啊，但是实际上如果攻击的真的是呃，有组织有。

规模的这种破解难度依然是非常高的啊，所以这是第二种我们所看到的针对数据加密的情况。那么了解了种类之后呢，我们可以再看一下它的攻击方式，其实攻击方式大体上也是分成了人工入侵和蠕虫传播啊，像人工入侵呢，其实是呃，这些年，尤其是到了二四年之后，我们看到的一些比较典型的方式，因为呃勒索攻击形式已经从我们过去所看到的一些广撒网逐渐变成了大猎杀了啊，比如说像今年上半年所出现的，这也是今年上半年，呃，国外比较知名的这个网络安全公司this GALA他们的研究实验室所披露的啊，他们说今年在上半年有一个啊全球财富500应该是50强的公司啊，遇到了这个勒索团队，就是duck angels, 黑暗天使，他们这个团队的勒索最终交了超过7500万美元的赎金啊，这也是我们迄今为止所看到勒索赎金最大的一笔。这样的一个。

勒索事件啊，所以基本上呢，现在当前呃，哪个企业的数据更有价值，那更容易成为这种黑产的猎杀目标啊，这也是比较典型的有组织也有规模的这种人工入侵的勒索攻击方式。那么另外一类呢，就是蠕虫传播，呃，虽然如今它相对来说可能我们看到的是人工入侵比较大那但其实那是因为他看到的金额会比较大，实际上这种当前在互联网上广泛传播的这种蠕虫传播式的勒索病毒依然也非常多，像2017年典型的wanna cry, 它就是这种比较典型的一种方式。另外还有像在2018年我们所出现的一个俄罗斯的勒索团队啊，叫get crime啊，翻译过来叫大螃蟹，他们当时在2018年一暂制作了他们的第一个版本，那么到2018年6月暂的时候，他们的迭代就已经从1.0迭代到了5.2，他们是作为一个呃，典型的勒索团队组织，他们会去制造这样的勒索病毒，但是他们自己并不会亲身去参与这个勒索工。

冲击，但是他们会把这个产品分销给各个国家的一些呃黑产业的代理商，通过这种广撒网的方式去做勒索，当时为什么他们会如此出名呢？也是因为他们在呃互联网上发布了一篇公告，大概意思就是他们一年勒索获益啊超过20亿美金，所以他们觉得自己可以退休了，而且他们非常猖狂，他们在网上说呃自己通过这种勒索的方式获益，实际上是并没有被追查到的啊，那基本上他们认为这种作恶是不会被呃被绳之以法的，所以其实也造成了非常不良好的影响。那么。从这两个典型的勒索团队来看呢，其实我们就可以了解到勒索攻击的这个方式主要就是人工入侵和蠕虫传播两种方式，那么在了解了这两种方式之后呢，我们其实也会去想要知道如何去在端点上面去构建一些更有效的这种勒索防护的解决方案，因为实际上在呃，大量的这种勒索事件里面呢，它更多的还是会去聚焦到我们的端点上去，呃，加密用户在PC侧，PC侧的数据啊，因为核心就是如果你没有做备份，你的数据一旦被加密，你就不可避免的要去。

交赎金这个问题，除非你可以忍受我的数据丢失问题啊，当然也会存在相当一大部分体量，他会去加密用户的主机啊，当然这一块一会我的同事也会去给他做讲解，关于云和主机侧的一些防乐索，那么在端点检测呢，我我们所提供的解决方案，其实更多的呃是关于我们整个呃，围绕着腾讯内部的一个产品去逐渐打磨，面向商业化的这么一个呃产品，我们在内部管它叫腾讯LV，当前在呃，当然在互联网上大家也都可以搜到它，这个呢产品其实也是基于我们腾讯内部自用的实践去构建的一个终端安全一体化的办公平台，大家可以看到就是我们整个产品其实它都只有一个客户端，然后我们是通过构建核心模块的方式，来通过这种乐高式的模式去把我们的整个终端安全的能力都构建在一个客户端上啊，因为实际上我今天在这里给大家分享了防勒索，但是呃，用户在端点上会有很多需求，包括像业务的零线接入啊，像杀毒软件，像终端检测与响应，像防泄密等等，我们都。

其实把它构建在了一个客户端上，那么这个过程中呢，像腾讯内部啊，我们有超过十万的员工，其实也是通通过。腾讯LV这样一个客户端去解决我们内部的防勒索问题的，那么对于企业的员工来说，它其实就是一个客户端，然后呢，手机端和PC端都是一样的，对于企业的it管理者而言呢，它是通过一个呃管控台来实现我们所有的功能息发和策略息发的，那么呃在防勒索这个层面，我们怎么去构建对应的防护体系呢？实际上我们也是去呃研究了这个呃攻击者，他从人工入侵和病毒传播的这个攻击链条啊，包括像人工入侵，它其实是主要有三啊，有5个方式，5个阶段，包含了这个爆破入侵，破坏杀毒软件，然后运行自己的病毒样本，以及加密用户的数据，同时在不断的去在内网做横向扩散，加密更多的这个设备为主，它是大概5个链条，那么。

针对病毒传播呢，那其实它就是啊，主要是中间的三个，因为病毒已经通过各种方式钓鱼攻击也好，水坑也好，包括利用一些漏洞也好，它都已经进入到你的电脑上，然后去运行了，那其实它是这3个，所以围绕着这比较典型的呃，5个攻击阶段，我们会在每5个攻击阶段里面都去构建自己的这样一个防御的能力啊，其实大家也可以把它理解为这个纵深防御的这样一个思想，就是我们会在每一层都会去构建对应的防护体系，来确保我们的终端不被勒索病毒所攻击，那么就包括了我们的防控制设备，防破坏杀软，防加密行为，防损失数据和防扩散内网。那么。首先我们来看。在防控制设备这边，我们会怎么样去有效的去抵挡爆破入侵？因为呃用户在互联网上，尤其是针对终端，那么如果呃很多终端，其实这个在企业非常常见啊，因为呃大部分的普通员工对安全的这个理解并没有那么呃深入啊，因为这个东西你跟他讲，他可能啊知道安全很重要，但是他自己的电脑啊，可能开启的这种三三八九或者四四五常用的这种远程连接的端口，对于他个人而言，第一个他不知道，第二个呢，即使他知道，他也很难就是去了解在哪个地方去关闭，所以这个过程中呢，对于企业用户来说，他其实it管理员会需要有一些能力，能够去在底业色统一的去隐藏我的端口，去加固我的密码，去开启我的，呃，包括我的锁屏等等啊这些手段，那么在这个过程中呢，需要去针对用户去做一些爆破的防护，包括一些RDP的二次认证，比如说像用户去呃，有一些原因需要去进行远程桌面的连接，那这个时候呢，我们可以通过LV去开启远程桌面的二次认证啊，通过这种方式呢，来去让用户啊不断的加强你的。

身份认证关系啊，来确保我的用户不会被黑客非常简单的通过弱密码123456DIN这样的方式去做爆破，那么即使啊攻击者可能遇到了一个呃，它的这个安全意识非常低下，而且一个防守的盲区，它成功的爆破进来了，那么我们也可以通过IOA所提供的一个终端检测与响应的模块来发现这种异常的啊端点行为，因为攻击者控制了你这个电脑之后，它的行为和正常的访问行为一定是有区别的，所以这个时候我们可以通过行为和情报关联来及时发现你这个电脑的异常，由此来对你的电脑进行全盘扫描，或者是对你的电脑及时阻断你的业务的访问连接，这样的话可以及时的去遏制你的设备被黑客去控制，包括我们可以去阻断你跟互联网的连接，那么这是我们第一个防控制设备的思考，第二块儿呢，就是防破坏杀软。因为呃，很多像传统的一些也比较传统啊，像大家常见的一些这种免费的杀毒软件，确实免费很好用，但是呢，它的这个退出是比较相对来说是比较简单的，因为这种互联网产品大家也不会做的非常强硬，像前些年那个很多杀毒软件做的非常的呃，不允许退出，那导导致也引发了很多用户的不满，对吧，他认为这个产品这个软件在电脑上像流氓软件一样不允许退出，但是对于企业来说呢，其实更多的是要去做好我整个软件的自保护机制啊，所以包括IOV呢，也提供了啊，当然这个是可以开关的啊，就是我们是可以去呃让管理员去开启客户端是否卸载，以及啊，客户端是否允许完全退出的这样一个方式，来保障我们的终端在底层一直是持续运行，去守护你这个电脑的。

呃，他只要拿到你的这个电脑控制权限，他完全可以通过这种自动退出的方式来。啊，所以在针对这个呃，杀毒软件这个机制层面呢，我们就会针对LOV客户端去提供对应的软件自保护机制，那么第三点呢，就是针对我们的防加密行为啊，那这个其实就是你默认可能前两呃前两个防线它已经可能呃进来了一些，比如说他可能已经进来了，开始准备做加密了，那么在这个过程中呢，我们其实会提供针对样本，就是杀毒，它这个文件落地到你终端上面啊，包括它的这个啊高危行为，以及这个过程我们会去做一个整体的三层防御啊，就是针对用户，首先它常见的一些病毒样本落地到本地之后呢，呃，结合整个腾讯LV，因为我们这个呃，腾讯LV其实大量的用了以前腾讯电脑管家的一些这种杀毒引擎，所以基本上呃，非常常见的典型的杀毒的这种啊，勒索的病毒，我们第一时间就可以把它呃删掉啊，第二块儿呢，就是针对他的一些高危行为，像他可能会去进行一些啊删系统卷引，因为这是一些备份的这个方式啊，他会把你的这个备份删掉，这种方式我们也会去做及时的一些检测，另外呢，我们也提供了一些主。

动的智能诱饵啊，这个也很典型啊，就是我们去除了被动的去响应和检测以外，我们可以在一些呃电脑的关键的这个目录下面去放一些啊TXT或者word或者PPPT等这样的一些后缀文件来作为诱饵去呃监测，那如果你主动加密了这个文件，那你这个电脑肯定现在是存在问题的啊，所以我们会通过这种纵深防御的形式去拦截攻击者的非法加密行为，那么在这一块呢，通过我们当前所提供的一个漏斗式的的引擎啊，包括我们的云端引擎，包括我们的呃用户的DNA特征引擎的这个呃特征检测引擎去构成一个漏斗式的方式，把我们的啊，最常见的不常见的这种形式的勒索病毒最终都一网打尽啊，这个也是呃，依托我们腾讯近20年做C端啊，做互联网这一侧的杀毒啊，去构建的一些这样的经验积累。

那么呃在病毒层面呢，其实我们呃落地执行去做扫描的时候，我们跟很多竞品也去做了一些对比的测试啊，这样的话，呃，因为这里面我们讲出来，大家可能都觉得是呃我们毕竟在讲自己吧啊，所以在我们今天讲完了之后呢，大家其实如果呃对防勒索这个事情比较感兴趣，我们也是也可以去呃到这个交流下来之后，我们去单独的去沟通，或者进行一些测试啊，这也都是OK的，那么这是我们在纵深防御拦截加密行为做的一些思考，那么最后呢，在防丢失数据这个层面，我们其实也做了一些啊备份的思考，这个就是我们的文档守护者啊，相当于我们是利用我们的这个啊端点的防护软件，就是我们的LV构建一个文件的备份方案啊，大家可以把它理解为就是我们可以针对你用户是可以选择的，你可以把你啊电脑上某一个分区啊，构建一个这个备份区，把你的一些常用的PDF word PPT, 自己可以选择对应的格式来把我们对应的文件呢，去做一个对应的备份啊，一方面是提供了无文件格式的备份，另外一种就是决定备份，这是。

两种备份备份的方案来帮助用户去呃做一个兜底啊，就是退一万步讲，你可能前面的各种呃策略，什么安全策略都没开对吧，那这个时候可能真的勒索病毒已经进入到你的电脑中，已经在做一些加密的行为了，那如果你有文件的备份方案，我们也可以帮助用户在终端侧去及时的恢复我这些被加密的文件啊，这个就相当于是在事前事中事后我们都去构建了一些兜底的解决方案。

那么包括这些呢啊，除了一方面我们可以看到啊，这个是我们一些产品的实际截图啊，包括一些呃，文件的实际的这个备份啊，文档的时光机功能等等，同时呢，我们也还提供了一些文档解密的能力啊，因为文档解密这个能力呢，我前面也讲过了嘛，就是它其实会有一些点，包括像勒索软件的这个私钥啊，可能被警方最终追查到，然后警方公开了这个私钥，这样的话，我们就有机会去通过这种呃解密的方式解开用户加密的文件，另外一类呢，就是它这个勒索病毒的软件设计本身存在一些缺陷啊，那这个东西本来也是人与人之间的博弈，因此我们也可以去解密一部分这样的勒索病毒啊，所以通过这种方式呢，我们可以帮助用户提供一个终端侧的兜底啊，就是我们文档守护者的这个能力，这样的话，通过这些方式，我们就可以把用户的这个呃文件啊，确保它即使啊出现了问题，我们也能够给他一个啊恢复的一个备份，那么最后呢，就是针对我们的防扩散啊，因为我们前面其实都是针对终端的一些防护能力嘛，那么呃，我们其实这个。

过程中呢，也叠加了这种防扩散防横移的能力，因为用户在，呃，因为在这个攻击者攻击了用户的某一台终端之后呢，他一定会想办法去做横移，来找到我到底可以在你的内网中去横向扩散到哪些电脑啊，因为对这个勒索组织而言，它能够去全面的扩散到你整个内网的所有电脑，它一定是价值最大的，因为这样的话才有可能去把你呃，企业中最有价值的数据通通加密啊，因此在这个背景之下呢，我们其实也提供了一些防恒衣的核心的能力啊，这里面也就包含了我们去在事前针对用户做安全基线的加固，事后呢，我们通过。对可疑行为的监测来做基于身份的审计啊，因为刚才我在前面也提到了，我们整个腾讯LV的产品是呃构建了多套能力的，因为在整个腾讯内部，它不仅仅是去做防勒索，我们内部所有员工只要去访问所有我们内部的业务，都需要登录IOV啊，当然我们也可以开启一些策略，包括他常年登录这种形式啊，就是所以基本上在这种事件发生的时候，我们是可以第一时间基于身份去定位到具体某个人了，而且我们可以去通过这种方式去啊，对这个用户的终端进行一个详细的审查和审计啊，帮助我们更快速的去找到这个用户当前啊是否已经自己被攻陷，同时它到底影响了多少台横向的终端啊，那通过这种方式呢，基本上我们可以把当前我们看到的大量的终端横移行为，基本上是百分之百的覆盖，然后呢，针对预控的攻击行为，我们也覆盖了超过90%，在这一块呢，我们基本上呃，不管是横移的这个覆盖广度，还是横移的覆盖深度，在业内都是比较领。

天的，所以基本上是通过这五层啊，纵深防密室的这个能力，从这个防控制设备到防加密数据，到防扩散内网，来构建一个立体化的基于身份的勒索防护体系啊，这不仅是腾讯内部的最佳实践，也是我们现在希望能够对外赋能我们对外的商业化，赋能我们所有的企业客户的一个解决方案和思路。

那么在这一块呢，刚才我也提到了这个具体的攻击方式我就不讲了，因为这里面我们也做了很多的这个思考啊，就是包括一些预渗透的攻击方式，包括远程命令的攻击方式，拦截，以及不同的这个，呃，远程同业协议的这一些防护啊，所以这个包括这些呢，在我们内部我们也去做过很多的对比啊，所以这也是我们当前所看到的一些比较有优势的点。那么再往下呢，就是我们的防勒索实践，因为刚才我们其实也提到了腾讯内部在用这个，我们其实当前也服务了大量的这个呃，企业用户，包括像典型的我这里举了两个例子啊，第一个像顺丰啊，因为顺丰在，呃，我们当前也是一个非常有影响力的这么一个，呃大客户，他在全网有超过12万的这种PC终端和超过40万的移动终端啊，因此在这个层面里面，我们其实也是把腾讯的这种经典架构和顺丰的这个架构做了一个结合，然后为用户去提供了多个模块，包含了资产管理啊，病毒查杀，漏洞防御，终端准入，零线的接入。

和防泄密等等啊，帮助呢，顺丰他这样的一个大型的物流企业去构建好自己的一个防勒索体系的建设啊，当然实际上他们已经从一个简单的端点的一个安全防御构建到了一体化的一个，呃客户端啊，这是一个比较大的案例，那么除了这个以外呢。我们还为一些比较典型的啊互联网企业，像贝壳找房啊，这也是一个比较典型的这种互联网公司啊，他们其实啊，因为在全国有大量的门店，像链家这样的，大家在日常生活中也都是可以看到的啊，所以对他们来说，他们其实也存在大量的分支需要去做对应的防勒索，因为他们的分支人员大量是他们的经纪人啊，他们的经纪人其实更多的会偏向于市场属性，对于it电脑肯定是没有那么那么的去深入了解的，所以在这个背景之下呢，也需要一些这种呃可靠的能力帮他们去构建一些这样的安全防护的一个体系啊，这是我们呃，整个腾讯LV为一些典型的大型的企业用户去构建，那么到如今呢，其实防勒索这个事情本身也是呃更多的从一些中小企业用户慢慢的过渡到一些有核心价值，有高价值资产的大企业用户，那么我们也是希望呃能够在端点侧为这些用户构建一些比较呃合理的，比较高效的一个立体化的防护方案。而且我们的这个。

解决方案的逻辑，它整个是一体化的啊，包括像在今年我们也为贝壳的这个用户呢去啊，帮助他获得了一些外部的奖项啊，因为这个整个过程也是他们去构建的一些创新点和优势啊，所以大体上的案例呢，我在这里就简单的分享了两个，当然大家如果想去了解更多不同行业的案例，或者是呃，不同规模的案例，也都可以在一会儿的提问环节，或者是下来再跟我们去做具体的沟通啊，那么今天我的分享呢，就到这里啊，感谢大家的观看，嗯。感谢，感谢我们刘老师给我们带来的精彩分享，那如果我们线上有疑问的同学也请您在问答区留言，我们的讲师啊会在稍后的问答环节给大家答疑解惑，那接下来就有请我们今天的第三位分析讲嘉宾来自腾讯云安全产品专家王磊，王老师负责腾讯云云防火墙外部应用、防火墙主机安全、BOT流量管理等产品的运营和to b商业化工作，有着丰富的云安全项目落地经验。

欢迎王老师给我们带来云环境下勒索攻击的防护策略与最佳实践主题分享，有请。啊，感谢主持人，大家好，我是来自腾讯云原生安全团队的王磊，那今天呢，会最后从云上环境的视角啊，来针对这个勒索病毒的话题给大家去做一个分享，首先做一个自我介绍，那我是来自这个腾讯云原生安全团队啊，负责整个基础与安生安全的这样的一个各类产品，包含像腾讯云防火墙外部应用防火墙主机安全等等，那今天呢，会针对云上的这个视角给咱们去展开来看一下，那么云环境下我们针对勒索威胁应该如何去防护，最佳实践呢有哪些？

那整体的介绍会分为三个层面，那第一个呢，咱们前边的其他的两位专家已经针对这个勒索病毒做了一个整体的介绍，那么在云视角下，我们对勒索病毒啊，它的一个特点，那区别于云下或者IDC啊，有什么对应的一个差异，然后在这些差异下，我们应该执行哪些策略，腾讯云原是安全，又针对这些对应的一些特点呢，做了哪些对应的最佳实践，从这三个方面呢，来给大家去做对应的一个分享。那第一个部分咱们先来看一下，那么相比于其他的这样的一个环境，那云上的环境下，咱们勒索呢，有哪些对应的特点，那从四个方向上来看，我们其实可以看有非常明显的这样的一个差异点，那第一个是云上资产，那区别于咱们的这个线下资产，云上资产它的数量会更多，其实种类也更加繁杂，所以说对于攻击者来讲，我们会发现我们的暴露面会区别于这个云下会产生更多，所以说它的入侵点也更加的这样的一个繁杂一点，也特别容易遭到攻击。

那其实与2022年和2023年相比啊，全球勒索软件在对于云上的这样的一个攻击数量上增加了37%以上，而对于有效的这样的一个攻击呢，增加了55%以上，也就是他的整个数量呢，更容易被遭到攻击。那第二个层面，其实什么样的用户会用呢？我们其实发现大部分是一种他不想去自建线下的IC资产，所以说云上的租户数量是远远高于云下的，它的安全水平呢，相比于云下，它统一去建设自己的这个安全水位，它的水平是参差不齐的。所以在云上租户来讲，它更容易去没有防护，或者说防护水位比较低，它遭受到勒索的概率也更大，所以说在云上视角下，其实在2023年75%以上的这个企业啊，表示在过去一年中，那它会成为这个勒索软件的主要攻击目标，那其中60%呢，可能也支付过对应小额的啊这样一个对应的赎金，所以说云商用户如何去建设自己的安全水位啊，针对这样的一个的工环境，或者说我们自己的人上环境，怎么去做防护啊，是我们目前啊最主要去思考的一个问题。

而对于现有的环境下，其实我们可以去发现啊，勒索病毒的主要攻击手法，取决于它的一个主要攻击目的，其实刚刚两位专家也分享了，那目前我们现有的云上勒索分为两个主要的方式啊，一种是这种广财老式的攻击，一种是针对高价值客户的啊，这样的一个精准式的攻击，那其实目前通过这个云上的这样的一个环境下来看，那大多数的勒索攻击，云上勒索啊，绝大多数还是指广残老式的这样的一个攻击，包含了像热口令，暴力破解，钓鱼啊，远程访问等等，但是呢，同样也存在着针对于重点攻击目标，比如说大额的赎金，或者说咱们的目前的一些这种大额的这种啊A的这样的一个用户啊，他会去做这样的一个重要目标的精准打击，那通常他使用的就是一种啊，精准化的漏洞武器化能力啊，类似于这种apd式的这样的一个高级威胁，然后去做这样的一个针对性攻击，所以说它对于不管是对于咱们安全能力建设比较少的小企业。

还是安全水平比较高的大企业。云上的勒索病毒啊，他们都产生了不同层次不同水平的对应一个威胁。所以说其实我们每一个人都是要去啊，针对自己目前企业的一个情况，去盘点一下咱们现有的这个攻击风险来源，就是什么样的资产，或者我们目前的云上的啊，这些资源和对应的这个啊，数据资产啊，它哪些会产生对应的风险，其中最典型的是这五个方面，就是漏洞，资产保资产暴露面入口令，未授权访问和恶意文件等等，那这些也是我们需要去重点防护的，那其实根据2022年和2023年的这个新通院的一个统计啊，咱们所说的在这里列举的暴力破解，若口令和网页挂码啊这类的这种咱们带带引号这个低级手法，仍然是我们攻击的这样的一个捕捉手段，而针对我们刚刚所讲的这种重点用户，或者是我们的KA用户还它会使用一些类似于钓鱼投毒或者高级漏洞的啊，这样的高级手法也占有一部分的比例，那其实我们展开去看的话，在云上攻击，我们首先要明确的一个点就是。

是你的什么资产，或者说你哪里会遭到攻击，你的攻击风险来源于哪里？那其实我们从这一页片子上来看，其实从五个方面都需要去盘点你的漏洞有哪些，包括系统漏洞，应用组件等等，你资产暴露面在公网的端口暴露和服务暴露有哪些可能成为你受到攻击的这样的一个弱点，我们现有的用户是否存在对应的像Linux Windows的对应的入口令会遭受到暴力攻击外。这从而呢，造成一些我们敏感信息啊，对应的泄露，以及我们对一些恶意文件和对应的漏洞是否得到了一个充足的扫描，那这些风险是不得到解，是我们急需解决的一个问题啊，所以说我们从刚上的一个点，我们再来看，那基于这些点，我们应该去制定一个什么样的勒索防护策略，或者说我们现在遇到的痛点啊，大多是哪，大多数是哪些。

首先我们先看一下，那么基于云上恶索病毒的攻击场景，我们现有的用户呢，有哪些对应的这样的一个问题，或者说它产生了啊对应的一个这个对应的风险，那首先第一个来看啊，我们综合的这样的一个房屋痛点问题，无非集中于三个关键点，那第一个是有哪些业务呢？啊容易被勒死啊，第二个呢是所后啊，它感染面积有多大，那最后呢是如何恢复，咱们对应的这样的一个问题，所以说我们展开来看，会拆解为四个小便。第一呢，是针对这种攻击，持续不断的勒索攻击如何去防护，有个勒索病毒其实可以通过多种途径传播，包含了咱们刚刚讲过的教育，邮件，会议，网站流动利用等等，那这些传播途径的这个多样性和普遍性，使得这种勒索病毒呢，能够触达到大量的用户，或者说触达到我们大量的资产，无论是你是一个小用户还是一个大用户，都会遭到这种对应的多次攻击。第二一个。

随着它我们现在的这个勒索工具不断的提升，啊，勒索病毒不仅是一个数量的增加，而对于我们每一个对应的企业，它的攻击频率也在。攻击者不断会更新对应的病毒代码，然后绕过咱们现有的一个安全防护措施，使得咱们现在的防控防范工作呢，非常难以去做到对应的进行。那针对到咱们自身呢，就是我们现有的用户遭到这个对应的勒索病毒攻击的时候呢，会发现咱们现在不是非常了解自身的业务以及资产的情况，比如说不太清楚自身的组件情况，账号端口文件的暴露内容，以及各类资产的使用情况，难以确定啊，咱们这些资产是哪些可能被勒索啊，哪些会有对应的风险，第二一个我们有了对应的意识之后呢，我们会发现资产非常多，我们依靠人力呢，很难去全面扫描，全面掌握我们的资产情况，没有办法去了解哪些去做了防护，哪些去做了备份，哪些遭到攻击是可以恢复的，那不清楚这些对应的备份是否可以去被掌握跟利用。

那最后一个呢，就是我们会发现资产全部盘点完善啊，我们对应的这个防护也做了一部分了，但是会发现我们忽略了非必要的资产暴露在公网的情况，我们的暴露面没有收敛，就会导致我们的对应的数据被泄露，或者说我们的数据被加密啊，这样的一个勒索，最终的一个情况。那第三一个我们去看呢，我们所有做完之后会发现，我们基于规则的检测，无论是勒索病毒文件，还是对应的异常行为，并不能百分之百的去完成对应的这样的一个防护，那始终呢，存在漏报和误报的可能，所以说如何去防患于未然，在遭受到攻击之前呢，就建立对应的防护措施，那实现我们对于不管是事前、事中事后全方位的防护手段，那如何去做到这一点，成为我们第三个一个痛点，那最后呢，就是我们一旦遭受到攻击，我们被勒索加密的文件如何去被还原啊，我们是不是做好了备份，那现在的解密手段能不能达到对应的一个能期望的一个状态，也是我们对应现有的这样的一个痛点。

所以说这些基于这些防护痛点啊，我们需要去看一下现有的咱们整体的一个防护策略，我们如何要如何去做整体的规划，那针对这种攻击手法逐渐这个高端化，Apt化，且造成损失比较大的这样一个状态，怎么去做？其实整体来看，我们会从攻击前期、攻击中期和攻击后期去做对应的拆解，首先要提前预防，然后及时发现，及时处理，去实现我们对应攻击面的管理。多维度的检测系统和多维度的响应系统才能实现我们所说的生命周期对勒索病毒的一个攻击防护。

那首先我们从这个攻击前期来看，那攻击前期其实我们面临的攻击手段啊，主要是暴力破解动利用和未授权暴位，那这些时候呢，用户常常或说攻击者常常会做的是什么呢？那就是去做信息收集和漏洞利用，如果去尝试利用这些漏洞，或者说利用咱们收集的信息去寻找啊，咱们的用户开放的端口和服务，也就是咱们没有收敛的对应的暴露力，从而呢确定路性的路径，那比如说常常会去用的就是一些网络扫描了，或者说调邮件了，做对应的这样的一个攻击，那这些未授权的访问和我们没有去扫描的logo，就会成为攻击者所利用的对应的手段，所以说针对我们的这个防护措施呢，就是我们去检测啊，对应的未授权的这些对应的端口啊和对应的服务，以及阻断我们对应它入侵的这一个路径，从而呢，收敛我们的漏洞和极限风险，降低我们被爆破成功的啊对应的一个可能性，那最后呢。

还需要在事前去做好对应的数据备份，从而呢，防止中招后我们没有办法去做对应的解密。然后在攻击中期呢，我们会发现工击常会做一些什么事情，他会去投放咱们的勒索样本，从而加密目标文件，然后破坏咱们安全，去做一些横向移动，那如果说他已经达到了攻击中期的时候呢，这些路径其实我们是可以去发现的，比如说我们如果他去做横向移动的话，他会在目标网络内去做一扩大它的攻击范围，寻找有价值的数据和系统，从而呢，去形成它的这样的一个啊勒索病毒攻击的这样的一个目的。所以说我们需要去建设自己的幼儿文件，去收集的我们它的对应的样本，而阻止恶意文件的运行，而及时止损，然后达到我们攻击中期能够及时防御，也就是及时的响应他的这样的一个攻击的这样的一个目的。

攻击后期呢，我们的这样的一个攻击者，它不仅仅会攻击一次，它会去重的再次入侵，从而扩大它的这样的一个战果，确保它的一个勒索攻击手段，所以说针对这部分内容呢，我们需要去持续的去提高自己的这样的一个防护措施，防止这种二次勒索产生的一个问题啊，提升自己的漏洞运营能力和样本运营能力，维持自己的检测能力，从而呢，实现咱们对勒索病毒的全生命周期的保护。那基于这些简单的策略啊，我们其实可以去看到，其实勒索病毒防护的策略是一个一贯而持续进行的内容，那么腾讯云原是安全啊，是如何针对这样的一个勒索攻击，有哪些对应的最佳实践的第三个部分给大家去进行对应的分享。那第一个呢，首先来看一下，我们针对之前的啊，对应的这个勒索攻击，主要会拆成三个对应的生命周期，事前事中事后，那首先在事前我们是要去做的，就是要去强化我们对于网络安全边缘的这样一个防护，而去收敛对应的攻击面，针对这种入侵检测和入侵防御去。

进行整体的一个盘点，从而去屏蔽一些我们对应的呃，没有收敛的这个暴露面带来的对应的安全风险，那首先第一个我们就需要去在边缘去建设这种对于基础安全防护的云防火墙和对的外部运动防护墙，从而呢有效的去针对这种啊边缘的暴露面进行收敛，那第二部分呢，我们可以去建设对应的主机安全和数据安全对应的能力，从而呢针对这种漏洞防御内存码的这样的一个呃，在攻击历程中的啊这样的一个风险进行对应的收敛。那展开来看，首先第1步我们需要去做的事前针对对应的资产去进行识别，从而收敛我们在资产上对应的风险，因为包含了很多对应的内容，那在右边的界面中，我们其实可以看到它包含了对应的进程，账号啊，端口以及外部应用，外部服务等等，我们需要去识别出来我们在网络中有哪些啊，是对应我们在事前可以去盘点的风险，从而去解决咱们在基于漏洞暴露面资产等等的信息，及时的扫描，及时发现，从而去解决咱们在事前暴露的风险内容。

那第二步呢，我们需要去盘点咱们现有网络之中的这个口令状态，去解决一些未授权类的啊，对应的安全风险问题，首先我们左边可以去看到，我们可以去检测系统和应用存在的这个入口令问题，然后在添加自定义的入口令，从而能够有效的去检测出来，OK, 我们哪些对应的密码是没有去得到对应的这种强密码加密的这样的一个状态。从而呢，能够解决这种暴力阻断的这个风险问题，那第二部分呢，我们可以从线上的这个安全能力，持续捕捉云上攻击事件啊，常用的弱口令定期去进行更新，就可以解决咱们在事前这种弱口令风险的一个第二类的安全阻断问题。

那第三一部分呢，其实我们最重要的是在事前去收敛我们漏洞的这样的一个呃风险，然后呢，建立这种漏洞的应急响应流程，然后通过漏洞检测去编写对应的漏洞规规则，然后在云主机影响面上去发现对应的一个漏洞风险，同时呢，产生事件的时候能够及时发现对应的漏洞报警，确立一次产业面，然后提供对应的详情和日志，从而能够有效的去进行修复和对应的这样的一个响应，然后在事后呢，总结漏洞的入原因，盘点产生漏洞的情况和问题。全面修复我们的漏洞风险，从而能在第一次事前、事中、事后和第二次我们的漏洞入侵的时候，能够及时解决我们对应的一个风险安全问题。

那第三一个呢，我们在还需要去对应的这个各种类型的漏洞风险去进行收敛，然后在咱们对应的界面上去实现自动防御和自动修复，快速收敛对应的这样的一个漏洞风险了。然后呢，我们当产生了对应的勒索病毒入侵的时候呢，我们就需要去应用对应的安全检测能力，去实现对应的隔离和排查感染范围。首先第一个我们其实可以看到我们基于腾讯数十年的这样的一个海量恶意文件的这样一个检测，可以及时确认遭受到漏进公漏洞勒索攻击后啊，采取阻断啊对应的方式去隔离对应的病毒感染设备，然后去及时的快速响应啊对应的方式我们可以在右侧去设定对应的策略，比如说我们确定运行经行中关键目录和驱动加载对应的这样的一个进程中是否存在恶意的这样的一个木马合并毒文件，然后及时检出，并且把对应的自动隔离，然后去加密在文件上对应的信息。

然后同时呢，我们也可以及时的研判，通过感染的这个勒索病毒的漏索信息，加密文件和可疑样本，对这种勒索信息进行分析之后呢，提取它的这样的一个通信特征，从而呢进行这一个研判，然后发现对应的攻击入侵渠道，及时的开展处置咱们对应的这样一个勒索事件，然后呢，阻断他这样的一个恶意的对应的行为，同时呢，也可以对一些高危命命令进行拦截，降低他们入侵成功的啊对应的这样的一个概率。然后适中呢，我们还可以在这里去设置对应的勒索的防御策略，根据实际业务去增加咱们对应的不同的策略，比如说按照咱们对应的这个目录啊，去设置对应的幼儿监控的这样的一个呃，对应的监控目录，从而及时的去定时的去发现啊我们哪些有对应的入侵行为，同时呢，也可以设置咱们快照的自动备份，可以按照日期时间，磁盘对应的这样的一个策略呢，定期的去进行数据备份，从而防止咱们被勒索加密之后呢，无法恢复对应的数据，也就是咱们如果在事后呢，出现对应的策略，然后没有办法去及时恢复咱们在被勒索后的啊对应的这样的一个数据来源，同时我们也可以选择这个重要资产去进行数据备份，然后呢，可以按照咱们对应的这样的一个，呃，不同的时间的敏感的这样的一个频率，去进行对应的这样的一个及时的备份。

然后在事后呢，我们可以在产生对应的这个勒索事件之后，去盘点咱们的资产和暴露面，然后梳理对应的这个入侵点和攻击手法，及时的发现咱们目前资产所存在的一些问题，有哪些是及时需要提升咱们安全机械水位的啊这样一个现象，可以根据遭受勒索的攻击影响相关设备数据和备份情况去综合，去按照咱们的时间成本和重要因素，确定咱们的这样的一个范围和数据版本，去利用备份数据进行数据恢复，同时呢，对受影响的系统可以进行全面的安全评估，去修复对应已知的漏洞和防止未来进行的攻击。同时我们还可以针对咱们现有的这个应用机械，可以及时的对咱们的员工去进行培训和教育，从而提升咱们整体的认识，根据对应的，根据对应的攻击事件呢，及时的去总结咱们的这个经验教训，根进和优化咱们的安全策略，从而呢进行。

行，咱们整个应急响应流程的这样的一个全面优化。OK, 这部分就是给大家从事前事中事后，针对咱们云上的四道防线，对整个的勒索的这样的一个事件最佳实践去进行了分享，啊，我这边的分享就结束了。

主持人，好的，谢谢，感谢王老师，也再次感谢我们今天三位老师精彩分享啊，接下来呢，就让我们进入到今天的QA环节，请啊，有请我们两位老师来给我们解答现场观众提出的问题，那首先我们来看第一个问题，嗯，我们线上的观众问到事后做勒索病毒的实现检测这个应急场景，咱们有没有对应的批量检测解决方案，还是只有适中运行时的手段？嗯，看看两位老师哪一位来帮我们回答一下，嗯，这位观众的这个问题。嗯。方老师，那那啊王磊老师，嗯，好，那我先来吧，就是首先咱们现有的这个问题呢，我们在适中的时候会根据咱们的主机安全去检测它对应的路径，然后呢，去针对咱们的这个呃发现的一些攻击路径，去进行对应的一个呃策略出比如说发现对应的这样的一个问题，可以设置咱们的这个呃对应的诱饵文件，然后实现对应的这样的一个提前的呃解决策略，然后呢，同时可以去通过我们的漏洞防漏洞防御措施，并且呢，检测出我们这个进程中啊产生了什么样的风险，然后去对应的进行综合的管理，然后看一下登峰老师这边有没有什么补充。

嗯，好的，我补充一下，就是刚才我们也介绍了很多关于适中防御的这个手段嘛，包括一些纵深防御的这种能力，实际上刚才那个这位用户提到的事前检测这个肯定是有了，因为呃，我们刚才也讲的勒索病毒在终端测的攻击的这种方式，所以其实你可以通过一些策略的配置来及时的发现你的这个终端是否开启了高危端口，或者说是否有更新当前的病毒库，或者说你有没有开启一些这种高危的服务，通过这种方式来提前去发现你潜在的入侵的这种口子，然后及时的把这些口子堵上了之后，其实勒索病毒就很难去通过这种方式攻击进来，所以其实事前它更多我们也会提供一些策略来做到预防的工作，然后再配合适中的这种防御去共同的解决这个问题。

好的，感谢两位老师的回答，我们看一下现场观众的第二个问题，问到IOA代表什么？嗯，两位老师，看看谁来帮我们，呃，我这个我来回答吧，因为这个本来也是我负责的产品，呃，哎，我也是这样的，就是刚才我在那个演讲材料里面也分享了这个产品，它其实是腾讯内部基于内部的实践，然后打磨了之后，面向我们的这个to b市场用户推出的一款办公一体化的这么一个终端安全产品，它其实是包含了零信人接入，防泄密，然后终端防病毒，终端检测与响应等多个功能模块的一个端点产品，但今天我们提到的这个主题其实是防勒索嘛，所以我着重的去介绍了IOV这款终端安全产品在防勒索这个层面上所提供的安全能力。那么LV这个名字呢，因为其实啊这个点您问的也很好，我不知道您是不是想问这个名字啊，就是因为早期的时候这个，呃，腾讯内部大概在2010年左右的时候，我们其实也用过一些国外厂商的这种终端安全产品，我们最早做这个产品其实是为了去做替换，就是为了让腾讯内部去替换以前国外的一些。

呃，杀毒产品到后面大概在2012年左右的时候，我们是，呃，因为当时那个这个这个这个iPhone啊，包括这种iPod啊就很出名嘛，然后当时我们最终反正内部也是终结了这个名称最终定下来啊，我们内部的这么一个端点安全产品就叫LV，所以基本上啊，它也是成为了我们内部腾讯内部以及我们对外啊的一个呃名字的一个标签了啊，所以这是LV的一个核心能力和名字的由来。嗯，好的，感谢东风老师的详细解答。那下一个问题，现在很多用户都会做数据备份，那么针对已经备份的数据，如何保证我所备份的数据全部都是安全的呢？也就是说如何判断备份数据都是未被加密的数据？

两位老师，看谁来帮我们回答一下。我是这这个这个问题我不知道他是不是有什么别的，因为用户如果他当前有自己的备份的话，不管是他备份在本地还是备份在云上，实际上它是可以去看的，它不是说备份了是一个黑盒，它是个白盒子，对吧？你自己可能做了一个定期的这个增量备份也好，全量备份也好，那这个数据你其实可以定期去查看它到底是什么样子，所以如果你只是想直观的看到它是否被加密，那这个你肯定是有途径去直直观的看到的，但你如果是想确认说我当前所存的这个备份，它是不是足够安全，因为攻击者他也有可能通过呃攻击你的内网，然后把你备份的那个数据也给你销毁了，对吧，或者也给你加密，也可能存在这样的情况，如果你关心的是这样的情况的话，那可能就需要，呃，针对咱们用户内部当前的企业安全的现状，一般备份数据它会独立的部署在一个比较呃高级别的隔离区里面，对吧，你可以理解他们在一个独立的网络区域里面，所以他可能。

跟我们很多用户的普通的终端和服务器主机它都是不互通的，所以它的正常情况下来讲，你看你当前的自己的一些安全手段，包括你的云防火墙，你的云buff，然后你的主机安全，你的端点安全，这一层层到底是怎么去构建的，那么通过这种方式可能才能够去评估出来你当前的备份数据是否有有足够的安全级别啊，但这个我们很难去一下给一个非常明确的标准啊，当然这个那个，呃，王磊也可以再补充一下关于这一块的这个内容。嗯，对，其实刚刚老师讲的差不多了，我觉得主要还是看自己对于整个资产的一个盘点情况，特别是对于自己的重要资产，其实做主要的备份就好了，呃，这里其实可以利用一些资产扫描的这样的一个手段啊，比如说针对于这种自己API资产的一个这种关键的扫描，扫描出来之后我们针对重要资产去进行备份就OK了，如果说进行了这种镜像和快照的备份之后，那一旦遭受到勒索攻击，就可以进行快速的恢复，这里其实我觉得主要是关注自己的核心资产了，对。

好的，感谢两位老师的解答和补充，那我们看下一个问题，嗯，观众问到啊，经过了解来看，那基本都是通过幼儿文件的形式来检测勒索，那么如何来体现不同厂商之间的差异呢？比如腾讯名的幼儿文件的检测效率如何区分于其他厂家的这种机制呢？检测能力是不是主要还是依赖杀毒？呃，其实幼儿文件的这个检测原理大同小异啊，那在这里其实我们主要不同厂家的区别就是在于对于这种呃恶意文件的检测的准确率和对应的检测引擎的准确率这两块的一个差异，那其实腾讯安全在这里主要的一个积累，就是我们通过这种呃20多年的这个咱们线上在线以及咱们其他用户的一个这个充分的实际事件的一个储备啊。

所以说我们目前的检测率是保持在这个业内都是一线的，所以说使用这个腾讯安全引擎呢，我们可以去通过测试发现呢，啊，99%以上，或者说啊，绝大多数的我们都可以快速的进行响应和发现了，对。然后这里可以可以等会老师也可以补充一下。呃，是的是的，因为刚才那个我的片子里面其实也提到了I呦V有这种这种勒索的主动防御的这样一个机制，呃，刚才王磊老师也说了嘛，大家的这种检测机制和原理，其本质都是啊，通过诱饵文件来实现一些主动的防御，来补齐我们这种纯被动式的检测的这一个能力，所以如果要谈到和友商之间的差距的话，我觉得还是要综合来看，因为呃，本质上勒索病毒它其实也是病毒对吧，所以如果能够简单的依靠杀毒引擎就能够杀掉，那一一定是最简单的，甚至用户都不会有很强的感知啊，但是可能也会有一些这种比较高级安全的这种威胁，就是比如说以前没怎么见过的啊，或者一些这样的异常行为，那这个时候可能就能够体现出厂商的这种能力高低了，那具体的这种差异性怎么去直观的看到呢？我觉得一方面可以去设计一些比较呃神乳，当然这个也可以请厂商协助啊，去设计一些这样的po的，这样就就是测试的用例去验证，另外一方面呢，就是也可以通过这样的实际测试来看。

看到每个厂商在实际的场景下面，他对功能的思考和对用户体验的思考，到底是呃，是否去适用于这个用户的实际场景需要啊，因为包括刚才其实我和王磊老师也都提到了一些特色嘛，包括像腾讯LV我们提供的这种文档守护者这种兜底的功能，其实它就算是我们去构建的一些特色的亮点，在方格所这个层面上，所以呃，你如果要说直观的去和有效比较这样的优劣势的话，我觉得从刚才我们所讲的这些点上去对比会更加合适一点。

好的，谢谢，我们看下一个问题，IA能够做到文件推送到服务器的功能吗？有的时候会有一些专项的检测工具，要上工，要上机去跑工具。呃，哦，这个因为是我的产品，我就来回答了，呃，LV其实更多的还是面向这个终端的一个安全产品，所以它实际上呃，我们不会去主动设计像服务器推文件的这么一个功能，但是他提的这个需求在某些场景下我们可以用一个功能来实现，就是我们在产品里面做了一个呃，远程桌面的功能，实际上这这个功能最早也是源自于内部的研发人员，他需要回家了之后还要敲代码，他要需要去连这种远程桌面，所以腾讯是自研的这么一个功能模块，那这个功能呢，其实也可以在服务器，尤其是像Windows server这样的服务器上面去装，所以如果两台电脑上都安装了L啊，就是电脑上和服务器上面都安装了LV的话，这种场景是可以去推的啊，但是这个场景本质上并不是我们呃所主推的场景，我们其实还是更多的面向于终端。

嗯，好的，感谢，那再一次感谢我们的两位老师，我们今天的问答环节到这儿就结束了，那时间过得很快，我们本次的课程啊进入到了尾声，再次感谢所有朋友对我们的参与和关注，我们下一次课程再见。