100%免疫数据勒索解决方案

勒索事件层出不穷，杀伤力势不可挡，本月，两起国际性勒索攻击事件相继发生，引发严重后果，引发各方极大震荡。本文将站在“数据运行环境安全”防护的全新视角，谈谈勒索攻击应对之道。

1、事件回顾事件1:当地时间5月7日，美国最大的成品油管道运营商Colonial Pipeline受到勒索软件攻击，被迫关闭其美国东部沿海各州供油的关键燃油网络。美国宣布进入国家紧急状态，各方表达了对美国关键基础设施脆弱性的担忧。另外，黑客组织偷窃了近100GB的数据，并威胁称如果没收到赎金，就会将这些数据泄漏到互联网上。事件2:据BBC报道，当地时间5月14日，爱尔兰卫生服务执行局（HSE）宣布遭受“重大勒索软件攻击”，随后关闭了其计算机系统。（此次突如其来的攻击，令新冠疫苗的在线注册网站目前无法运行，令爱尔兰新冠检测结果报告延迟，令密切接触者的追踪也需要更多时间。疫情防控关键时期，黑客瞄准“关键的”医疗基础设施机构，给了爱尔兰最“致命”的一次攻击。）HSE负责人直言这是一次“严重和复杂的”试图破坏HSE的IT系统的勒索行为。在Red Balloon Security公司CEO Ang Cui看来，这类关键基础设施攻击活动中，问题的关键在于运营方没能事先隔离或保护这些系统，供应商在设计之初没有考虑到如何保证设备安全，给后续补救造成巨大障碍。

2、威胁现状尽管网络安全建设逐步成为组织机构战略设计的重要部分，企业的安全意识也在不断提升，但因勒索软件造成的数据泄露事件仍逐年加剧，不仅阻碍了企业的正常运营生产，还会带来巨额财产损失或引发严重信任危机。

据统计，2020年勒索软件攻击事件已突破历史最高点，几款流行的勒索家族已经攻陷了全球数百家知名的大型企业，越来越多的黑客组织使用勒索软件对企业发起攻击。安全机构研究表示：勒索软件在2020年最疯狂，攻击规模和频率以惊人的速度增长，并且目前大部分流行的勒索病毒是无法解密的。据Group-IB研究人员的报告，仅在过去一年，全球勒索软件攻击次数就增长150%以上。

3、事件分析从上面两起事件看，可以明显发现组织的关键信息基础设施安全建设，力有不逮。

勒索攻击的目的非常明确——获取或破坏数据，黑客攻击瞄准了组织的核心资产——数据，数据已然成为其“生财之道”。数据保护的重要性可见一斑。防止数据泄漏最直截了当的应对方法是做好数据加密等防护工作，但如果仅局限于数据加密，就会落入单点安全的窠臼，无法从根本上解决问题。

因此，要从数据保护的传统思维中跳出来，找到关键基础设施保护的重中之重，即再往前多想一步——守护好关键基础设施的保护的最后防线：主机安全。组织要建立全面的网络安全防护体系，需要从物理、网络、主机、应用、数据等各层面保障关键信息基础设施的安全。对于关键基础设施保护，安全是核心战场，主机则是最后防线。作为IT系统最后一道防线，主机系统一旦失守，宛如城门失火，势必殃及池鱼（数据）。主机作为数据运行的环境，主机安全还有另外一个名字：数据运行环境安全。

4、应对思路：打造可信数据运行环境一旦明确了勒索病毒的目标在数据，而主机作为数据安全的最基础的第一道防线，应该被企业视为对抗勒索病毒时的核心防护目标。这就要求组织绷紧安全这根弦儿，加强技术性管理策略及防范手段。

放眼安全市场，当前主流数据安全解决方案、数据安全治理方案，往往执着于对数据本身做安全防护，未考虑数据运行环境的安全保护，而导致事故频发。对组织而言，构建一套完善的数据安全保障体系，需要从分步落地，数据运行环境的安全（主机安全）作为数据安全的基础，是其中重要的基础要素和先决条件。具体到构建数据运行环境保障体系，其技术思路为，针对数据的载体——大数据系统、数据库系统、文件系统、存储系统等的操作系统层进行可信技术安全保障，技术落地步骤依次为：1）建立数据运行环境安全管理中心，为复杂系统运行环境提供保障2）打造可信的基础运行环境，形成系统防护壁垒3）完善身份认证与权限管控机制，实现数据安全三大特性保护4）实现运行环境的可信防御，赋予系统主动防御能力

5、应对方案：构建数据安全防护“新基建”今天，我们重点谈怎么通过做好数据运行环境安全防护工作，有效规避勒索攻击事件。首先，先了解数据运行环境安全为什么重要？

数据运行环境安全是所有保障数据可用性、完整性、保密性的系统环境安全因素的总和，如数据运行环境的可信保障、数据运行环境的风险检测与分析，数据运行环境的可信防御、数据的访问与操作权限管控、数据资产的防病毒、防黑客攻击等。数据运行的地基不稳，上层数据安全技术就沦为镜花水月，不堪一击。这就好比人的免疫系统被破坏而感染病毒，即使身体穿再厚的防弹衣、拿再多的武器，也于事无补，如果不转变思路来应对从内而来的威胁，那就只能等待死亡的降临。

专家建议，面对勒索攻击威胁，除对核心数据进行加密处理，应将主机视为主要阵地，采用可信计算的技术思路进行围追堵截，一劳永逸解决勒索病毒带来的安全威胁。具体应对思路可分五步走：

1）围——建立可信的基础运行环境建立可信的数据运行环境，将勒索病毒围在包围圈。利用可信计算理念和技术，能够确保登录系统的用户是可信的、系统运行的程序是可信的，通过学习建立可信基线，防止勒索病毒攻击、非法用户、进程及已知或未知攻击行为。专家建议，引入专业的数据运行环境增强系统，利用可信计算、机器学习、行为分析等技术，对系统运行环境的整体安全状态进行全面监控，洞察影响主机安全的多方面因素，及时发现安全隐患并予以处置，为主机提供可信的基础运行环境。系统基于可信度量技术形成系统免疫能力，实现：1）在内核层对可执行程序以及用户行为进行精准控制，确保合法的用户、合法的进程，合法的访问文件；2）主动免疫系统防御机制提供执行程序实时可信度量，阻止非授权及不符合预期的执行程序运行，实现对已知/未知恶意代码的主动防御；3）支持安全事件分析还原，在满足网络安全相关标准的同时，全面提升主机安全主动防御能力，全面洞察、精准管控和敏锐反馈。

2）追——加强对数据运行环境中核心文件、进程的保护系统开启程序可信执行控制、文件强制保护控制功能，提供对文件属性（权属、时间、权限三类）的保护，追溯对勒索病毒从落地-启动-阻止全过程，让我们不但及时发现勒索事件，并真正防御勒索事件，真正防止关键文件、数据库、系统文件被勒索病毒加密，如此一来，即使勒索病毒入侵落盘，也无法启动、破坏或加密受保护文件，真正实现抗勒索威胁。

3）堵——加强身份认证与权限管控机制系统开启身份认证、访问控制、进程保护、完整性保护等功能，堵塞勒索病毒进入渠道，根据业务访问需求授权进程对数据文件的访问权限，确保受保护的文件不被其他进程违规访问；系统同时支持设置进程对授权文件以外的文件访问权限，强制限制进程只拥有合理的业务访问权限。即便用户由于误操作或被欺骗，运行了勒索病毒，为此病毒赋予了可执行权限，系统也可以通过为数据文件指定合法的访问进程，阻止病毒破坏关键数据，真正实现勒索病毒“进不来、拿不走、改不了”。

4）截——加强应用程序的合法性管控系统开启应用程序的“黑白灰名单”机制，拦截勒索病毒的自动化运行。防止非法或恶意进程的启动和运行。管理员可以自定义应用程序白名单和黑名单，在应用程序启动运行过程中通过完整性度量，确定应用程序（包括其调用的其他PE/ELF程序）是否为授权启动。系统还可以根据用户配置选择是否进行严格管控，如阻断所有非白名单中的应用程序启动运行；在非严格管控模式下，允许灰名单中的应用程序启动运行。无论哪种模式，均可以进行启动运行记录审计。

目前，国内数据安全领域的厂商无论是在产品研发层面，还是在技术应用层面，亦或是治理咨询服务层面，鲜有对数据运行环境安全提出成熟想法和辅助落地的。原因主要两方面：第一，过于聚焦在细分产品领域的深耕，没有在数据驱动安全的理念上做更开阔的横向拉通。第二，数据运行环境安全的落地，需要对操作系统研究和架构、可信计算技术等有深刻理解，有着很难逾越的技术壁垒。

云集至作为一家专业的数据安全产品与服务提供商，在国内率先提出“数据运行环境安全”这一概念，并且将这一理念推向市场，解决了客户数据运行环境下的安全、稳定需求，赢得了认可。目前公司面向政府、金融、企业等行业客户，提供可信技术架构下的全资产安全治理与防护，目前公司业务重点放在了持续实现可信计算技术、大数据安全技术、非结构化数据安全技术的经验积累与技术创新突破上。

6、结语：从我国现行网络安全法律视角来看，网络安全法明确要求，采取防范计算机病毒和网络攻击、入侵等危害网络安全行为的技术措施，防止网络数据泄漏或者被窃取、篡改。等保2.0也将安全计算环境、安全管理中心为安全通用要求，必须予以保障。一旦明确了勒索病毒的目标在数据，而数据运行环境作为数据安全的最基础的第一道防线，应该被企业视为对抗勒索病毒时的核心防护目标。这就要求企业绷紧关键信息基础设施安全这根弦儿，加强技术性管理策略及防范手段，引入具有领先技术和成熟防护功能的主机安全类产品，对症下药，构建可信的数据安全运行环境，有效解决勒索软件带来的安全隐患，提升组织安全建设水平。