就**你叫勒索攻击啊！

回顾近一年，几乎可以用“勒索攻击大狂欢”来形容。全球勒索攻击次数近5000起，相比同期增长近一倍。据Garter预测，到2025年，将会有75%的组织至少面临一次勒索攻击；同时，我国遭受勒索攻击的频率也将明显增加。

报告显示，有近50%的企业最终选择向攻击者屈服，支付赎金。但这并不是结束，攻击后的恢复成本和由此导致的停机、声誉等损失可能是赎金的10到15倍；从攻击中恢复过来所需的平均时间为30天，对业务收入、运营能力、品牌形象等造成巨大负面影响，甚至需要承担数据泄露的法律后果。

频繁的攻击、严重的破坏、巨大的损失，已经逐渐成为业界对于勒索攻击的普遍认知。而与之对应的，却是鲜少听见对于勒索攻击的有效发现、应对，抑或对文件的成功解密。

勒索攻击真的这么无解吗？企业就只能乖乖交钱或是放弃数据？

勒索软件的攻击流程其实非常简单直白：先植入，再潜伏，找准时机发难，成功后加密，最终卷钱跑路。

乍一看，应对起来似乎并不复杂：在植入时及时抓住，在潜伏时准确找出，在攻击时强力阻止，在加密时成功破解，问题就能够得到完美解决。那既然这么简单，为什么还有这么多企业中招，并且很多都是在网络安全部署上投入重金的顶级豪强？

因为，如果我们用事前（植入）、事中（潜伏、攻击）、事后（加密、勒索）来分析攻击流程，就会发现几乎每个环节都有企业无法应对的痛点。

首先是事前。攻击者绕过安全防护的手段非常丰富，安全漏洞、钓鱼邮件、仿冒网站、移动介质、软件供应链等，都是其可以利用入侵的途径。但对于企业来说，漏洞管理、员工安全意识、资产暴露面监测等都是长期以来的各种痛点；且传统的应对方式往往需要投入较多的人力资源，也承担着较重的经济成本。

其次是事中。成功植入后，勒索软件往往会进入漫长的潜伏期，平均时长超过200天。在确认能够“一击必杀”后，攻击者展露獠牙，平均仅需要不到2个小时，就能够获取权限并加密文件。时间之短让企业防护几乎来不及反应，且人工响应的效果也容易受到人员技能、在岗状态、精力、处置经验等因素影响。

最后是事后。面对攻击者的勒索，企业不仅要面临业务中断带来的持续损失，还要承受即使缴纳赎金依然会被拿钱“撕票”的风险，核心资产最终遭到极大破坏。而企业往往缺乏足够的溯源分析能力来定位被加密的资产信息和数量，无法及时有效备份，缺少谈判筹码；且在勒索事件后也难以开展有效率的漏洞整改、补丁修复等工作，亡羊却不能补牢，防护能力始终停滞不前，只能在下次遭遇攻击时重蹈覆辙。

要知道，随着AI的深度应用，勒索软件的攻击速度、规模、成功率、破坏性都已经得到了极大的提升，且成本大大降低。与之相对应的，是传统安全防护还高度依赖人工的不对称应对水平，以及处理勒索攻击所需付出的高昂成本。

因此，应对勒索攻击，实际上就是解决上述痛点的过程。

有效应对勒索攻击，企业需要在事前做好重要数据的备份，部署标准化，较为全面、完整的检测机制，及早发现，快速响应；在事中第一时间阻断隔离，快速通知安全人员进行处理，协助其调查取证；在事后准确溯源分析，加强对重要数据的保护和备份，并将漏洞整改落实到位，避免悲剧重演。

因此，企业当务之急是升级传统安全防护模式，提升自动化水平，减少人工依赖；并且这个过程要避免额外增加企业在资金、人力等投入上的负担，同时降低勒索攻击的应对成本。

那么，作为自动化响应技术的典型，SOAR（安全编排与自动化响应）同时具备安全编排与自动化、安全事件响应平台以及威胁情报平台，能否有效提升对勒索攻击的检测和响应效率？

SOAR的应用价值在于，可以自动化协同多个安全工具处理常规性威胁信息和事件，并实现对威胁情报的全生命周期支持。

SOAR平台具有警报处理能力和攻击事件管理能力，其每日会收集到成千上万个网络攻击指标以及大量的相关事件和数据，通过SOAR平台的协调、汇总和挖掘，可以精准发现攻击类型和关键威胁，缩短威胁检测和响应的总体平均时间。这在面对小时甚至分钟级的勒索攻击时至关重要。

此外，围绕SOAR的跨工具协调能力，用户可以自动化地快速处理大量漏洞，并实现漏洞监控和响应。同时，由于其可以利用多个数据源或查询不同的威胁情报工具来获取威胁上下文，SOAR可以节省事件响应中必需的关联性数据检索时间，从而可以更快速地获取大量的IP、URL和散列信息以检查恶意威胁。在遭遇勒索攻击时，用户可通过SOAR实现快速响应，及时应对受感染主机或恶意软件植入，还可以对攻击路径进行溯源分析，发现关键漏洞，减少同类安全事件的发生。

在威胁情报方面，由于SOAR可以实时抓取并整合全球威胁情报，因此可以将这些情报与内部数据进行比对分析。在面对勒索攻击或其他常见攻击方式时，可以利用SOAR快速匹配，并利用预编排剧本采取处置措施。

在具体的实践流程中，雾帜智能的HoneyGuide智能风险决策系统给出了答案。

事前，HoneyGuide实现了数据备份＋安全加固验证。HoneyGuide将应对勒索攻击的工作流程标准化，并将其编排成可视化的剧本。在对备份文件检查时，可以人工或自动触发剧本，对检查流程进行可视化审查，并在发现异常情况及时干预。

基于这种模式，HoneyGuide可实现低人工（1个）、低频率（每周1—2次）、低时长（使用后定时1—3分钟）完成全部数据备份核查。对于传输失败、文件校验失败等异常情况，HoneyGuide可以进行重试或通知。

事中，HoneyGuide实现了阻断隔离＋快速通知＋调查取证。通过HoneyGuide联动各类安全设备，在事中可以采用人工或自动等方式立即开展应急隔离，并识别和判断不同的风险资产标签和属性，定制不同的封禁隔离逻辑。

目前，HoneyGuide实现了感染主机分钟级隔离，并响应过程全面自动化、标准化，降低人工因素影响。此外，还可以根据需要定义更加完善的响应过程或事后跟进剧本逻辑。

行业最佳经验：某客户使用了蔷薇灵动微隔离解决方案，在此基础上结合SOAR，可以实现受感染的精准隔离，并将隔离风险降低到最低。蔷薇灵动微隔离方案不仅可实现南北向流量拦截，更可以在IDC服务区实现主机间东西向阻断，对风险主机实施外科手术式的精准隔离。

事后，HoneyGuide实现了溯源分析＋报告整理＋漏洞整改。HoneyGuide将安全事件转换成运营流程，借助可视化流程工单和剧本协同处置。与资产管理、漏洞扫描产品对接后，可以在事件处置流程中增加资产适配，漏洞扫描等工作，并自动化落实。最后，还能够实现人员培训通知以及安全漏洞的生命周期管理，落实安全运营。

基于此，HoneyGuide全面降低了对人员操作的依赖，对漏洞和风险实现闭环管理，并实现了人员和系统的数字化调度和管理，最终实现了全面降本增效。

在威胁情报方面，HoneyGuide可以通过获取SIEM告警批量文件、剧本解压缩并拆分、循环处置告警文件并摘取IP、域名、URL等、调用并查询威胁情报、整合结果并回传SIEM、增加逻辑编排并形成剧本等关键步骤，解决情报批量识别和降噪的问题。

此前，雾帜智能与安天共同推出了安天XDR+雾帜SOAR联合解决方案，安天XDR结合终端、网络、情报、资产等扩展信息，输出精准的告警，让雾帜SOAR响应策略更加有针对性，自动化流程更加顺畅。

勒索攻击的威胁日趋严峻，每一家企业都需要做好充足的准备。而SOAR就是企业应对勒索攻击的“利器”，通过它，企业不仅可以解决上述痛点，还能够进一步优化应对策略和流程，并延伸至任何攻击模式。

目前，雾帜智能旗下产品HoneyGuide智能风险决策系统已经实现了AI+SOAR的结合，通过虚拟作战室、AI机器人和可视化剧本编排，帮助安全团队加速威胁响应与处置，提升运营自动化，实现风险自适应治理。