防范勒索软件攻击，我们需要构建怎样的护城河？

勒索软件泄密网站首次出现于2019年，Maze勒索软件是第一个通过建立泄密网站来胁迫受害者并发布被盗数据的已知勒索软件组织。此后，勒索软件组织越来越多地在行动中采用泄密网站。

派拓网络发布的《2024年勒索软件回顾：Unit 42泄密网站分析》报告（以下简称《报告》）指出，2023年观察到勒索软件泄密网站发布了3998个帖子，同比增长了约49%。

Palo Alto Networks（派拓网络）大中华区总裁陈文俊表示，随着网络攻击规模与攻击速度越来越快，网络攻击造成的影响越来越大，特别是生成式AI的流行，使得攻击门槛越来越低，攻击方式的迭代速度也越来越快。

通过研究泄密网站相关的数据变化，可以确定勒索软件活动的总体水平和判断某个勒索软件组织首次活跃的日期，深入了解勒索软件的威胁程度和最新趋势。

从组织分布来看，在2023年的泄密网站帖子中，LockBit勒索软件仍然最为活跃，有928个组织，占到总数的23%。LockBit自2019年开始活动以来几乎没有中断，已连续两年成为最猖獗的勒索软件组织。从帖子数量变化和活跃度来看，勒索软件组织在2023年平均每月产生333个帖子，相当于平均每周发布近77个帖子，较2022年有所增长。2023年泄密网站报告数量最多的月份是7月，共有495个帖子；2023年1月和2月是勒索软件最不活跃的月份。

Palo Alto Networks（派拓网络）大中华区售前总经理董春涛表示，勒索软件攻击已由小众领域扩展至泛行业领域，几乎遍及所有行业，首当其冲是制造业。

《报告》显示，制造业受勒索软件的影响最大，占到帖子总数的14%。这是由于制造商对其运营技术（OT）系统的可见性通常有限，往往对网络缺乏足够的监控并且有时未能落实最佳安全实践。

“尽管许多头部的制造业企业已经做了很多安全防护措施，但由于其庞大的设备和系统基数，同时对于生产线极高的连续性要求，仍旧受到日益严重的安全威胁。” 董春涛表示，“而且这些制造业企业一旦被勒索以后，其损失也是非常大的。”

面对日益严峻的网络安全威胁，传统依靠网络边界构建安全防御体系已经无法有效应对威胁，这也已经成为业界共识。

在网络安全领域，从来没有100%的安全，在防勒索方面同样如此。尽管如此，我们依旧能够采取多种措施，从最大程度上防范勒索软件攻击。对此，派拓网络提出八大建议：

一是落实深度防御策略，包括创建多个安全控制层来共同提供针对潜在威胁的重叠保护。二是制定事件响应计划并根据网络安全专家的意见不断审查、更新和测试该计划，以便更好地应对攻击。三是确保攻击面的完全可见性，这有助于在漏洞被利用之前发现并减轻其影响。 四是在全企业范围内落实零信任网络架构，从而创建能够防止或限制攻击者在网络中横向移动的安全层。五是通过落实云安全计划和平台实现综合全面的云本地安全性，保护云基础设施和应用。六是将MFA作为一项技术控制和安全策略，对所有用户强制执行。七是落实最小权限原则，最大程度地减少安全事件的影响。八是利用AI和自动化的力量实现现代化安全运营并减轻分析人员过重的工作负担。

派拓网络强调利用平台化思路应对复杂多变的安全威胁，通过整合网络安全平台、云安全平台，安全运营平台，帮助客户更好地解决未来的安全问题。例如，通过内置云端安全服务（包括Advanced WildFire、DNS Security、Advanced Threat Prevention和Advanced URL Filtering）的下一代防火墙，防范从网络层至应用层的勒索软件威胁；Cortex Xpanse可检测易受攻击的服务；Anti-Ransomware Module可帮助防范加密行为，通过本地分析阻止勒索软件二进制文件的执行；Prisma Cloud Defender Agents可监视Windows虚拟机实例中是否存在已知的恶意软件。

特别是进入智能时代，利用AI手段实现自动化安全运营，将成为安全防御的重要技术支撑点。派拓网络以AI驱动网络安全平台、云安全平台和安全运营平台，做到网络、云、端点之间的关联、联动防护，帮助客户实现对威胁的预防、检测与阻断。

“未来三到五年，平台化AI驱动主动防御是一个趋势，网络安全市场也会整合，从几千家最后整合成几家龙头企业。”陈文俊认为，“我们相信派拓网络正在引领网络安全市场，带动平台化的发展，帮助客户更好地解决未来安全问题。”

（本文不涉密）