据国际权威咨询机构最新发布的2025年中威胁情报报告,全球网络安全环境正经历前所未有的急剧恶化。攻击规模、频率和复杂度的爆炸式增长,使得传统防御手段捉襟见肘,企业核心资产与业务连续性面临巨大风险。
一、凭证窃取:攻击链的致命起点
当前网络威胁的核心驱动因素之一是信息窃取恶意软件(Infostealers)的猖獗活动。2025年前六个月内,此类攻击激增800%,感染主机数量高达580万台,导致惊人的18亿条用户凭证被盗。尽管执法机构持续打击,Lumma、Redline等老牌窃密软件依然活跃,同时StealC、Acreed等新型变种不断涌现。这些失窃的凭证成为后续攻击的跳板,直接引发了数据泄露事件的激增,同比飙升235%,导致94.5亿条敏感记录暴露。值得注意的是,近78%的泄露事件直接源于利用失窃凭证进行的未授权访问,专业服务、医疗保健、金融、制造和信息行业成为重灾区,核心数据资产面临严重威胁。
二、漏洞洪流与防御滞后:构建攻击的温床
与凭证窃取相伴的是漏洞利用风险的急剧攀升。2025年上半年,新披露的漏洞数量激增246%,总量突破20,000个。更令人担忧的是,公开可用的漏洞利用代码(Exploits)同步增长了179%,这意味着35%的新漏洞在披露时即已存在现成的攻击武器。然而,防御者面临着严峻挑战:美国国家漏洞数据库(NVD)积压了42,000个待分析漏洞,CVE信息严重延迟,导致企业无法及时了解关键风险,对大量高危漏洞“视而不见”。这种漏洞信息的洪流与防御响应的滞后形成了巨大的安全缺口,为攻击者提供了充裕的利用窗口期。
三、勒索软件肆虐:三重威胁的终极体现
作为攻击链的最终环节,勒索软件攻击在2025年达到了创纪录的水平,事件数量飙升179%。制造业、科技和法律行业遭受的冲击尤为严重。Clop等勒索组织通过大规模利用Cleo等流行软件的漏洞发动了史无前例的攻击,而Akira、Qilin等新兴团伙则迅速填补了LockBit等老牌组织衰落后的市场空白。尽管面临全球执法压力,勒索软件即服务(RaaS)模式依然在全球范围内蔓延肆虐,美国首当其冲,记录在案攻击高达2160起,全球企业持续承受着业务中断、数据加密勒索和声誉受损的巨大风险。勒索软件179%的飙升和由此引发的数据泄露235%的激增,清晰地揭示了恶意活动的规模已不容忽视。面对凭证窃取、漏洞利用、勒索软件交织形成的“致命三角”威胁,被动、碎片化的传统防御策略已然失效。海量威胁信息远超人工响应能力,攻击窗口期急剧缩短,攻击面持续扩大,企业亟需升级防御范式。报告明确指出,有效防御必须转向更主动、智能、高效的体系:这需要高级威胁情报驱动精准决策,提供可行动的前瞻性洞见;需要主动的身份保护与凭证监控,严防失窃凭证滥用;需要基于风险的智能化漏洞管理,优先修补具有已知利用代码、可远程利用且存在可靠修复方案的关键漏洞;更需要针对勒索软件的全链条专项防护能力。
由于勒索病毒多样的传播方式,使用单一的安全产品或单一的技术手段(如防火墙、IPS、杀毒软件)面对勒索病毒的入侵时,往往面临“排查难、抑制难、溯源难、恢复难”四大问题,特别是新型的病毒,一旦某一点被突破,则会直接碰触到用户的核心业务系统及数据。因此,勒索病毒的防护必须建立起“层层阻击,集中管控,预防为先,防治结合”的纵深防御立体化病毒防护体系。
六方云在深入分析勒索病毒传播方式和攻击路径的基础之上,结合业内勒索病毒防护的最佳实践经验,围绕评估预防、监测防护、应急处置三个环节,采取产品+服务结合的措施对勒索病毒进行全生命周期的防护,通过提前切断病毒传播路径、实时监测网内异常行为、快速响应客户突发事件,最大限度的减少勒索病毒对企业造成的损失。如图2所示:
六方云勒索病毒防护方案技术框架
本方案的设计主要依据工控网络安全“积极预防、垂直分层、水平分区、边界控制、内部监测、统一管理”的总体策略,逐步构建起勒索病毒的事前安全评估与预防、事中安全防护与监测预警、事后应急处置与加固的全生命周期立体化纵深防护体系。
首先对整个系统进行全面的风险评估,掌握系统的风险现状;然后通过管理网和生产网隔离以及访问控制来确保生产网不会引入来自管理网的风险,保证生产网边界安全,并在各中心内部的工业控制系统进行一定的监测、防护,保证各中心内部安全;最后对整个工业控制系统进行统一安全态势呈现,将各个防护点进行统一管理组成一个全面的防护体系,保障整个系统安全稳定运行。
通过事前评估预防,用户可及时了解现有网络存在的各类潜在风险,在安全事件发生前帮助用户及时发现并修复潜在业务威胁风险。
1. 制定网络安全应急预案。建立企业内部涵盖勒索病毒攻击等网络安全突发事件的应急响应机制,明确应急组织体系、职责分工、应急流程等。一旦发生勒索病毒攻击事件,立即启动相应网络安全应急预案,并按照预案要求及时开展应急处置工作,确保有效控制、减轻、消除勒索病毒攻击影响。
2. 关键系统和数据定期备份。目前流行的勒索病毒类型主要为文件加密类勒索病毒、数据窃取类勒索病毒、系统加密类勒索病毒和屏幕锁定类勒索病毒,无论何种类型,攻击者最终目的都是通过对用户最重要的资产“数据”实施安全威胁,以此来恐吓用户支付高额赎金。
因此,用户需要根据文件和数据的重要程度分类分级进行存储和备份,如主动加密存储重要、敏感的数据和文件,防范利用勒索病毒的双重或多重勒索行为,并定期采取本地备份、异地备份、云端备份等多种方式进行数据备份,增加遭受勒索病毒攻击且数据文件加密、损坏、丢失等情况下恢复数据的可能。
3. 定期评估风险,及时修补漏洞。攻击者通常利用远程代码执行、系统策略配置不当等系统漏洞,攻击入侵用户网络,或利用已公开且已发布补丁的漏洞,通过扫描发现未及时修补漏洞的设备,利用漏洞攻击入侵并主动传播勒索病毒。
因此,用户需要定期对网内的安全风险进行系统评估,排查资产暴露情况,按照最小化原则,尽可能减少在资产互联网上的暴露,特别是避免重要业务系统、数据库等核心信息系统的在互联网上暴露。同时及时进行漏洞排查,一旦发现资产存在的安全漏洞,及时进行修补。
4. 加强企业内部网络安全管理。勒索病毒还会通过钓鱼邮件、网站挂马、移动介质和软件供应链等方式进行传播,因此用户需要以培训、演练等方式提高网络安全意识,在用户层面切断勒索病毒传播入口。
例如在文件方面,不点击来源不明的邮件附件、打开邮件附件前进行安全查杀等;在网站方面,不从不明网站下载软件等;在外接设备方面,不混用工作和私人的外接设备、关闭移动存储设备自动自动播放功能并每周进行安全查杀等。
通过事中防护和监测,用户可拥有L2-7层完整的安全防护能力,确保安全防护不存在短板,同时,对网内流量和设备进行集中监控,统一管理,在提高用户运维效率的同时,实时掌握内部网络安全风险态势。
图3.2 六方云勒索病毒解决方案网络架构
1. 企业互联网出口安全防护。勒索病毒风险大多是从互联网侧引入的,而互联网出口作为企业的第一道网络安全防线,必须通过采取严格防护措施,尽可能切断勒索病毒的传播路径。
因此,用户首先需要部署下一代防火墙,封禁与勒索病毒传播或相关漏洞利用相关的危险端口3389/135/137/139/445等,通过严格的访问控制策略实现网内外用户的合法安全访问,并开启IPS功能和防病毒功能,实现勒索病毒入侵有效拦截。
2. 办公主机和服务器病毒防护。在主机和服务器上部署终端安全系统,实现对终端进行查杀防护,同时限制不安全的U盘的读写。
3. 云安全资源池控制。用户云平台环境涉及多类业务、多类系统,防护不当可能造成勒索病毒在云环境内的横向大规模扩散,因此在安全防护上需要进一步细化安全区域的划分以及不同安全区域、不同安全级别的访问控制,实现东西向流量的微隔离与阻断。
六方云盾能够在不依赖于云平台网络引流接口的情况下,实现对云内所有虚拟机进行网络微隔离,针对云内任意虚拟机之间、不同子网之间、逻辑安全域之间的网络流量进行L2-L7层的深度威胁检测与防护,同时,能够自动获取云平台内所有虚拟业务资产并绘制出逻辑一致的3D网络拓扑,实现对云内虚拟业务资产运行状态、网络流量状态与业务安全态势的全面可视。
4. 管理网和生产网隔离。在办公网和工控生产网之间部署单向隔离网闸,在各层级内的安全域之间部署工业防火墙,并对两网间数据交换进行安全防护,确保生产网不会引入管理网所面临的安全风险。
六方云工业防火墙基于对应用层数据包的深度检测,为工业通信提供独特的、工业级的专业隔离防护解决方案。
5. 各中心内的监测与防护。在对企业办公网和工控生产网之间、生产执行层之间进行了逻辑隔离,企业工控网络各层级内部的安全风险如何处理?一般来说,生产网内可能存在以下几方面的风险:各类操作员站的安全风险;PLC等工控设备的安全风险;通信协议存在风险。针对各方面风险六方云提供如下防护手段:
在操作员站、工程师站、HMI等各类主机上部署安全系统,对主机的进程、软件、流量、U盘使用等进行监控,防止主机非法访问网络。六方云工业主机卫士工业卫士采用白名单的技术,仅允许白名单内的程序运行,白名单外的程序均不可执行,从而有效阻止恶意程序或代码的执行和扩散。一键开启勒索病毒增强防护功能,可对137、138、139和445端口进行封堵,同时阻止创建系统启动项、添加用户账户、提权用户账户、创建计划任务以及创建服务等敏感动作。
工控异常行为检测。对于勒索病毒入侵行为和扩散行为,通过部署六方云工控全流量威胁检测与回溯系统,实时识别和预警工业控制网络和工业互联网络的勒索病毒入侵和传播的异常行为安全威胁,及时与工业安全设备联动实现协同防护,并提供攻击回溯取证和安全态势定期报表,为制定工控安全策略提供支撑,形成安全闭环,进而实现工业控制网络和工业互联网络安全威胁的可视、可控、可管。
6. 全网安全态势可视和一体化运营。在勒索病毒入侵的过程中,通过部署六方云全流量威胁检测与回溯系统(以下简称“神探”)可实现工控生产网未知威胁检测和异常行为检测。
神探产品可以基于规则库、威胁情报对已知勒索病毒进行检测,同时可以基于AI范化能力进行变种勒索病毒检测。在环境中已感染主机进行扩散时,可以通过异常行为检测技术进行监测。通过对攻击链的还原,完整重现勒索病毒攻击过程,为事后溯源提供依据。
在勒索病毒事件发生后,需要立即采取响应措施进行有序应对、妥善处理,把事件造成的损失降低到最小。
1. 确定受影响系统,并立即将其隔离
物理隔离。确认遭受勒索病毒攻击后,应采取立即断网、关机等方式隔离感染设备。其中,可采取拔掉设备网线、禁用设备网卡、关闭无线网络等方式断网,并拔掉服务器/主机上的所有外部存储设备,防止勒索病毒通过感染设备自动连接的网络在内部传播并进一步感染其他设备。
访问控制。根据初步发现的受影响范围情况,在网络设备或安全设备上通过配置访问控制策略方式进行严格资源访问权限限制。同时,立即修改感染设备的登录密码、同一局域网下的其他设备密码、最高级系统管理员账号的登录密码。
2. 排查勒索病毒感染范围
在已经隔离感染设备的情况下,对局域网内的其他机器进行排查,核查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染范围。对于感染情况不明的设备,提前进行磁盘备份。
还可通过了解现场环境的网络拓扑、业务架构、设备类型等关键信息,评估勒索病毒传播范围、攻击手段等,对勒索病毒失陷区域作出初步判断,为控制勒索病毒扩散和根除病毒威胁提供支撑。
3. 确定勒索病毒种类,进行溯源分析
研判勒索病毒种类。勒索病毒在感染设备后,攻击者通常加载勒索提示信息胁迫用户支付赎金。遭受勒索病毒攻击的组织可从加密的磁盘目录中寻找勒索提示信息,并根据勒索病毒的标识判断本次感染的勒索病毒种类。
判断攻击入侵手段。通过查看设备保留的日志和样本,判断攻击者攻击入侵的方式。如日志信息遭到删除,通过查找感染设备上留存的勒索病毒的样本或可疑文件,判断攻击者攻击入侵的方式。
4. 数据备份与应急恢复
为了保证业务的持续运行,当发生勒索病毒事件导致用户业务系统或重要数据受到影响时,通过部署备份容灾系统确保业务的秒级RPO和分钟级RTO,同时对生产业务系统实现系统、应用、数据、配置等一体化保护。
通过业务监控,实时地发现故障主机,支持一键生成演练测试环境,验证业务数据及其他工作。同时可以满足异机恢复迁移等多种功能,实现业务连续性全程能力支撑。
2025年的网络安全态势清晰地宣告了风险全面升级新阶段的到来。唯有构建融合高级威胁情报、主动防御策略与智能化响应的新一代安全架构,企业才能在危机四伏的数字世界中建立真正的战略韧性,保障核心业务价值的安全与延续。六方云致力于成为企业在这一关键转型中的坚实伙伴。
—【 THE END 】—
