五重防护 全新视角拦截勒索加密

　　数智时代，数字化系统是生产工具，数据成为组织的核心资产。勒索产业化、服务化，勒索病毒持续变种，基于0day漏洞的APT攻击层出不穷，再完善的网络安全防护措施也一定会被攻克，一旦勒索病毒绕过网络安全防护，执行加密勒索，用户只能束手无策。勒索永恒，已成为网络安全领域的重大挑战之一。

　　

　　如今，全球勒索病毒感染态势日益严峻，中国部分行业及地区已经成为勒索软件肆虐的重灾区。勒索病毒将会是未来几年甚至几十年一个永恒的话题，如何解决勒索病毒问题迫在眉睫。科力锐就此给出了一套可靠有效的解决方案，通过事前防护、事中拦截、事后响应处置以及可信安全区等五重防护措施，组合应用，层层拦截，形成多层次纵深防御能力，快速有效阻断勒索加密。让主机带毒运行拒绝被勒索，让数据不被窃取拒绝被威胁。近日科力锐举办的勒索拦截系统云端发布会，发布了勒索拦截系统，基于勒索病毒永恒不变的“读、加密、写”行为特征，对抗勒索进程，阻塞勒索操作，构建勒索防护能力闭环，让主机带毒运行拒绝被勒索，让数据不被窃取拒绝被威胁。

　　

　　深度剖析勒索病毒的勒索攻击模型发现：勒索病毒攻击的全流程中，分为前期的网络攻击渗透阶段和后期的数据加密阶段。勒索变种变的是网络攻击、渗透、感染方式；勒索病毒永恒不变的是执行勒索操作时的“读、加密、写”行为。若在文件系统层、磁盘IO读写层深入研究勒索病毒加密勒索时的“读、加密、写”行为特征，便能找到勒索拦截之锚 

　　该勒索拦截系统基于勒索病毒加密永恒不变的“读、加密、写”行为特征，创新研发的拦截病毒勒索行为，面向数智时代的轻量级主机勒索拦截产品。区别于网络安全产品在网络攻击渗透阶段的“防”，勒索拦截系统注重于在勒索病毒永恒不变的数据加密勒索阶段进行“拦截阻断”，和网络安全产品形成“前端安全防护，后端勒索拦截”的能力闭环，让主机带毒运行拒绝被勒索，让数据不被窃取拒绝被威胁。 

　　五重防护 有效阻断

　　

　　第一重：已知勒索病毒防护

　　基于大量已知勒索病毒的行为分析，形成独有的已知勒索行为DNA指纹库，针对文件系统层、操作系统层、磁盘IO读写层，全方位动态追踪检测非法的进程/行为/离散性/调用栈等，确保对已知勒索病毒的有效防范。同时，在云端创建勒索情报中心，收集最新勒索病毒，分析其行为特征，定期赋能更新到集中管控平台。 

　　第二重：防范未知勒索病毒

　　由于每台主机，每个应用，都会有唯一的行为特征，如微信、QQ等应用有自己专属的进程、指令集、API接口、IO调用栈、文件信息熵等。科力锐采用AI智能学习引擎，学习每台主机/每个应用的硬件特征、指令特征、进程特征、读写特征以及文件离散性特征等。然后对每台主机进行行为建模分析，生成唯一的合法行为DNA指纹库，所有偏离合法行为的进程/行为/调用栈/离散性等，都会深度检测，触发报警机制，确保对未知勒索病毒的防护。 

　　第三重：勒索拦截阻断

　　通过在高危区域、数据读取的“第一个位子”等智能部署诱饵文件对勒索病毒进行诱捕拦截。基于科力锐多年来在文件系统、磁盘IO读写规律的洞察和研发积累，利用独创的专利技术，确保勒索病毒攻击/加密时首先加密诱饵文件。为了防止勒索诱饵被跳过以及减少主机资源的占用，引入稀疏矩阵算法，部署带有稀疏结构特征的诱饵，让诱饵更真实，降低计算访存比，让勒索诱饵轻量有效。

　　在勒索病毒进攻诱饵文件后，引入深度优先搜索算法，通过让勒索病毒从指定诱饵文件开始，按照一定的规则循环遍历图结构中所有联通点，让勒索病毒无法返回对诱饵文件的完成值，从而阻塞勒索病毒加密进程。同时，引入图遍历算法自动生成诱饵森林，根据勒索病毒进程自动匹配诱饵数量，确保堵塞勒索病毒所有加密进程。         

　　第四重：闭环响应处置

　　设计攻击行为实时上报和处置策略一键下发机制。当觉察到勒索病毒攻击行为时，上报监控中心、控制端，并通过邮件或短信等多种方式告知用户管理员，让管理员第一时间知晓情况。同时，在控制中心还可配置隔离、挂起、拒绝、加白等一系列处置策略，进行处置措施一键下发，让安全事件闭环。 

　　第五重：可信安全区

　　

　　为了确保核心业务、应用数据不被加密勒索；为了防止重要机密文件不被窃取威胁，特别设计可信安全区，将保护前置。可通过手动配置文件夹、磁盘卷、整机作为可信安全区，也可通过AI学习，智能检测应用作为可信安全区，如配置微信应用后，AI智能学习会关联其对应的文件、API接口等。对于已经配置可信安全区的文件夹、应用、磁盘卷、整机而言，只有合法、授权的读写才会判定为可信操作，也才能读写修改文件，否则判定为不可信操作，禁止读写拷贝。