2024基于杀伤链的勒索软件防御指南 .docxVIP

基于杀伤链的勒索软件防御指南

勒索软件攻击防御技术方案基于杀伤链的勒索软件控制框架

基于杀伤链的勒索软件防御指南

前言

当前，勒索软件仍然是最具影响力的网络攻击形式。为了让企业能快速落地防勒索能力，本报告提供了实战化的勒索攻击防御技术方案，让有效的安全能力快速发挥效果。同时，本报告提出一个系统框架，指导组织采取具体步骤和方法路径，提高对勒索软件攻击的网络弹性。

勒索软件控制框架基于勒索软件攻击杀伤链，分析攻击者端到端的攻击步骤与相互关系，同时我们将ATTCK策略整合到杀伤链模型中，描述攻击者特定的战术、技术和程序（TTP）。组织通过映射勒索软件杀伤链，了解威胁和风险节点，对其进行层层阻断，建立更加全面有效的防护体系。

TA0001初始访问

TA0002执行

TA0003持久化

TA0004权限提升

TA0005防御绕过

TA0006凭据访问

Mitre映射图例

TA0007发现

TA0008横向移动

TA0009收集

TA0010数据渗出

TA0011命令与控制

TA0040影响

TA0042资源开发

TA0043侦察

勒索攻击杀伤链用弱凭据

滥TA0006

滥

获取凭据

TA0009

TA0007

TA0011 TA0002

TA0005

横向移动

TA0008

数据加密 销毁备份 一重勒索

TA0040

系统不可用

TA0042 网络钓鱼 持久化 数据渗出 二重勒索

TA0043 TA0001 TA0010

安装恶意软件 权限提升TA0003

TA0004

漏洞利用 二次攻击和供应链敲诈勒索 三重勒索

TA0001

事前 事中 事后

与控制1.预防 2.阻止 4.重建

与控制

1.资产清单 5.账户管理勒索攻击防御体系

14.安全意 16.应用软识技能培训 件安全

4.资产和软 8.审计日志 6.访问控制件安全配置 管理 管理

1.资产清单 8.审计日志 12.网络基与控制 管理 础设施管理

2.软件资产 6.访问控制 15.供应商管理及控制 管理 管理

5.账户管理

12.网络基4.资产和软础设施管理件安全配置

11.数据恢复

3.数据保护

4.资产和软件安全配置

7.持续漏洞管理

9.电子邮件和网页浏览器保护措施

10.恶意软件防御

3.检测响应

13.网络监控与防御 18.渗透测试 17.事件响应管理

图1：基于杀伤链的勒索软件控制框架

01

基于杀伤链的勒索软件防御指南

勒索软件攻击防御技术方案层递进有效的勒索检测体系

通过“勒索攻击杀伤链”可以发现，应对勒索攻击的关键在于预防，重点在于检测响应，“绝杀手段”为阻断约束，

最后底线为恢复重建。

由于不同的安全防护措施在勒索软件攻击的不同阶段发挥不同程度的作用，通过梳理勒索软件典型安全防护措施，与

勒索攻击过程形成映射，围绕勒索软件攻击预防、检测响应、阻断约束、恢复重建四个阶段，打造全链路的勒索软件攻击

防护技术方案，防范化解勒索软件攻击风险。

勒索攻击过程 事前 事中 事后

防勒索阶段 预防阶段

端侧防勒索 勒索风险管理

具体能力 攻击面收敛

检测响应阶段

已知勒索特征、行为检测

未知勒索行为检测

阻断约束阶段

强化事前阻断能力

防止扩散

恢复重建阶段

勒索加密还原

核心高价值资产清点

两高一弱勒索专项检查

防病毒检查

勒索行为检测

动态/静态勒索诱饵

勒索向量特征检测

勒索行为学习

恶意文件落盘即隔离

勒索进程阻断执行

勒索密钥截取与文件恢复勒索攻击网络隔离

勒索主机隔离

图2：端侧勒索软件攻击防御技术方案

该方案覆盖勒索攻击全周期，在勒索攻击链各个阶段均部署应对技术能力，建立勒索事件层层递进有效的检测响应体

系，全方位保障企业网络数据安全。

1.1防勒索方案具体能力

按照勒索病毒攻击“事前、事中、事后”三个阶段，从预防、检测响应、阻止约束、恢复重建四个方面防范化解攻击

风险，典型勒索病毒攻击安全防护技术措施主要包括以下几个方面。

1.1.1勒索攻击预防阶段

在勒索攻击预防阶段，主要从资产管理、高风险漏洞管理等方面采取措施，如实现常态化、动态化业务资产管理，进

行高危漏洞与弱口令治理等。

02

基于杀伤链的勒索软件防御指南

1.建立高价值软件资产清单

建立常态化资产台账和动态化更新机制，覆盖总部和境内外分支附属机构的各类互联网应用系统。构建软

件资产自动化收集能力与资产