AI加持下的检测和防护，瑞数信息构建的“智能反勒索之盾”

  【天极网IT新闻频道】2024年，网络安全事件层出不穷，影响危害愈演愈烈，尤其以勒索攻击为代表。

  据国外知名咨询机构Verizon《2024年数据泄露调查报告》的数据显示，经济利益驱动下，高ROI的攻击手段备受青睐，攻击者愈发倾向使用能高投资回报率的攻击手段。其中最为严重的就是勒索攻击，占据高ROI攻击事件的近三分之二。

  另外，根据联邦调查局互联网犯罪投诉中心(IC3)勒索软件投诉数据显示，由勒索软件和其他勒索行为导致的损失成本中位数为4.6万美元。

  企业虽然在不断地加固“防护盾”，但“道高一尺，魔高一丈”，勒索攻击也随之生变，尤其是AI技术的加持下，勒索攻击也越来越“狡猾”。自此，勒索组织发出勒索攻击，企业反勒索对抗，呈现了一场又一场像“猫鼠游戏”般的较量。

  企业应该如何在这场较量中“稳操胜券”？建立“反勒索”思维是第一步、构建“有韧性”的、全面的制度+技术体系至关重要，而具体到技术、能力层面，企业又如何应对不断升级的勒索攻击？

  在这样的背景下，应对勒索攻击的检测和防护是企业必然需要具备的能力。

  深耕网络安全赛道多年的瑞数信息给出了更为明确的技术方案——“用AI来对抗AI”，勒索攻击的检测和防护也可以更智能。

  一、勒索攻击与反勒索的“猫鼠游戏”

  勒索攻击与反勒索防护之间的关系，正如一场复杂的“猫鼠游戏”。在捍卫博弈中，“猫”与“鼠”分别扮演着进攻与防御的角色，双方不断围观、预测、规避与反制。

  早期的勒索病毒倾向于对整个文件进行全局加密，导致文件内部的混乱程度极高，极易被传统检测工具识别。

  传统的勒索防护手段通常依赖于检测文件和数据的“无序性”，即通过分析加密后文件的混乱度来判断是否遭遇勒索病毒。

  然而，随着勒索攻击者的技术仍在不断升级，不断调整加密策略，使得传统检测方式面临严峻的挑战，攻防之间始终处于动态博弈之中。例如采用跳跃式加密方式，仅对文件的某些部分进行加密，使文件整体的混乱程度变化不大，从而规避传统检测工具的判断。

  另外，不同类型的文件本身存在差异性。某些类型的文件在未加密状态下就具有较高的“无序性”，这就需要防护工具针对文件类型进行细粒度的分类和建模。

  更为重要的是，AI技术的发展，不仅提升了网络安全防护的技术水平，也让勒索攻击手段变得更加复杂，目标愈发明确，攻击更加隐蔽，更加难以防范，危害也日益增大。

  随着勒索攻击专业化、团队化运作，勒索攻击逐步发展出五大新趋势：

  新一代勒索攻击采用low and slow(高隐蔽且高持久化)的攻击手法;

  多重勒索模式引发数据泄漏风险;

  病毒变异较快，攻击路径多元化，易传播;

  勒索病毒扩散渠道转向web应用漏洞。

  供应链成为勒索攻击的重要切入点;

  在2024年发生的勒索攻击事件中，不少案例都呈现以上五大特征。如2024年6月出现的Brain Cipher勒索组织，在短时间内在印度尼西亚发起攻击导致Brain Cipher。最新消息显示，他们攻击了全球最大的会计师事务所之一的德勤Deloitte英国公司，并窃取了超过1TB的敏感数据。

  Brain Cipher采用典型的双重勒索，除了加密文件外，还会窃取敏感数据，并威胁称，如果要求得不到满足，他们就会公开这些数据，对攻击企业造成严重影响。

  对于企业而言，如何做好勒索攻击的检测和防护则更为艰难。不过，深耕网络安全多年的瑞数信息有“巧囊妙计”—— 数据安全检测与应急响应系统(DDR)。

  二、瑞数信息：AI赋能下的“反勒索之盾”

  为什么说瑞数信息的DDR解决方案是面向复杂勒索攻击的“巧囊妙计”？

  这是DDR的产品架构。

  

 不难发现，瑞数信息DDR解决方案的底层是强大的数据安全底座，通过永久增量数据获取、不可篡改的安全存储和动态隔离功能，保证数据的完整性和安全性。

  检测引擎中引入了AI智能能力，借助机器学习和熵值计算技术，对文件和数字根据库的动态变化进行深度检测，精准识别异常行为与潜在威胁。

  在整体架构上，DDR实现了从事前数据风险管理、事中智能威胁采集到事后快速应急响应的三重保障。它不仅融合了最前沿的信息安全技术，还充分考虑了实际操作中的灵活性与易用性，帮助为企业构建起一块“坚不可摧”的“反勒索之盾”。

  具体来看：

  1、 数据安全是底层逻辑

  瑞数DDR以“数据链接+数据安全支架”为基础，搭建了支架的数据安全防线：

  · 数据链接：支持多种数据接入方式，通过永久增量和增量合成的方式实现离线数据的获取，将企业生产数据高效转化为离线检测资源，最大限度减少检测对生产环境的影响。

  · 数据安全底座：提供不可篡改的存储机制(如WORM功能)，确保备份数据仓库不受攻击影响。同时，支持快照存储、云对象存储等用途的灾备技术，提升数据存储和恢复的灵活性。

  · 动态变化回顾：利用文件与数据库的动态变化追踪技术，对备份数据的每日增量部分进行深度分析，快速定位被勒索攻击的损坏数据，检测准确率超过99%。

  通过数据安全基础的强大功能，瑞数DDR能够有效隔离并保护备份数据，为勒索攻击的快速检测和恢复提供保障。

  2、融入AI能力的盾牌

  瑞数DDR结合AI技术创新出“人工智能安全检测引擎” ，集成了文件健康体检和数据库健康体检的功能，从而提供了全方位的数据保护措施。

  · 在线检查 + 离线深度检测：结合熵值计算与机器学习算法，分析勒索加密行为特征，以应对“low and slow”模式下的勒索攻击。通过对文件和数据库的熵值方差建模，实现表级、字段级深度检测，并联动数据安全底座，实现深度检测和异动监控，提升检测精准度的同时，可以迅速感知异常。

  · 自主学习进化：面对跳跃式加密、局部加密等复杂手段，瑞数信息持续追踪勒索组织的加密方法，及时补充检测引擎中。其收敛性机器学习引擎能够自我学习与进化，使得能够检测模型在面对变化多端的攻击手段时，也能保持高度准确性。

  AI不仅增强了系统的自适应能力，还通过智能学习持续优化检测引擎，确保检测效率和准确性始终保持在高水平。

  3、DDR为企业数据安全打造了“三重防线”

  瑞数信息通过“事前数据风险管理、事中智能威胁感知、事后快速应急响应”构建了全面的安全闭环：

  · 事前预警：通过动态沙箱功能模拟真实生产环境，精准定位潜在的攻击路径。

  · 事中防护：实时监测数据的异常变化，包括文件内容与权限的偏离，确保威胁在早期阶段被遏制。

  · 事后恢复：系统通过损害评估报告及修补建议，结合行为分析和日志分析等手段，确认需要恢复的时间点，将数据恢复时间控制在分钟级，以确保被加密数据的恢复时间在业务可承受的范围之内。

  这三道防线的建立，有效对抗勒索攻击，协助企业在快速恢复系统的正常运行，将勒索攻击造成的损失降到最低。

  瑞数的DDR实际应用中展现出了其强大的灵活性和适应性，目前这套解决方案已经在不少行业得到实践验证，从高精制造业到金融、能源、电商互联网等，打造了了不少标杆案例。

  三、结语

  面向日益复杂的勒索攻击时，企业的防护能力已不再只是“盾”的强化，更需要“矛”的精准反制。

  未来，面对不断升级的网络安全威胁，只有将“反勒索”思维、全面的制度+技术体系与“主动反制”的技术能力相结合，才能在这场“猫鼠游戏”化被动为主动，最终构建起坚不可摧的“反勒索之盾”，为企业的长足发展保驾护航。

类型：广告