2024年4月8日，派拓网络组织分析师及媒体沟通会，回顾近年来勒索软件威胁，并对派拓网络在勒索软件防护领域的技术布局进行介绍。派拓网络大中华区总裁陈文俊和售前总经理董春涛参与会议，并进行了发言。

       勒索软件威胁是当前甲方企业最关注的攻击方式之一，各行各业均可能面临勒索攻击的威胁。受利益驱动，勒索软件攻击的影响会进一步增加。陈文俊将勒索软件攻击，趋势总结为如下三点：“一个是网络攻击规模越来越大、二是攻击速度越来越快，三是网络攻击造成的影响越来越大。”

       Unit 42 2024年勒索软件回顾报告对2023年的勒索攻击进行分析总结。2023年，新增勒索犯罪组织25个，虽然有很多组织很快销声匿迹，但是这些组织也确实带来了新的风险。

       而从行业上，制造业是勒索攻击的重灾区。“制造业有个特点，原来很多的时候企业的整个工厂不同环节是完全隔绝的，制造商对其运营技术（OT）系统的可见性通常十分有限，往往缺少对网络的足够监控，有时甚至无法落实最佳安全实践。”董春涛表示。

       针对日益泛滥的勒索软件攻击，派拓网络给出了如下建议：

• 落实深度的防御策略，除了我们传统的防火墙、WAF （Web Application Firewall，Web应用程序防火墙），还是要加强在防护墙上面，包括高级防御，DNS安全、UR过滤等一体化高级安全能力。再加上在传统终端的防病毒上增加对终端的安全检测，我们XDR这样的技术，使我们防御的层数更加丰富，也提升了整个安全防御的能力。
• 除了在整个架构上、设备上、技术上提高之外，企业还要制定应急的响应计划，并根据自己的能力，配合一些第三方咨询机构，安全的专业机构，去做一些定制化的计划。同时不断审查、更新和测试该计划，以便更好地应对攻击。
• 确保攻击面的完全可见性，从外部对企业在网络暴露出来的所有服务做检查，因为企业现在很多服务不只在数据中心，在云中、在远程用户和软件即服务 (SaaS)当中都有体现，我们要综合地从外部做扫描，了解我们整个暴露在资产当中的IT状态。
• 在全企业范围内落实零信任网络架构，从落实角度来看，这种以SASE（安全访问服务边缘）技术为导向的，来代替传统VPN技术的发展方向，能够用更加综合性的防御手段创建可防止或限制攻击者在网络中横向移动的安全层。
• 企业很多业务都在云中，所以我们要加强对云上所有资源和负载的保护，通过落实云安全计划和平台实现综合全面的云本地安全性，保护云基础设施和应用。
• 强调身份验证，将MFA（Multi-Factor Authentication，多因子认证）作为一项技术控制和安全策略，对所有用户强制执行。除了单层的复杂密码认证之外，要加几层多形式的认证方式，甚至用生物手段来代替密码这样新的技术，来提高认证手段。
• 落实最小权限管理原则，企业在IAM（Identity and Access Management，身份和访问管理）上，对其做更小原则的限制，即允许某些人访问某些资源，更大程度地减少安全事件的影响。
• 企业要利用AI和自动化的力量实现现代化安全运营并减轻分析人员过重的工作负担。尤其是生成式AI出来以后，使传统的安全自动化大大提升，同时使防御手段的能力也大大提升，企业要思考如何更好地利用AI技术来减轻传统安全工作的负载。

针对当前不断增加的勒索软件威胁，企业需要采用平台化、体系化的防护措施才能应对。派拓网络构建新一代安全平台，联动网络、云端、端点的安全数据，实现网络安全的联合防护。同时，注重安全运营、威胁情报、安全咨询等服务型产品的支撑，以提升安全产品的利用效率。派拓网络认为，“安全市场未来三到五年，像其他IT市场一样也会走向整合，平台化AI驱动主动防御是一个趋势。”

在介绍结束后，安全牛记者针对AI应用问题，采访了陈文俊先生。

提问：之前派拓网络曾提到XSIAM，该产品与大模型是否已经融合？和派拓网络提到的Cortex运营平台的关系又是什么呢？

陈文俊：XSIAM其实是把我们Cortex里面不同的工具打包，然后通过图形化，结合AI以后呈现给客户，在整个安全运营方面更好、更简单地去管理。通过AI驱动，能够颠覆整个安全运营的传统思维，实现更多自动化，AI在上面能够更快做到分钟级的反应和检测，这个是我们XSIAM的理念，目前也是我们公司增长很快的一个产品线。

Cortex包括几个套件，包括网络上、云上、端点上面的一些传感器帮客户收集数据。也包括安全编排自动化，我们把所有攻击防御的流程自动化，希望减少人工参与，这样速度、反应会更快。因为黑客攻击已经通过AI进行，如果再用人工防御是拦不住的，一定是机器对机器。另外我们通过Cortex Xpanse做攻击面管理，借助 Xpanse，可以通过全面清查资产，发现之前未发现的攻击面，先于攻击者找到漏洞，并主动降低风险。

安全牛评：派拓网络作为网络安全行业的引领者，其理念、产品也是当前网络安全领域的前沿水平。随着勒索软件攻击的数量增加、攻击者能力的增强以及事件危害的增大，以单产品、单设备进行防护难免捉襟见肘。派拓网络提出的平台化、体系化的防护方案，是将勒索软件攻击放在整个网络攻击体系之一的同时，将其作为高级威胁进行防护。从而在面对更加专业和商业化的勒索软件攻击时，能够进行有效的应对。

作者：安全牛分析师 王剑桥