1、基于杀伤链的勒索软件防御指南勒索软件攻击防御技术方案基于杀伤链的勒索软件控制框架01基于杀伤链的勒索软件防御指南当前，勒索软件仍然是最具影响力的网络攻击形式。为了让企业能快速落地防勒索能力，本报告提供了实战化的勒索攻击防御技术方案，让有效的安全能力快速发挥效果。同时，本报告提出一个系统框架，指导组织采取具体步骤和方法路径，提高对勒索软件攻击的网络弹性。勒索软件控制框架基于勒索软件攻击杀伤链，分析攻击者端到端的攻击步骤与相互关系，同时我们将ATT&CK策略整合到杀伤链模型中，描述攻击者特定的战术、技术和程序（TTP）。组织通过映射勒索软件杀伤链，了解威胁和风险节点，对其进行层层阻断，建立更加全面

2、有效的防护体系。前言图 1：基于杀伤链的勒索软件控制框架TA0001 初始访问TA0002 执行TA0003 持久化TA0004 权限提升TA0005 防御绕过TA0006 凭据访问TA0007 发现TA0008 横向移动TA0009 收集TA0010 数据渗出TA0011 命令与控制TA0040 影响TA0042 资源开发TA0043 侦察Mitre映射图例勒索攻击防御体系3.检测&响应13.网络监控与防御18.渗透测试17.事件响应管理1.资产清单与控制2.软件资产管理及控制14.安全意识技能培训16.应用软件安全15.供应商管理5.账户管理4.资产和软件安全配置6.访问控制管理8.审计日

3、志管理5.账户管理12.网络基础设施管理1.资产清单与控制12.网络基础设施管理8.审计日志管理4.资产和软件安全配置11.数据恢复6.访问控制管理7.持续漏洞管理10.恶意软件防御3.数据保护9.电子邮件和网页浏览器保护措施4.资产和软件安全配置1.预防2.阻止4.重建事前事中事后勒索攻击杀伤链TA0009TA0006TA0042TA0043TA0007TA0002TA0011TA0005滥用弱凭据TA0001网络钓鱼TA0003持久化TA0004权限提升TA0010数据渗出数据加密二次攻击和供应链敲诈勒索TA0040销毁备份TA0008横向移动获取凭据安装恶意软件TA0001漏洞利用一重勒

4、索系统不可用二重勒索三重勒索02基于杀伤链的勒索软件防御指南勒索软件攻击防御技术方案层层递进有效的勒索检测体系通过“勒索攻击杀伤链”可以发现，应对勒索攻击的关键在于预防，重点在于检测响应，“绝杀手段”为阻断约束，最后底线为恢复重建。由于不同的安全防护措施在勒索软件攻击的不同阶段发挥不同程度的作用，通过梳理勒索软件典型安全防护措施，与勒索攻击过程形成映射，围绕勒索软件攻击预防、检测响应、阻断约束、恢复重建四个阶段，打造全链路的勒索软件攻击防护技术方案，防范化解勒索软件攻击风险。该方案覆盖勒索攻击全周期，在勒索攻击链各个阶段均部署应对技术能力，建立勒索事件层层递进有效的检测响应体系，全方位保障企业

5、网络数据安全。1.1 防勒索方案具体能力按照勒索病毒攻击“事前、事中、事后”三个阶段，从预防、检测响应、阻止约束、恢复重建四个方面防范化解攻击风险，典型勒索病毒攻击安全防护技术措施主要包括以下几个方面。1.1.1勒索攻击预防阶段在勒索攻击预防阶段，主要从资产管理、高风险漏洞管理等方面采取措施，如实现常态化、动态化业务资产管理，进行高危漏洞与弱口令治理等。图 2：端侧勒索软件攻击防御技术方案核心高价值资产清点两高一弱勒索专项检查勒索风险管理攻击面收敛预防阶段防病毒检查勒索行为检测动态/静态勒索诱饵勒索向量特征检测勒索行为学习已知勒索特征、行为检测未知勒索行为检测检测响应阶段恶意文件落盘即隔离勒索

6、进程阻断执行勒索攻击网络隔离勒索主机隔离强化事前阻断能力防止扩散阻断约束阶段勒索密钥截取与文件恢复勒索加密还原恢复重建阶段端侧防勒索具体能力防勒索阶段勒索攻击过程事前事中事后03基于杀伤链的勒索软件防御指南1.建立高价值软件资产清单建立常态化资产台账和动态化更新机制，覆盖总部和境内外分支附属机构的各类互联网应用系统。构建软件资产自动化收集能力与资产信息及时更新能力，为开展724威胁监测和事件处置，常态化开展资产及互联网暴露面管理、漏洞发现及修复工作提供数据资产基础。2.勒索专项风险检测公安部启动了“两高一弱”专项行动，旨在检测并修复高风险漏洞、高风险端口及弱密码问题。因此，该方案针对勒索专项风