近日，奇安信行业安全研究中心与奇安信安服团队联合发布《2023年中国企业勒索病毒攻击态势分析报告》（后称《报告》），深入分析了中招机构网络安全建设与运营方面的“通病”，提出勒索病毒可防可控可阻断的概念，并根据勒索病毒攻击的“生存曲线”，提出勒索攻击的“黄金救援期”为发现攻击后的0-30分钟，为政企机构高效建设勒索病毒防范体系提供了重要参考依据。

　　安全防护基础薄弱 超60%攻击事件无法溯源

　　奇安信旗下的95015服务平台，平均每年接到全国各地政企机构网络安全应急响应事件报告1100余起。其中，勒索病毒事件已连续多年排名恶意程序攻击类型的榜首。本次报告甄选了2022年1月至2023年3月期间接到的206起造成重大破坏或严重损失的勒索病毒攻击典型事件为研究样本展开深度分析。

　　《报告》显示，医疗卫生行业是勒索病毒攻击的重灾区，报案数量占到勒索病毒攻击事件报案总数的21.4%；制造业排名第二，占比为17.5%；生活服务紧随其后，占比为14.6%。

　　在对勒索病毒攻击进行溯源分析时发现，有61.7%的勒索病毒攻击事件根本无法进行溯源，甚至仅在内网或局域网中进行攻击溯源也完全无法实现，无法了解攻击者访问过哪些系统、进行过哪些操作、利用过什么漏洞、是否买下了后门；还有13.1%的中招机构只能进行内网或局域网内的溯源，但完全无法得知攻击者是通过什么互联网IP访问了系统。

　　奇安信安全专家指出，造成这种情况的原因，固然有攻击者事后主动擦除痕迹的因素，但更为主要的是，中招政企机构的网络安全基础建设过于薄弱，没有采取针对网络攻击的有效监测或留痕措施，致使内部系统门户打开。

　　勒索病毒可防、可控、可阻断 需把握住“黄金救援期”

　　除去无法回溯完成攻击过程和攻击起止时间的案例，研究团队在对有明确记录攻击起止时间的108起勒索病毒攻击事件进行分析后发现，完成一次勒索病毒攻击的平均时长为105.7小时、最短时长为3分钟、最长时长为529天。其中，17.6%的勒索病毒攻击事件是在1小时内完成的，超过半数是在12小时内完成的，24小时内完成的攻击事件超过六成。

　　同时，与其他各类传统网络攻击相比，勒索病毒攻击极少有使用0day漏洞或高级攻击手法的情况发生。统计显示，52.6%的攻击事件使用了暴力破解，有49.5%的事件与弱口令有关。

　　对此，奇安信安全专家表示，如果仅从入侵方式和渗透手法来看，勒索病毒的攻击与其他各类传统网络攻击相比并没有多少创新手法。无论发病时的症状多么的可怕，勒索病毒依然是一种可防、可控、可阻断的“网络传染病”。且勒索病毒的攻击是一个过程，会在攻击早期暴露出比较明显的“攻击信号”。有效的安全监测和实战化的安全运营，完全有能力及时发现和阻止勒索病毒攻击，尤其是要把握住“黄金救援期”。

　　为了能够更加精确的分析防范勒索病毒攻击所需要的响应速度，以“攻击时长”数据为基础，《报告》绘制了勒索病毒攻击的“生存曲线”。统计显示，0~30分钟是勒索病毒攻击应急响应的“黄金救援期”，系统生存率仍在90%以上；以590分钟为临界点，超过该临界时间点，系统被成功投毒的概率就会大于生存概率。

　　奇安信安服团队建议，想要有效应对勒索病毒的攻击，政企机构需要建立实战化的安全运营能力，完善应急响应机制，提升应急响应能力。有条件的机构，还应积极开展网络安全应急响应技术演练、实战攻防演练，从整体上提升实战化安全运营能力与应急响应能力。（雷渺鑫）