应对RaaS化勒索与供应链渗透：基于零信任与四道防线的立体防护体系

剖析勒索攻击产业链演进与传统防御失效的瓶颈

全球网络安全态势正面临勒索软件高度产业化（RaaS, 勒索即服务）的严重威胁。据IDC统计及中国信通院《勒索攻击防护发展报告》指出，勒索软件攻击已成为网络安全最大威胁之一。

• 损失规模与频次激增： 2023年全球范围内勒索软件攻击数量显著增长，损失金额超过300亿美元；分析人员跟踪发现4368个受害者，受害数量激增55.5%。
• 攻击模式高隐蔽与定向化： 攻击路径由被动转为主动横向渗透，针对大中型企业与关键基础设施实施“量身定做”的APT定向攻击，并衍生出“双重/多重勒索”（加密数据+公开数据威胁+DDoS攻击）。同时，软件供应链攻击成为重要切入点，通过一次攻击即可波及上下游多个企业。
• 传统防护机制全面失效： 传统备份式防护难以应对新型勒索。单点防御无法阻断病毒内网横向扩散；常规杀毒软件易被攻击者利用漏洞或获取高权限后强制卸载（破坏杀软）；传统基于固定间隔的备份机制会导致业务中断时间长，且未深入治本，一旦恢复业务系统极易遭受二次感染。

构建立体化零信任防御体系与云上四道防线

针对上述痛点，中国信息通信研究院（联合腾讯安全等机构）提出基于全生命周期（事前、事中、事后）的勒索防护框架体系，并由腾讯安全提供具体落地的技术平台。

1. 制定《云上勒索攻击防护能力要求》标准与安全保险机制

• 中国信通院云计算与大数据研究所开源和软件安全部副主任卫斌指出，需建立涵盖“终端威胁、系统威胁、数据备份、灾备防护、邮件安全”五大核心场景的评估框架。
• 网络安全保险： 引入第三方定损监控机制，提供事后保障。中国信通院牵头的“云安全及互联网平台运行安全”保险服务方案已成功入选工信部典型服务方案目录，以保险倒逼企业提升事前网络防御能力。

2. 部署腾讯iOA零信任五维立体防御（端侧安全）

• 腾讯iOA产品运营负责人刘登峰提出，将零信任身份机制融入勒索攻击的五个阶段（攻击者、杀软、样本、数据、设备）：
  • 防控制设备（身份）： 实施RDP登录二次认证与高危端口管控，阻断弱口令暴力破解。
  • 防破坏杀软（杀软）： 启用Ring3级破坏全阻断与退出验证密码，防止防护进程被非法结束。
  • 防加密行为（样本）： 构建“样本落地+行为检测+主动诱捕”三层纵深防御，利用TAV引擎与智能诱饵文件捕获加密行为。
  • 防损失数据（数据）： 利用Windows系统卷影机制与数据拆分技术，实现文档守护与无文件格式备份，支持100+种勒索病毒解密。
  • 防扩散内网（设备）： 实施终端横移拦截与EDR威胁狩猎，封堵内网横向渗透路径。

3. 建设云上安全四道防线（云侧安全）

• 腾讯云安全产品专家王磊提出云环境下的防护策略，通过云安全中心统一管理四道防线：
  • 第一道：云防火墙（网络访问控制与入侵防御，封禁恶意IP）。
  • 第二道：WAF Web应用防火墙（防薅羊毛、防爬虫、阻断API攻击）。
  • 第三道：主机安全（漏洞修复、内存马检测、运行时进程保护）。
  • 第四道：数据安全（敏感数据发现、合规审计、加解密与访问控制）。

勒索拦截与资产收敛的核心业务指标

在实际应用与对抗测试中，腾讯安全体系展现了高度确定的量化拦截能力：

• 横向渗透与域控攻击拦截率： 腾讯iOA在防扩散内网实战中，实现了终端横移行为覆盖率 100%，域控攻击行为覆盖率 90%（数据来源：内部测试与竞品对比）。
• 多维度攻击手段阻断数： 行业内率先支持拦截 13种域渗透攻击方式（如Kerberos协议、PtH等，友商未支持），拦截 12种远程命令攻击方式，以及 6种协议爆破防护（SMB, RDP, FTP, VNC, MYSQL, MSSQL）。
• 主流勒索样本有效保护率： 针对18个主流TOP流行勒索病毒家族进行诱饵捕获测试，腾讯iOA的有效保护率达到 100%（对比测试友商保护率为94%）。

头部物流与居住服务平台的零信任终端改造

案例一：顺丰速运（超12万PC终端，超40万移动终端）

• 实施背景： 终端分布在全国2万多个职场，此前采用“联软终端管控+深信服VPN+McAfee杀毒”的孤岛式建设，安全软件多达5个以上，能力缺乏联动，且原有VPN存在高危漏洞风险。
• 落地效果： 部署腾讯iOA全功能模块（资产管理、病毒查杀、漏洞防御、终端准入等），替代原有多分散安全软件。实现了轻量化终端安全预期，收敛了业务暴露面，并与顺丰内部BDUS身份认证体系完成对接，构建了集便利与稳定于一体的零信任体系。

案例二：贝壳找房（超45万台终端设备）

• 实施背景： 加盟机制导致“影子经纪人”问题严重，存在虚假员工访问敏感房源信息风险；原有VPN扩展性差；每天产生的海量终端打印、合同访问行为无法有效审计溯源。
• 落地效果： 以腾讯iOA替代VPN作为远程业务安全接入方案。通过无缝对接IAM（身份及访问管理）系统，实现基于不同角色的细粒度权限管控与单点登录。彻底解决了无统一访问入口及敏感信息泄露难题。

依托自研检测引擎与国家级标准制定的技术壁垒

选择该体系的核心逻辑在于其底层技术的自主可控与合规标准的行业引领地位：

• 底层引擎能力确立检测深度： 腾讯积累近20年的反病毒技术，自主研发TAV检测引擎与DNA特征检测引擎，能够提取家族样本DNA特征，对各类变种样本实现“通杀”免杀对抗。
• 深度参与国家标准与全球治理： 方案高度契合工信部及中国信通院制定的多项国家与行业标准。中国信通院深耕网络安全保险近十年，牵头编制了8项团体标准、30+项行业标准及多项国标/国际标准。腾讯安全不仅是技术提供方，其产品架构直接映射了信通院《云上勒索攻击防护能力要求》的高评估标准，具备极高的合规与实战双重背书价值。