1.高投入为何换不来高防护？数据揭示残酷真相

企业在反勒索领域的投入持续加码——从安全预算的大幅提升、各种“盒子”的层层部署，到存储投入的不断增加，资源投入不可谓不充分。然而现实却令人警醒：Sophos《2025勒索软件状况报告》^[1]指出，尽管防御技术的进步使得全球遭受数据加密的勒索攻击比例降至50%，这一比例的下降，得益于全球企业基础安全防护的初步普及，但攻击手段的升级仍使勒索威胁未得到根本缓解，近半数受害组织最终仍被迫支付赎金。Veeam《2024勒索软件趋势报告》^[2]同样指出严峻的现实：即使支付赎金，受害者平均仅能恢复约69%的数据；更值得关注的是，超过60%的企业坦言，其现有反勒索方案在实际攻防中未能达到预期效果。

这些数据背后隐藏着一个残酷的事实：很多企业希望用“数据备份”解决勒索问题，却忽略了主机终端才是防御勒索的主战场，反勒索的决胜关键，在于终端能否有效拦截攻击载荷、实时阻断加密行为，而非单纯依赖恢复数据。单纯依靠备份恢复应对勒索攻击，如同只用一个守门员上场去踢足球赛。数据备份与容灾是反勒索体系需要建设的环节，但绝非防御的最佳布控点。然而，传统思路却过度聚焦于此，试图在数据加密后进行补救。必须认识到，一旦数据已被加密，往往意味着攻击者已经获取了系统权限，运行了执行体载荷，完成了数据的窃取上传。这种被动应对的根源，在于忽视了勒索攻击的本质特征——它是一个动态的、链式的、在终端运行态展开的完整攻击过程。

2.破局先破误：传统反勒索方案的三大认知误区解析

❌ 误区一：备份即安全？——过度依赖事后恢复机制

许多企业将数据备份作为反勒索的“核心依赖”，甚至认为完善的备份方案足以高枕无忧，这种认知误区极其危险。攻击者早已将备份清除作为加密前的常见操作——根据MITRE ATT&CK®框架，Inhibit System Recovery (T1490, 抑制系统恢复)是勒索软件的常用技术战术。攻击者不仅会利用有效凭据（T1078）直接定位并清除备份，更严峻的威胁在于：一旦系统权限失守，备份系统的控制权也随之沦陷，这意味着您所依赖的备份数据，可能早已被加密或删除。因此当加密事件发生时，用户面对的是生产与备份数据的“双重丢失”，“备份即安全”的幻想在此刻被彻底击碎。

严峻的是，在“多重勒索”攻击模式下，攻击者会在加密数据前窃取大量敏感信息。这意味着即使企业通过有效备份恢复了数据，攻击者仍可能以公开窃取到的数据为要挟，继续实施勒索。因此，企业不仅可能面临数据加密导致的业务中断，还必须应对数据泄露带来的合规风险、声誉损失和客户信任危机，以及随之而来的二次勒索。

根据行业测算，此类事件中业务中断带来的直接损失通常是赎金本身的数倍甚至数十倍，而这尚未包括潜在的品牌声誉受损、客户流失以及可能面临的监管处罚等隐性成本。备份机制固然重要，但现代勒索攻击已经演变为多层次、多阶段的综合威胁，仅依靠备份无法全面应对。因此，备份应被视为整体安全体系中的“兜底环节”，而非可独立应对勒索攻击的主要防护依赖。

❌ 误区二：堆砌边界盒子？——忽略终端防御建设

传统安全架构中，企业常设想依托安全网关、IDS、网闸等设备实现“御敌于城门之外”，这套体系的防御重心与资源也相应地向边界和信道侧高度倾斜。然而，随着资产云化与端到端应用的普及，使得企业网络边界日趋模糊；而普遍采用的加密协议，也使得威胁置于加密的隐藏和保护之下，攻击者可利用加密通道，将漏洞利用、载荷投放等恶意行为直接送达内网终端，整个攻击链对边界设备是不可见的，导致传统防御体系被轻易绕过。

以臭名昭著的LockBit勒索软件组织攻击意大利税务局的事件为例。根据公开报告，该组织成功入侵系统并窃取了约78GB的敏感数据。这起事件也证明：再坚固的边界也可能被突破，一旦攻击者进入内网，缺乏终端本地防御能力的系统，就如同“不设防的城市”，使得攻击者能够悄无声息地窃取大量核心数据。

终端系统作为攻击载荷的落脚点和运行点，以及横向移动和威胁至效的作用点。其战略地位决定了终端是网络攻防对抗的真正主战场。因此，理应成为安全资源投入的重点，并在此系统性地构建威胁检测、运行阻断、横向移动抑制与快速恢复能力。现代防御体系必须建立在“边界已经失效”的前提下，重点加强终端自身的安全能力。走出上述困境，需彻底转变防御思路：即便在边界失守、内网受控的极端情况下，在终端仍能有效抵御和遏制勒索软件的最终加密行为。

❌ 误区三：过分依赖响应？——缺少拦截阻断能力，难以防护勒索攻击链

事实上真正的EDR产品是基于强大的本地化检测能力，形成直接阻断攻击载荷第一次投放和运行的能力。而不是基于数据采集、集中分析、由网管响应的异步响应机制。这种情况下，过度强调数据采集和集中运营，那势必意味着，勒索攻击在第一时间已经开始加密或上传数据，已经发生至效，待到感知时已经悔之晚矣。

其根源在于，此类方案普遍缺少内核级的实时防御能力，无法对进程注入、内存篡改、恶意API调用等关键动作进行毫秒级强制性管控。勒索攻击的破坏性正在于其执行效率，加密过程往往在数秒内完成，留给响应的时间窗口极其有限。因此，将防护希望寄托于事后分析而非事中阻断，是此误区的根本所在。

安天智甲的运行对抗体系认为，有效的终端防护必须覆盖执行体从“创建—加载—执行—通信—至效”的全生命周期。防御不应是被动的记录，而应是主动的、连续性的管控，在恶意行为链路的每一个关键节点上都具备实时研判与即时处置的能力。

3.安天智甲以ISPDR为支撑，构建「运行对抗」体系

安天智甲以「执行体治理」为核心理念^[3]，其「运行对抗」体系由成熟的安天防御技术框架（ISPDR）提供核心支撑。执行体是“为实现特定目的”的“代码与数据的综合表达”，其形态复杂、行为动态多变。我们围绕执行体的全生命周期，系统性构建了覆盖“识别、塑造、防护、检测、响应”的能力闭环，打造出可工程实践的纵深防御体系。

🔍 识别：全面清点终端环境和行为数据

安天智甲通过全方位的终端数据采集技术，对环境数据、应用执行、系统调用和网络访问进行全面清点与关联分析，我们将终端从“黑盒”转变为“透明体”，为后续的精准防护、深度检测和快速响应提供了坚实的数据支撑。安全防护不再是基于猜测的盲目封堵，而是建立在深度认知基础上的精准布防。

🛡️ 塑造：细粒度的安全策略，收敛攻击面

安天智甲通过细粒度的策略规则机制，结合对终端行为的精细感知，将抽象的“暴露面”转化为具体的、可管理的安全策略：优化系统安全性策略配置、自动限制非授信工具的安装与执行、严格管控敏感数据的访问、实时阻断异常的横向连接尝试。这种“看见—理解—管控—优化”的闭环，使得安全策略不再是一成不变的静态规则，而是围绕攻击链的关键节点构建弹性防御机制。

⚡ 防护：实时阻断投放、运行、加密和数据窃取行为

安天智甲采用创新「文件替身」机制，为关键文档创建透明重定向层—当非授信进程尝试读取、加密或篡改文档时，操作将被重定向至替身文件，原始数据完全不受影响。结合内核级主动防御能力，系统能够在恶意操作发生时进行毫秒级实时阻断。此外，平台还提供安全快照功能，对可能受损的数据创建保护副本，最大限度减少损失。

🧠 检测：AVL SDK与系统级主防协同研判勒索威胁

安天智甲的检测能力核心，源于其搭载的AVL SDK反病毒引擎。该引擎依托安天超过20年的威胁样本积累与持续运营能力，在2025年3月权威评测机构Virus Bulletin的VB100测试中，以99.86%的检出率获得了最高等级的A+认证，为勒索研判提供稳定可靠的样本识别和信誉判定能力。

基于此，AVL SDK引擎对于执行体进行“可信、可疑、威胁”的精准检测，并输出文件属性、数字签名信誉、病毒家族、API调用链等关键线索。系统级主防则实时监控与解析进程行为序列，结合上述线索，对加密勒索特有行为（如大规模文件篡改、扩展名批量修改、密钥生成等）进行深度研判，有效应对未知勒索变种。两者协同，构成“静态检测精准识别、主防实时验证”的闭环研判机制，共同实现对勒索威胁的高精度、低误报检测。

🎯 响应：快速处置与追踪溯源

在威胁响应环节，安天智甲提供自动化处置与深度溯源能力。系统检测到勒索行为后，可自动终止恶意进程、隔离文件并尝试回滚操作。通过完整记录取证级数据，平台支持攻击链重构和影响范围分析，实现快速攻击溯源。同时，系统提供处置记录跟踪和安全快照管理，确保应急响应过程可追溯、可验证。

4.案例深研：LockBit定向攻击事件及防御实战验证

LockBit是近年来全球最具威胁的勒索软件即服务（RaaS）组织之一，自2019年起活跃，累计勒索赎金估算至少达1.5亿美元。该组织以高度模块化的攻击链和快速加密能力著称，常被用于针对大型企业与关键基础设施的定向攻击。

根据安天安全研究团队的分析，LockBit的典型攻击链涵盖从初始入侵至数据加密的全过程：攻击者通常利用漏洞远程代码执行、RDP 弱口令爆破等手段获得初始访问权限，随后利用 Mimikatz 窃取凭据，利用组策略内网横移，最终部署勒索载荷，触发文件加密并清除卷影副本（T1490）。针对此类攻击，安天智甲运行对抗体系实现了攻击链全环节的有效干预，关键防御动作如下：

攻击阶段	攻击技术/行为	智甲核心防御措施	防御关键点
初始入侵	Citrix Bleed漏洞利用、RDP爆破、网络钓鱼	漏洞加固、邮件防护、防爆破	弱口令检测、端口封堵、漏洞修复、高危服务禁用
权限提升与横向移动	Mimikatz 凭据窃取、利用组策略内网横移	微隔离与联网管控	严格的网络连接管控与微隔离策略，抑制攻击扩散
数据加密与破坏	触发文件加密、删除卷影副本（T1490）	文件替身与内核级防护	恶意加密操作被重定向至替身，内核级实时阻断
威胁判定与识别	LockBit 变种加载、恶意工具执行	AVL SDK与系统级主防	AVL SDK精准识别LockBit病毒；动态行为分析检测未知变种。
事后处置与溯源	攻击链遗留痕迹、进程行为记录	自动化追踪溯源	端侧自动化处置恶意进程，结合取证数据实现攻击链重构与溯源

该案例充分表明，传统依赖边界防护试图将威胁阻挡于外，或单纯依靠事后备份进行数据恢复的被动防御模式，已难以应对LockBit等高级勒索团伙采用的一系列复杂攻击手段。唯有构建覆盖执行体运行生命周期的终端运行对抗能力，通过深度行为监控、微隔离、文件替身、双引擎检测与自动化响应等层层布防，才能在攻击链的每一环节实现有效干预与阻断，真正实现对勒索威胁的有效防御。

5.结与展望：以「运行对抗」重构防御范式

安天在勒索软件对抗领域拥有长期而深厚的技术积累。从2006年国内较早跟踪并命名“Redplus敲诈者”木马，到2015年发布行业深度报告《揭开勒索软件的真面目》，再到2017年在WannaCry事件中全球率先发布专杀工具与应对指南，安天始终站在威胁研判与应急响应的前沿。至今，我们已持续针对LockBit、GandCrab、Sodinokibi等主流勒索家族发布分析报告与处置建议，累计输出相关技术文档逾八十篇，形成了对勒索威胁演进的持续洞察。

当前，勒索攻击呈现出几个明显趋势：攻击数量持续增长，赎金金额不断上升，“多重勒索”成为标配，“无加密勒索”开始出现。反勒索的决胜关键不在于“加密后能恢复多少”，而在于“能否在运行前成功阻断”。企业需要彻底转变防御思路，将重心从事后补救前移至事中阻断和事前预防。安天智甲基于「执行体治理」理念，将防御重心从“备份恢复”前移至“运行对抗”，构建「运行对抗」防御范式，实现了从传统数据备份到终端运行对抗的根本性跨越。

未来，随着AI技术的发展，勒索攻击必然会变得更加智能和隐蔽。针对 AI 驱动的勒索威胁，安天智甲已在「运行对抗」体系中融入执行体AI分析检测模型，安天自研的垂直大模型VILLM（Virus Inspection Large Language Model），能够直接理解二进制数据，具备远超常规模型的上下文窗口，能够有效解决传统检测技术的局限性，其威胁的检测能力具备更强的泛化效果和鲁棒性，在网络安全领域大模型测评机构“CS-Eval”测评中综合排名第二。安天也将继续深化「执行体治理」理论研究和工程实践，完善「运行对抗」技术体系，帮助企业构建更加有效的终端防御能力。我们相信，通过行业共同努力，推动防御理念的普及，每个人都能认识到——真正的安全不是事后补救，而是事前预防和事中阻断，有效破解“60%投入失效”的行业困境，让勒索攻击从“高发灾难”转变为“可有效防护威胁”。

最终，我们期待与业界同仁一道，推动终端安全防御范式的创新升级，共同构建更加安全的数字基础设施。

参考文献：

[1] Sophos. 2025勒索软件状况报告[R/OL].

https://www.sophos.com/en-us/content/state-of-ransomware

[2] Veeam. 2024勒索软件趋势报告[R/OL].

https://www.veeam.com/ransomware-trends-report.html

[3] 安天.执行体识别与管控——IT治理的基石[R/OL].

https://www.antiy.cn/research/Lecture/2023011602.html

[4] 安天.波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考[R/OL].

https://www.antiy.cn/research/notice&report/research_report/BoeingReport.html

注:本文底稿由大模型辅助生成。