本文節(jié)選自安全牛。

【掃碼獲取報告閱讀完整內(nèi)容】

勒索軟件攻擊目標典型地以企業(yè)核心數(shù)據(jù)和主機設備為主。但由于企業(yè)基礎設施和網(wǎng)絡環(huán)境中的每個環(huán)節(jié)的脆弱性都與勒索威脅息息相關，加上企業(yè)攻擊面在混合辦公和業(yè)務云化的背景下不斷擴大，勒索攻擊防護既需要基礎安全防護建設，也需要增強性的防護能力。

這導致很少有廠商能提供一套既能覆蓋端、管、云，又能覆蓋事前、事中、事后的完整性解決方案。調(diào)研中，國內(nèi)外廠商在勒索攻擊防護中都主張多層/縱深防護方案，具體實現(xiàn)上，國內(nèi)外還有一些明顯區(qū)別。

國外主流勒索防護方案與代表性廠商

在反勒索防護領域表現(xiàn)突出的國外安全廠商，多通過端點安全、網(wǎng)絡防護、云安全等綜合方案提供防護和阻斷方案。方案布局整體表現(xiàn)為“多層防護+端點安全+鏈路檢測+響應處置+數(shù)據(jù)不可變”為主。本次報告調(diào)研了反勒索領域有代表性5家國際安全廠商，分別是：CrowdStrike、Palo Alto、Sophos、Bitdefender、Rubrik。

國外代表性廠商及能力特點

• CrowdStrike（美）：云原生EDR/XDR，行為檢測領先

CrowdStrike 成立于2011年，屬于云原生終端與云工作負載安全領域的代表廠商。其核心能力依托行為分析、機器學習、威脅情報以及大規(guī)模云遙測，實現(xiàn)對已知、未知惡意軟件、勒索軟件和無文件攻擊的檢測。落地方式以云原生的 Falcon平臺為核心，整合 EDR、終端保護（下一代AV能力）、威脅情報、IT可見性和事件響應能力，構建統(tǒng)一的XDR框架。針對勒索鏈路中的工具使用（如 Cobalt Strike、惡意 PowerShell、橫向移動、憑據(jù)竊取等），其基于行為模型的檢測能力成熟度較高，適用于對端點和云工作負載要求較高的企業(yè)。

• Palo Alto（美）：網(wǎng)絡+端點+云的一體化XDR

Palo Alto的反勒索方案以Cortex XDR為核心，通過整合NGFW流量遙測、端點數(shù)據(jù)、云日志等實現(xiàn)跨域攻擊鏈關聯(lián)分析。網(wǎng)絡側通過 NGFW 進行未知惡意流量檢測、加密流量分析、C2通信阻斷，并可與WildFire威脅情報聯(lián)動，形成統(tǒng)一阻斷鏈路。適用于已經(jīng)采用PAN生態(tài)的企業(yè)實現(xiàn)“端點+網(wǎng)絡+云”一體化勒索防護。

• Sophos（英）：AI驅動的EDR與托管檢測響應（MDR）

Sophos成立于1985年，長期專注于企業(yè)端點安全及MDR服務，是勒索防護市場的活躍廠商。強調(diào)“預防優(yōu)先策略”，技術上基于深度學習模型與行為檢測技術，結合惡意加密前兆識別、內(nèi)核級防護、內(nèi)存保護等能力，在勒索軟件防護中表現(xiàn)較成熟。其方案建議企業(yè)統(tǒng)一部署Sophos Endpoint，并結合Sophos MDR或XDR進行7x24監(jiān)測與響應。還可通過Sophos Firewall、NDR以及郵件安全產(chǎn)品擴展完整鏈路的勒索防護覆蓋。

• Bitdefender（羅馬尼亞）：勒索軟件疫苗與多層行為分析

Bitdefender成立于2001年，是專注端點安全與反勒索技術的廠商，以其行為分析能力和“勒索軟件疫苗”而著稱。勒索軟件疫苗技術通過模擬感染標識阻斷勒索程序的加密活動。落地過程主要是依托GravityZone平臺（AI驅動的“智能免疫系統(tǒng)”），整合端點保護、EDR、XDR和云工作負載安全，采用機器學習、行為分析、HyperDetect與沙箱技術構建多層防御，識別零日勒索與無文件攻擊。

• Rubrik（美）：數(shù)據(jù)安全與不可變備份（DSA）

Rubrik成立于2014年，定位為數(shù)據(jù)安全與數(shù)據(jù)治理廠商，其核心能力是數(shù)據(jù)層的安全控制與恢復能力。在反勒索中主要基于不可變備份、數(shù)據(jù)加密、訪問控制和數(shù)據(jù)變動分析，通過偵測備份數(shù)據(jù)異常變更識別潛在加密行為，并阻止攻擊刪除或篡改備份。結合基于身份的訪問控制、多因素認證與自動化恢復流程，可在攻擊后快速恢復關鍵業(yè)務系統(tǒng)，實現(xiàn)RTO/RPO的最小化。在勒索場景中主要承擔“數(shù)據(jù)層恢復”與“不可變防線”的角色，適用于關鍵業(yè)務系統(tǒng)保護。

國內(nèi)主流勒索防護方案與代表性廠商

國內(nèi)廠商更強調(diào)圍繞勒索行為防護關鍵環(huán)節(jié)“事前防御+事中響應+事后恢復”構建勒索防護體系。本次調(diào)研中，廠商產(chǎn)品布局更多是以“入口預防、行為檢測和響應、數(shù)據(jù)檢測和備份、攻擊面與情報驅動防護”等核心能力展開。但也有廠商基于當前企業(yè)云化和混合組網(wǎng)的情況，建議采用零信任方案減少勒索攻擊中利用橫向移動與憑證竊取對企業(yè)進行滲透的攻擊行為。此外，在行為檢測、關聯(lián)分析等方面廠商也都表示已經(jīng)在采用不同方式的AI技術對能力進行了加持。這一趨勢與去年勒索防護調(diào)研中以XDR和“云-網(wǎng)-端”基礎防護為主的勒索方案有很大區(qū)別。

本次調(diào)研的國內(nèi)廠商包括：安幾科技、盈世科技（Coremail）、方向標（FangMail）、觀成科技、瑞數(shù)信息、矢安科技、山石網(wǎng)科、亞信安全等。多廠商是在企業(yè)現(xiàn)有安全能力建設基礎上，從關鍵環(huán)節(jié)入手，為用戶提供單點/短板防護能力。其中，盈世科技（Coremail）、方向標（FangMail）以郵件入口預防為主；亞信安全、山石網(wǎng)科都是以端側勒索行為檢測為主的廠商；瑞數(shù)信息以數(shù)據(jù)備份和數(shù)據(jù)庫加密檢測為主；矢安科技是以攻擊面管理（EASM）和有效性驗證（BAS）方案為主；觀成科技主張用加密流量分析技術檢測異常流量將勒索檢測前置，但對勒索行為定性比較難；安幾科技則主張以零信任方案作為基礎建設，以有效減少惡意軟件橫向攻擊。

國內(nèi)勒索防護廠商能力簡介

這些廠商在能力上，由外向內(nèi)分別代表了企業(yè)的外部暴露面、網(wǎng)絡/入口、終端、數(shù)據(jù)，剛好構建起一個覆蓋全勒索攻擊鏈路的多層防護體系。以下分別說明這些廠商反勒索的核心能力。（展現(xiàn)順序不分先后）

• 安幾科技：零信任筑基

除專注于零信任應用研究外，安幾科技還是一家集咨詢、服務、工程服務的解決方案提供商。結合目前企業(yè)混合辦公和業(yè)務云化現(xiàn)狀，勒索攻擊傳播路徑的多樣化，在勒索防護方案中更強調(diào)基礎設施建設的重要性，即通過零信任架構構建勒索防護的基礎平臺，從傳播路徑上減少攻擊的橫向移動和滲透。在此基礎上用戶可以更方便有效地對關鍵節(jié)點進行勒索防護增強。

• 廣東盈世科技（Coremail）：郵件威脅前置防護

郵件附件為惡意宏文檔或可執(zhí)行文件提供了非常隱蔽的傳播途徑，是攻擊者實施社工、釣魚、木馬、投毒的薄弱環(huán)節(jié)，也是勒索攻擊的重要突破口之一。作為國內(nèi)郵件安全領域的代表性廠商，廣東盈世科技在CACTER郵件安全網(wǎng)關的基礎上結合反釣魚郵件技術和反病毒引擎構建了郵件威脅前置防護方案。即一方面通過人工智能算法進行語義分析、發(fā)信行為分析；另一方面通過對郵件攜帶的初始載荷開展病毒特征檢測，精準識別潛在惡意文件。并依托郵件網(wǎng)關執(zhí)行阻斷、隔離等處置動作。

該防護邏輯通常不進一步區(qū)分惡意文件的最終目標是病毒傳播、木馬遠控還是勒索。但通過結合反垃圾郵件、反釣魚郵件算法，進一步減少了以已知病毒特征為傳播載體的勒索軟件的傳播概率，增強了郵件傳播型惡意程序的專項防護能力。

• 北京方向標（FangMail）：智能化郵件安全防護系統(tǒng)

基于當前攻擊者利用AI偽造、魚叉式釣魚、變種URL等方式，顯著提升釣魚郵件的真實性、逃逸性與危害性能力，北京方向標作為專注郵件安全的廠商，也基于自主研發(fā)的深度內(nèi)容分析過濾引擎構建了新一代智能化郵件安全防護系統(tǒng)，依托“海量釣魚郵件樣本大數(shù)據(jù)+自主研發(fā)的核心算法及防護策略+安全實驗室持續(xù)運營挖掘”三位一體的技術理念，在精準高效攔截新型釣魚郵件、惡意URL、病毒及勒索軟件等威脅的同時，有效阻斷攻擊者通過郵件渠道發(fā)起的初始入侵路徑，并在終端Web訪問智能隔離等方面亦有突出表現(xiàn)。

• 觀成科技：加密威脅智能檢測系統(tǒng)

隨著勒索攻擊流量加密化趨勢日益明顯，勒索防護要從端側向網(wǎng)絡側前移。觀成科技基于對全球勒索組織的加密工具和流量特征的研究分析，以核心產(chǎn)品加密威脅智能檢測系統(tǒng)——瞰云為抓手實現(xiàn)了勒索檢測能力升級。該系統(tǒng)通過分析勒索攻擊各環(huán)節(jié)產(chǎn)生的加密流量，精準識別攻擊流量特征，最終完成對勒索攻擊行為及勒索組織的歸因。這一點既彌補了目前企業(yè)在加密流量安全識別方面的不足。也幫助用戶實現(xiàn)了“早檢測、早應對”的目標，為勒索防護工作提供了新的思路和方法。

• 瑞數(shù)信息：數(shù)據(jù)檢測和備份

瑞數(shù)信息在勒索防護中也主張事前、事中、事后的安全策略，但鑒于勒索變種導致的低檢測和溯源成功率，技術上更強調(diào)對數(shù)據(jù)庫定期盤點及時發(fā)現(xiàn)異常加密數(shù)據(jù)的重要性，即除了事前的數(shù)據(jù)備份，還要通過對數(shù)據(jù)異常加密的事前檢測、事中告警、結合事后的數(shù)據(jù)庫安全恢復幫助企業(yè)完善應急處置預案，緩解勒索事件損失。通過數(shù)據(jù)檢測和備份可以幫助企業(yè)建立數(shù)據(jù)安全預警能力。同時瑞數(shù)還建議企業(yè)要建立全面的安全意識培訓體系，制定詳細的應急響應計劃，部署行為分析與AI檢測技術，實施高效的數(shù)據(jù)備份與恢復策略，定期進行勒索演練，確保業(yè)務的連續(xù)性和數(shù)據(jù)的可恢復性。

• 矢安科技：攻擊面與情報驅動防護

矢安科技以“主動安全”為核心理念，區(qū)別于傳統(tǒng)依賴事后發(fā)現(xiàn)與被動響應的安全模式，提出并實踐“主動體檢、持續(xù)評估”，圍繞勒索這一高危威脅場景，以入侵與攻擊模擬與外部攻擊面管理為核心能力，通過實戰(zhàn)化模擬勒索軟件相關攻擊手段，系統(tǒng)性發(fā)現(xiàn)互聯(lián)網(wǎng)暴露風險與內(nèi)網(wǎng)防護薄弱環(huán)節(jié)，并可深入模擬勒索滲透、橫向移動及加密破壞等關鍵攻擊鏈路。結合量化、可對標的評估指標體系，對目標安全防護能力進行客觀、可驗證的實戰(zhàn)化評價。同時，依托AI能力實現(xiàn)攻擊路徑智能識別與風險關聯(lián)分析，幫助組織在攻擊發(fā)生前精準識別高風險路徑與關鍵短板，從“被動防御”邁向“可驗證、可預測、可進化”的主動安全范式。

• 山石網(wǎng)科：行為監(jiān)測和識別

山石網(wǎng)科技術上更強調(diào)對勒索文件特征、勒索行為監(jiān)測，采用規(guī)則匹配、沙箱/誘餌檢測技術對勒索行為進行監(jiān)測和識別。落地方式主要以EDR和CANPP為抓手，分別實現(xiàn)終端和云主機場景下的勒索防護。

• 亞信安全：AI賦能的IPPDR一體化治理方案

亞信安全依托AI XDR架構，結合對勒索病毒特征的深度研究，亞信安全打造AI賦能的IPPDR一體化勒索治理方案。方案融合AI XDR全棧數(shù)據(jù)協(xié)同能力，通過多應用智能體，協(xié)同調(diào)度網(wǎng)絡、終端、主機等6大AI XDR核心安全組件，實現(xiàn)對勒索攻擊鏈的全程可視與精準管控，全面覆蓋勒索攻擊的全生命周期。所有檢測與響應數(shù)據(jù)實時匯入“信立方”AI安全大模型，驅動識別模型與防護策略持續(xù)迭代，實現(xiàn)勒索治理能力的自適應進化與主動升級。其核心載體為“銀狐”智能行為檢測引擎與ATTK專殺工具。前者基于深度學習構建勒索攻擊行為基線，在事前精準識別未知勒索變種，并聯(lián)動AI XDR體系實時攻擊阻斷；后者集成勒索病毒基因圖譜與攻擊追溯引擎，在事后精準定位攻擊源、還原攻擊鏈路，實現(xiàn)自動化修復。

選型建議

從廠商調(diào)研結果來看，勒索軟件防護已突破單一殺毒軟件的局限，演進為多層次、多技術深度融合的綜合防御體系。為幫助企業(yè)更客觀地選擇勒索防護方案供應商，建議采用以下“反勒索能力選型評分卡”進行評估：

評估維度

關鍵指標說明

權重建議

檢測時效性

是否具備“加密前阻斷”能力？是否有針對無文件攻擊、內(nèi)存行為的AI檢測模型？

30%

身份防護深度

是否包含ITDR功能？能否保護AD域控及云身份（IdP）免受憑證竊取？

20%

恢復自動化能力

是否支持自動化恢復編排？是否有不可變備份（Immutable）防篡改機制？

20%

服務與情報能力

是否提供MDR（托管檢測響應）？是否有勒索談判與危機公關支持？

15%

兼容性與開銷

對業(yè)務性能影響（CPU/內(nèi)存占用），對老舊OS（Win7/XP/Linux）的支持度。

15%

主流廠商各有所長，選擇時應結合自身環(huán)境特點、預算和管理能力，建議優(yōu)先考慮具備“預防－檢測－響應－恢復”全鏈路防護能力的解決方案，并配合定期數(shù)據(jù)備份等基礎安全措施，構建更全面的勒索軟件防御體系。

更多內(nèi)容可掃碼獲取完整報告

合作電話：18610811242

合作微信：aqniu001

聯(lián)系郵箱：bd@aqniu.com