如何拥有企业数字化安全的好CP 原创

黑产和黑社会到底还有啥区别？这是采访完Check Point 中国区技术总监王跃霖，与Check Point大中华区Harmony产品经理王励杰后产生的第一个直观印象。黑社会绑架人进行勒索，而黑产的“肉票”则是数据；黑社会打、砸、抢，黑产则是DDoS攻击、钓鱼、渗透，非法窃取、加密目标客户的数据，进而对客户进行勒索。下面我们就先随着王励杰的介绍来看一下，黑产是如何一步步向黑社会的方向进行发展的。

Check Point大中华区Harmony产品经理王励杰

从广种薄收到矛头钓鱼

既然是绑票，自然要选择更加有价值的目标，黑产的数据勒索也是一样。王励杰用网络钓鱼开始为我们举例。网络钓鱼，是目前常见的、隐蔽性越来越强的一种安全威胁。以前黑产制作一个钓鱼网站，会几万人、十几万人的大面积进行邮件分发。这么多人里，有几个上当的人，就已经算达到目的，纯属就是广种薄收。但是现在，钓鱼网站越来越狡猾、更有针对性，甚至就是专门针对某个高管或者企业内部的关键人士。首先黑产会全面收集目标各种信息，然后有针对性的制作钓鱼网站。这就是所谓的矛头钓鱼，或称鱼叉式网络钓鱼。针对个人定制，只用一次就不再用。如此一来，一些黑名单之类的安全防御方式就无法起到作用，目标对于钓鱼网站很难进行判断，上钩的可能性也会大幅提升。

新世纪的网络绑票

如果说矛头钓鱼只是针对个人的网络诈骗活动的话，那么勒索软件就是针对整个社会的绑架勒索了。最近几年异常猖獗的勒索软件也已经变成集团化的运作。有专业黑客团伙，首先会通过钓鱼等方式攻破企业内网，然后伺机寻找高价值资源，释放勒索软件。整个攻击过程相当复杂，耗时也会很长，会形成长期攻击、长期威胁的态势。

这种攻击造成的危害也很严重，美国石油管道公司被勒索，有100G的企业数据外泄，最终导致整个美国东部地区的石油供应受到极大影响。由此可知黑客组织特别是勒索软件，能够对一个国家的经济运行造成严重的影响。当然，这也确实引起了美国政府的极大关注，对这个黑客组织进行追杀，导致这个黑客组织要么被捕，要么被解散。这典型案例确实把黑客能造成的影响达到了最大化，引起了所有人的重视。但黑产伸向企业的黑手并未就此斩断，反而变本加厉的伸向了一般性经营企业，一家全球肉类生产商也同样遭受到了勒索威胁，无奈之下只能关闭分布在美国、加拿大、澳大利亚工厂，向黑产支付出高达1100万美元。然而这还只是有勇气站出来承认的企业，还有更多企业选择了默不作声，悄悄向黑产进行妥协。

端点安全防护能力的衰退

“黑产的日益猖獗，和当前日渐衰退的端点安全防护能力有着很大的关联。以杀毒软件为起点的端点安全防护功能，越来越难以满足目前诡谲多变的钓鱼、勒索、零日威胁的安全防护需求。”对此王励杰继续分析道：

在如今高度网络化的时代，尤其是一些在家办公或移动办公的人员，他们只有对端点，比如自己的手机、电脑或云端的某个计算节点的控制权限，其他部分不在用户的控制之下。确实对于端点安全的要求提到了一个很高的程度。

而对于杀毒软件这种依据特征码比对来进行安全防护的传统端点安全产品而言，往往属于亡羊补牢这一种类型，只能被动的在发现一种威胁之后，再进行相应的处理。虽然目前在端点上也会采用沙箱、AI等技术来对威胁进行预判，然而此类操作往往会占用端点上本不充裕的算力资源，造成系统卡顿、响应缓慢，严重用户的应用体验。

更主要的是，当前的网络钓鱼和勒索软件中往往会采用很多零日威胁技术，让传统杀毒软件无从查起，自然也就起不到阻拦与预警的作用。

端点安全的应对方案

传统杀毒软件对于端点安全防御疲软，那么又应当如何对端点安全进行防护？Check Point中国区技术总监王跃霖为我们提供了如下三条安全建议：

Check Point中国区技术总监王跃霖

一、以预访为主。杀毒软件之所以成为事后诸葛亮，就是因为在很多情况下，都是病毒已经在我们的电脑上之后，再去进行检测和查杀。与其让病毒在造成破坏之后再去挽救，最理想的状态是在病毒传入电脑之前提前分析拦截。

此外，预访不仅是由外向内，还需由内向外。黑产最希望得到就是员工在企业的登录账号和密码，针对这些敏感信息是否可以预先进行拦截，让钓鱼网站无鱼可钓，也是端点安全防护的重要一点。

二、以AI驱动多层次安全。实际上，黑产已经在很多入侵手段中用上了AI分析能力。从端点安全来讲，如果用户不具备这个能力，自然无法与黑产进行对抗。例如分析钓鱼网站时，就可以利用AI技术从视觉相似度上进行分析，从而让钓鱼网站彻底现形。

此外，还有感染后的自动修复和恢复，这就是现在很热门的概念EDR——端点检测和响应。那前面讲到勒索软件，对勒索软件进行侦测、自动修复，平时进行文件备份，那这个就是典型的EDR概念。

三、整合智能威胁情报架构。比如说用户在端点收到Email邮件后，对邮件进行检测，但Email是从哪里来？是从我们的Email服务器转发而来。如果把端点安全跟邮件安全整合在一起，就能把威胁消除在最初的萌芽状态。威胁就根本进不了用户的邮箱，这样的整合是能够起到更好的效果。当然，整合还需要有一个强大的威胁情报库在后面进行后端支援。这个威胁情报库越丰富，威胁预防的能力也就越强

威胁情报库如果只从端点的角度去收集，对于及时性和丰富性都有局限。如果能从各个不同的角度，比如说从安全网关上面也收集这安全威胁，如果有这样的能力，安全威胁的视野就变得非常非常宽阔了。

最后一点，基于云做统一安全管理。云端将会在在未来的端点安全防护中，为用户提供强有力的支撑。比如端点算力有限，进行沙盒、AI类的分析往往力不从心，这时可以借助云端的充足算力对威胁进行分析，客户端上只需要部署一个轻量级的应用程序就可以完成端点安全防护工作。

此外还有面向端点检测和响应的EDR，本身就是跨越企业内部所有的端点去做整体的安全分析。将EDR架构部署到云端，通过云端平台实现大数据集成、统一进行关联分析，就可以完全摸清黑客的入侵路线，得到威胁事件的完整链条。从而达到基于云的统一管理，实现最理想的端点安全防护效果。

最后，王跃霖强调：端点安全只是整个网络安全中的一个部分。我们要综合分析，从各个不同的维度进行统一的情报分析。在对用户的网络侧、终端、云端等各个方面的威胁进行统一的情报分析，反过来提升整体的威胁防护能力，这样才能更好的与黑色产业链进行对抗，保护好用户的数据安全。