多層防護 VS 全鏈路管控 ：國內外反勒索廠商技術路徑解析

本文節選自安全牛。

【掃碼獲取報告閱讀完整內容】

勒索軟件攻擊目標典型地以企業核心數據和主機設備為主。但由于企業基礎設施和網絡環境中的每個環節的脆弱性都與勒索威脅息息相關，加上企業攻擊面在混合辦公和業務云化的背景下不斷擴大，勒索攻擊防護既需要基礎安全防護建設，也需要增強性的防護能力。

這導致很少有廠商能提供一套既能覆蓋端、管、云，又能覆蓋事前、事中、事后的完整性解決方案。調研中，國內外廠商在勒索攻擊防護中都主張多層/縱深防護方案，具體實現上，國內外還有一些明顯區別。

國外主流勒索防護方案與代表性廠商

在反勒索防護領域表現突出的國外安全廠商，多通過端點安全、網絡防護、云安全等綜合方案提供防護和阻斷方案。方案布局整體表現為“多層防護+端點安全+鏈路檢測+響應處置+數據不可變”為主。本次報告調研了反勒索領域有代表性5家國際安全廠商，分別是：CrowdStrike、Palo Alto、Sophos、Bitdefender、Rubrik。

國外代表性廠商及能力特點

• CrowdStrike（美）：云原生EDR/XDR，行為檢測領先

CrowdStrike 成立于2011年，屬于云原生終端與云工作負載安全領域的代表廠商。其核心能力依托行為分析、機器學習、威脅情報以及大規模云遙測，實現對已知、未知惡意軟件、勒索軟件和無文件攻擊的檢測。落地方式以云原生的 Falcon平臺為核心，整合 EDR、終端保護（下一代AV能力）、威脅情報、IT可見性和事件響應能力，構建統一的XDR框架。針對勒索鏈路中的工具使用（如 Cobalt Strike、惡意 PowerShell、橫向移動、憑據竊取等），其基于行為模型的檢測能力成熟度較高，適用于對端點和云工作負載要求較高的企業。

• Palo Alto（美）：網絡+端點+云的一體化XDR

Palo Alto的反勒索方案以Cortex XDR為核心，通過整合NGFW流量遙測、端點數據、云日志等實現跨域攻擊鏈關聯分析。網絡側通過 NGFW 進行未知惡意流量檢測、加密流量分析、C2通信阻斷，并可與WildFire威脅情報聯動，形成統一阻斷鏈路。適用于已經采用PAN生態的企業實現“端點+網絡+云”一體化勒索防護。

• Sophos（英）：AI驅動的EDR與托管檢測響應（MDR）

Sophos成立于1985年，長期專注于企業端點安全及MDR服務，是勒索防護市場的活躍廠商。強調“預防優先策略”，技術上基于深度學習模型與行為檢測技術，結合惡意加密前兆識別、內核級防護、內存保護等能力，在勒索軟件防護中表現較成熟。其方案建議企業統一部署Sophos Endpoint，并結合Sophos MDR或XDR進行7x24監測與響應。還可通過Sophos Firewall、NDR以及郵件安全產品擴展完整鏈路的勒索防護覆蓋。

• Bitdefender（羅馬尼亞）：勒索軟件疫苗與多層行為分析

Bitdefender成立于2001年，是專注端點安全與反勒索技術的廠商，以其行為分析能力和“勒索軟件疫苗”而著稱。勒索軟件疫苗技術通過模擬感染標識阻斷勒索程序的加密活動。落地過程主要是依托GravityZone平臺（AI驅動的“智能免疫系統”），整合端點保護、EDR、XDR和云工作負載安全，采用機器學習、行為分析、HyperDetect與沙箱技術構建多層防御，識別零日勒索與無文件攻擊。

• Rubrik（美）：數據安全與不可變備份（DSA）

Rubrik成立于2014年，定位為數據安全與數據治理廠商，其核心能力是數據層的安全控制與恢復能力。在反勒索中主要基于不可變備份、數據加密、訪問控制和數據變動分析，通過偵測備份數據異常變更識別潛在加密行為，并阻止攻擊刪除或篡改備份。結合基于身份的訪問控制、多因素認證與自動化恢復流程，可在攻擊后快速恢復關鍵業務系統，實現RTO/RPO的最小化。在勒索場景中主要承擔“數據層恢復”與“不可變防線”的角色，適用于關鍵業務系統保護。

國內主流勒索防護方案與代表性廠商

國內廠商更強調圍繞勒索行為防護關鍵環節“事前防御+事中響應+事后恢復”構建勒索防護體系。本次調研中，廠商產品布局更多是以“入口預防、行為檢測和響應、數據檢測和備份、攻擊面與情報驅動防護”等核心能力展開。但也有廠商基于當前企業云化和混合組網的情況，建議采用零信任方案減少勒索攻擊中利用橫向移動與憑證竊取對企業進行滲透的攻擊行為。此外，在行為檢測、關聯分析等方面廠商也都表示已經在采用不同方式的AI技術對能力進行了加持。這一趨勢與去年勒索防護調研中以XDR和“云-網-端”基礎防護為主的勒索方案有很大區別。

本次調研的國內廠商包括：安幾科技、盈世科技（Coremail）、方向標（FangMail）、觀成科技、瑞數信息、矢安科技、山石網科、亞信安全等。多廠商是在企業現有安全能力建設基礎上，從關鍵環節入手，為用戶提供單點/短板防護能力。其中，盈世科技（Coremail）、方向標（FangMail）以郵件入口預防為主；亞信安全、山石網科都是以端側勒索行為檢測為主的廠商；瑞數信息以數據備份和數據庫加密檢測為主；矢安科技是以攻擊面管理（EASM）和有效性驗證（BAS）方案為主；觀成科技主張用加密流量分析技術檢測異常流量將勒索檢測前置，但對勒索行為定性比較難；安幾科技則主張以零信任方案作為基礎建設，以有效減少惡意軟件橫向攻擊。

國內勒索防護廠商能力簡介

這些廠商在能力上，由外向內分別代表了企業的外部暴露面、網絡/入口、終端、數據，剛好構建起一個覆蓋全勒索攻擊鏈路的多層防護體系。以下分別說明這些廠商反勒索的核心能力。（展現順序不分先后）

• 安幾科技：零信任筑基

除專注于零信任應用研究外，安幾科技還是一家集咨詢、服務、工程服務的解決方案提供商。結合目前企業混合辦公和業務云化現狀，勒索攻擊傳播路徑的多樣化，在勒索防護方案中更強調基礎設施建設的重要性，即通過零信任架構構建勒索防護的基礎平臺，從傳播路徑上減少攻擊的橫向移動和滲透。在此基礎上用戶可以更方便有效地對關鍵節點進行勒索防護增強。

• 廣東盈世科技（Coremail）：郵件威脅前置防護

郵件附件為惡意宏文檔或可執行文件提供了非常隱蔽的傳播途徑，是攻擊者實施社工、釣魚、木馬、投毒的薄弱環節，也是勒索攻擊的重要突破口之一。作為國內郵件安全領域的代表性廠商，廣東盈世科技在CACTER郵件安全網關的基礎上結合反釣魚郵件技術和反病毒引擎構建了郵件威脅前置防護方案。即一方面通過人工智能算法進行語義分析、發信行為分析；另一方面通過對郵件攜帶的初始載荷開展病毒特征檢測，精準識別潛在惡意文件。并依托郵件網關執行阻斷、隔離等處置動作。

該防護邏輯通常不進一步區分惡意文件的最終目標是病毒傳播、木馬遠控還是勒索。但通過結合反垃圾郵件、反釣魚郵件算法，進一步減少了以已知病毒特征為傳播載體的勒索軟件的傳播概率，增強了郵件傳播型惡意程序的專項防護能力。

• 北京方向標（FangMail）：智能化郵件安全防護系統

基于當前攻擊者利用AI偽造、魚叉式釣魚、變種URL等方式，顯著提升釣魚郵件的真實性、逃逸性與危害性能力，北京方向標作為專注郵件安全的廠商，也基于自主研發的深度內容分析過濾引擎構建了新一代智能化郵件安全防護系統，依托“海量釣魚郵件樣本大數據+自主研發的核心算法及防護策略+安全實驗室持續運營挖掘”三位一體的技術理念，在精準高效攔截新型釣魚郵件、惡意URL、病毒及勒索軟件等威脅的同時，有效阻斷攻擊者通過郵件渠道發起的初始入侵路徑，并在終端Web訪問智能隔離等方面亦有突出表現。

• 觀成科技：加密威脅智能檢測系統

隨著勒索攻擊流量加密化趨勢日益明顯，勒索防護要從端側向網絡側前移。觀成科技基于對全球勒索組織的加密工具和流量特征的研究分析，以核心產品加密威脅智能檢測系統——瞰云為抓手實現了勒索檢測能力升級。該系統通過分析勒索攻擊各環節產生的加密流量，精準識別攻擊流量特征，最終完成對勒索攻擊行為及勒索組織的歸因。這一點既彌補了目前企業在加密流量安全識別方面的不足。也幫助用戶實現了“早檢測、早應對”的目標，為勒索防護工作提供了新的思路和方法。

• 瑞數信息：數據檢測和備份

瑞數信息在勒索防護中也主張事前、事中、事后的安全策略，但鑒于勒索變種導致的低檢測和溯源成功率，技術上更強調對數據庫定期盤點及時發現異常加密數據的重要性，即除了事前的數據備份，還要通過對數據異常加密的事前檢測、事中告警、結合事后的數據庫安全恢復幫助企業完善應急處置預案，緩解勒索事件損失。通過數據檢測和備份可以幫助企業建立數據安全預警能力。同時瑞數還建議企業要建立全面的安全意識培訓體系，制定詳細的應急響應計劃，部署行為分析與AI檢測技術，實施高效的數據備份與恢復策略，定期進行勒索演練，確保業務的連續性和數據的可恢復性。

• 矢安科技：攻擊面與情報驅動防護

矢安科技以“主動安全”為核心理念，區別于傳統依賴事后發現與被動響應的安全模式，提出并實踐“主動體檢、持續評估”，圍繞勒索這一高危威脅場景，以入侵與攻擊模擬與外部攻擊面管理為核心能力，通過實戰化模擬勒索軟件相關攻擊手段，系統性發現互聯網暴露風險與內網防護薄弱環節，并可深入模擬勒索滲透、橫向移動及加密破壞等關鍵攻擊鏈路。結合量化、可對標的評估指標體系，對目標安全防護能力進行客觀、可驗證的實戰化評價。同時，依托AI能力實現攻擊路徑智能識別與風險關聯分析，幫助組織在攻擊發生前精準識別高風險路徑與關鍵短板，從“被動防御”邁向“可驗證、可預測、可進化”的主動安全范式。

• 山石網科：行為監測和識別

山石網科技術上更強調對勒索文件特征、勒索行為監測，采用規則匹配、沙箱/誘餌檢測技術對勒索行為進行監測和識別。落地方式主要以EDR和CANPP為抓手，分別實現終端和云主機場景下的勒索防護。

• 亞信安全：AI賦能的IPPDR一體化治理方案

亞信安全依托AI XDR架構，結合對勒索病毒特征的深度研究，亞信安全打造AI賦能的IPPDR一體化勒索治理方案。方案融合AI XDR全棧數據協同能力，通過多應用智能體，協同調度網絡、終端、主機等6大AI XDR核心安全組件，實現對勒索攻擊鏈的全程可視與精準管控，全面覆蓋勒索攻擊的全生命周期。所有檢測與響應數據實時匯入“信立方”AI安全大模型，驅動識別模型與防護策略持續迭代，實現勒索治理能力的自適應進化與主動升級。其核心載體為“銀狐”智能行為檢測引擎與ATTK專殺工具。前者基于深度學習構建勒索攻擊行為基線，在事前精準識別未知勒索變種，并聯動AI XDR體系實時攻擊阻斷；后者集成勒索病毒基因圖譜與攻擊追溯引擎，在事后精準定位攻擊源、還原攻擊鏈路，實現自動化修復。

選型建議

從廠商調研結果來看，勒索軟件防護已突破單一殺毒軟件的局限，演進為多層次、多技術深度融合的綜合防御體系。為幫助企業更客觀地選擇勒索防護方案供應商，建議采用以下“反勒索能力選型評分卡”進行評估：

評估維度

關鍵指標說明

權重建議

檢測時效性

是否具備“加密前阻斷”能力？是否有針對無文件攻擊、內存行為的AI檢測模型？

30%

身份防護深度

是否包含ITDR功能？能否保護AD域控及云身份（IdP）免受憑證竊取？

20%

恢復自動化能力

是否支持自動化恢復編排？是否有不可變備份（Immutable）防篡改機制？

20%

服務與情報能力

是否提供MDR（托管檢測響應）？是否有勒索談判與危機公關支持？

15%

兼容性與開銷

對業務性能影響（CPU/內存占用），對老舊OS（Win7/XP/Linux）的支持度。

15%

主流廠商各有所長，選擇時應結合自身環境特點、預算和管理能力，建議優先考慮具備“預防－檢測－響應－恢復”全鏈路防護能力的解決方案，并配合定期數據備份等基礎安全措施，構建更全面的勒索軟件防御體系。

更多內容可掃碼獲取完整報告

合作電話：18610811242

合作微信：aqniu001

聯系郵箱：bd@aqniu.com