高端制造业巨额勒索损失揭示终端安全漏洞

 勒索肆虐全球，伴随AI技术的发展，勒索变得更加频繁且低成本。其中，医疗、高端制造业可谓勒索重灾区！

作为全球最大晶圆代工厂台积电遭到7000万美元的勒索。4月台湾电脑制造商微星（简称MSI）发布公开声明，证实其部分网络信息系统遭受了勒索病毒攻击，并被勒索团伙要求微星限期支付四百万美元的赎金，否则将公开所有被盗数据。作为全球领先的工业自动化和工业物联网（IIoT）芯片制造商Advantech研华科技，也曾遭遇勒索软件团伙袭击，并要求提供1400万美元的赎金以解密受影响的系统并停止泄漏被盗的公司数据。此外，以色列芯片代工厂Tower半导体、德国晶圆厂X-FAB也曾先后遭受网络攻击而不得不暂停部分设施或晶圆厂......

高端制造业成为勒索团伙的首选目标

恶意软件、数据泄露、勒索攻击等不同类型的安全威胁在高端制造领域轮番上演。

在芯片制造业中，因其行业特殊性，黑客对它“情有独钟”，该行业高度依赖自动化、智能化，高连续性，这期间生产成本高，制造工艺复杂，且不能中断，从最初的晶圆到后期的芯片，都在一个工厂生产线上完成，信息安全在芯片制造业中就显得尤为重要。

勒索升级换代3.0 

加密数据+窃取敏感数据的双重勒索攻击依然成为常态。勒索团队在入侵方式上也采取了多种手段，例如BlackMatter使用的攻击方式涉及利用漏洞、社交工程、远程桌面协议（RDP）攻击，通过网络入侵和渗透，获得对目标系统的初始访问权限。一旦BlackMatter勒索软件成功进入系统，它会加密受害者的文件，并要求支付高额的赎金以获取解密密钥。该勒索家族还采用了反调试功能和反虚拟化技术来阻碍安全研究人员的分析。

勒索攻击在2023年上半年完成了从二重到三重的进化：加密数据+窃密数据+DDOS攻击的三重勒索攻击已经进化而来，Lockbit 3.0更成为三重勒索的典型代表。

终端脆弱性导致黑客利用机会攻击

目前，绝大多数终端安全防护方案主要针对投放阶段的文件建立有效防御，对于一些漏洞攻击、进程注入、脚本执行等无文件攻击手段防护较弱。攻击者为了控制目标系统往往采用更加隐蔽的加密通信技术，检测难度指数级上升。勒索病毒问世30多年来，很多终端安全防护方案基本可以做到已知勒索病毒的防护，真正的难点是如何防御勒索变种和未知勒索软件。

守护企业终端安全

亚信安全新一代终端安全TrustOne，实现可持续不间断发现、评估组织类可被黑客利用的薄弱环节，并显性化、危险指数量化这些薄弱点，通过攻击面管理提供的各项缓解功能，在攻击发生前快速修复。此外，针对勒索攻击的每个阶段，以及不同的攻击手段，TrustOne通过威胁情报、攻防对抗、机器学习、检测响应等能力，从终端文件、性能、进程、行为等多维度来评估网络中存在的已知、未知攻击风险，并利用TrustOne自身构建自适应框架体系，快速、有效地防护勒索攻击。

针对勒索攻击， 亚信安全新一代终端安全TrustOne通过事前、事中、事后三个阶段，助力芯片企业防护勒索攻击，减少损失。

事前检测 

通过对已知资产、未知资产进行梳理，利用已经洞察到的针对不同阶段勒索攻击的72个勒索攻击的检测点，举出所有攻击面，对资产实施强访问控制，并提供有力保护。同时利用TrustOne检测响应（EDR）模块中强大的检测能力及威胁情报能力，可定期、主动对端点上潜藏的威胁进行隔离，将安全防护能力真正的做到事前响应处置。

事中响应 

根据应急响应流程，快速启用应急响应机制，通过两个“1小时”，开始完成对勒索攻击的防治。第一个“1小时”，快速收集可疑告警并聚合分类，利用AI自动化分析和专家研判锁定可疑目标，现场初步分析并判读可疑样本。第二个“1小时”，利用TrustOne自身构建的自适应框架体系，通过XDR联动机制，将IOC情报下发到终端并对可疑样本进行威胁隔离。

事后加固 

利用TrustOne检测响应（EDR）模块中的溯源分析能力，对勒索攻击事件进行事后总结，发现终端环境中存在的薄弱环节，并对其采取针对性的应对措施，对整个终端资产进行安全加固。

亚信安全新一代终端安全TrustOne，集成了UES（统一终端安全）、UEM（统一终端管理）、ASM（攻击面管理）等先进技术能力，可围绕终端安全治理构建完整的解决方案。具体包括病毒查杀，勒索防护，无文件攻击，终端网络威胁防护（Web 信誉，可疑连接），恶意行为检测，终端防火墙，损害清除，漏洞利用阻止，虚拟补丁防护等安全防护能力；补丁管理，漏洞扫描，外设管理，终端审计，资产管理，安全基线，文件分发，远程运维，网络准入等运维管控能力和终端检测与响应（EDR）为一体的综合解决方案，为芯片企业的Windows系统、信创系统、Linux系统提供一体化的终端安全防护。