重视篡改和勒索事件情报分析才能有效应对网络威胁

作者：Sender Su 来源：本站发布日期：2025-03-25 最后修改日期：2025-03-25

关于网络安全的防守，从来都被认为是没有攻不破的系统，只是攻击方的资源投入多少的问题。所以如何有效投入资源而使攻击方意识到投入大于收益，从而放弃攻击，是防守方的工作重点。

要有效投入资源，那就必须清楚掌握攻防态势，做好网络安全事件的情报分析。也就是说，知己知彼，百战不殆，这8个字永不过时。

笔者：国际注册信息系统审计师、软考系统分析师、软件工程硕士

篡改和勒索这两种网络安全事件其实是最容易获得的、对防守工作有参考价值的网络安全情报。因为这两种事件本质上是一定会公开的，只是公开的程度有所区别，能够直接获得的信息量也不同。作为防守方，需要基于供应链关系，自行发掘更多的信息供自己利用。

就如笔者之前每月写给企业自己内部参考用的网络及数据安全月报，重点笔墨就落在最近一个月发生的、有参考价值的网络安全事件的分析。

一、对于篡改事件应分析什么

篡改事件本质属于伤害性不高，侮辱性极强。当然这伤害性仅指财务上的直接伤害，一旦发生篡改事件，各种非财务性质的连带伤害并不是说笑的，懂的都懂。

作为网络安全防守职责人员，在分析篡改事件时，应冷静无视篡改的是什么内容，集中于分析篡改究竟是如何得手。

篡改事件发生后，通常苦主的网站已经关闭，不可能直接对其进行分析。但由于篡改事件的信息通常会带有网址和截图，那就提供了分析的可能性。

首先就是基于网址本身以及DNS解析去分析。这是基本操作。简单几个例子：

比如网址带有非标端口，会否是防守方资产梳理有遗漏或者攻击面管理不到位留有敞口；如果是子域名或者通过DNS解析发掘到有子域名，甚至多域名共用IP的，会否是旁路注入；再如果具体到某个页面URL，html/.jsp/.asp/.php/.do 等等后缀就能说明该网站在运行什么基础软件；如果网站还带有URL参数，那信息量就更多了。

然后是截图。截图也有可能告诉分析者更多关于被篡改系统的信息。有些时候被篡改的页面上原来的信息都已经抹掉只剩一片空白，但左上角的站点图标还是能暴露出该站点本来运行的是什么产品，前提当然是分析者必须已经阅图标无数。

如果页面上还有其他信息留存，那不仅能从明示的信息可以直接得知运行了什么产品，还可以从比如登录界面各输入框的风格和功能判断这大约是哪一个产品。

总之只要你看过的产品足够多，就能认出来是啥。

能认出是啥产品，才能铺开网络安全防守工作的后续安排：资产统计、攻击面收敛、弱口令和特权用户排查、漏洞补丁检查、防篡改系统有效性检查、0Day漏洞可能性分析等等。

二、勒索事件要关注的重点

除了和篡改事件相似地需要分析可能被利用的防守弱点之外，对勒索事件的分析应重点关注苦主被窃取了什么类型的数据，以及这些数据之前可能存放在什么类型的设备或系统上。

从最近的事件分析情况来看，企业内的文件存储已经确证成为勒索软件组织攻击的重点。文件存储的价值自不待言，且其特征非常明显，一旦勒索软件组织得以渗透进入内网，极容易发现此类设备的存在，进而有针对性地尝试获取设备控制权以实施进一步的盗窃和加密等攻击行为。

但需要有所区分的是，勒索软件组织之所以得手，并不一定是存储设备本身存在漏洞，更可能是通过社工手段或其他方法获取到了设备的特权账户。真正要关注的是苦主具体损失了些什么。通过损失情况，判断后续可能会发生的，对自己企业网络安全防守不利的影响因素，甚至更多其他影响因素。

笔者之前已经前瞻过，比如用于AI微调或RAG的数据，很可能会是勒索软件组织的重点目标，存储安全管理员这个角色应该在2025年获得重视：

2025 在即，企业侧 AI 系统数据安全治理做好了没？

还要强调一点：要基于供应链思维，发散分析、设计和执行预防措施。

例如，如果苦主是软件厂商，被盗的数据包括软件产品的源代码，那么就完全可以预期，该软件产品将会被发掘出不会被呈报到公共漏洞信息平台的漏洞，甚至会是0Day性质的。