勒索攻击飙升，企业如何用SOC打破“被动防御”困局？

摘要：2025年2月，勒索软件攻击达到了前所未有的高峰。根据Bitdefender最新发布的《威胁简报》，全球勒索软件攻击数量较去年同期增长了惊人的126%，受害者从2024年2月的425家飙升至962家。Cl0p勒索软件团伙尤为活跃，仅一个月内就实施了超过335次

勒索攻击现状及企业困境

2025年2月，勒索软件攻击达到了前所未有的高峰。根据Bitdefender最新发布的《威胁简报》，全球勒索软件攻击数量较去年同期增长了惊人的126%，受害者从2024年2月的425家飙升至962家。Cl0p勒索软件团伙尤为活跃，仅一个月内就实施了超过335次攻击，占所有攻击事件的三分之一以上，较前一个月增加了300%。

随着勒索病毒的发展，现在的攻击不仅包括加密受害者的数据以勒索赎金，还采用了双重勒索模式——即在加密数据的同时窃取数据，并在拒绝支付赎金时公开敏感信息，以此来进一步施压。这种攻击方式不仅导致业务中断、客户体验受损和收入损失，还可能带来高额的赎金支付及恢复成本，甚至引发合规性和法律风险。

面对如此迅猛增长的网络安全威胁，企业迫切需要转变其安全策略，通过构建高效的安全运营中心（Security Operations Center，SOC）来打破“被动防御”的困局。

传统SOC的局限性

然而，传统的SOC在应对勒索攻击时面临着诸多挑战：

一方面，SOC内部充斥着来自不同供应商的单点解决方案，每个解决方案都有独特的数据集、用户界面和代理。这些解决方案不仅耗费时间和资源来维护和监控，还降低了SOC的效率。

另一方面，许多网络犯罪团伙正在效仿高级持续性威胁（APT）的战术，使用多种不同的攻击载体来实现自己的目标，这导致安全团队面临警报负担过重的问题。分析师要花费数小时调查警报，确定哪些是可信的，哪些是不可信的，误报警报的数量过多，使得SOC的效率大打折扣。

企业用SOC打破“被动防御”困局的策略

1、整合供应商和工具

企业需要审视自身环境，识别SOC当前保护的所有资产，从网络到服务器再到端点，确定哪些是高风险，哪些是低风险，以及清单中缺少的内容和缺口在哪里。同时，要整合供应商和工具，确定哪些工具需要淘汰，哪些需要保留，采用将数据源、情报和分析纳入共享系统的工具，减少缺口。例如，通过实施一个平台，将有关威胁、漏洞和业务情境的数据整合到一个统一的视图中，让SOC团队对下一步行动充满信心。

2、借助人工智能

利用人工智能获得清晰理解，减少误报警报的数量。可以使用剧本，利用行为检测和威胁情报快速对警报进行分类，通过确定特定属性来自定义这个分类。由机器学习驱动的解决方案可以收集、整合和分析数据，从而更快地得出结论，并在无需人工干预的情况下关闭许多警报。同时，利用人工智能帮助解决威胁和处理事故，采用AI解决方案，自动检测多数据源异常模式，提供情境警报，与人类决策并行。利用数百万次攻击情报，AI赋能SOC团队，增强专业知识，加速调查，减少盲点，实现人机协同的安全优化。

3、自动化和智能化赋能

企业可以利用自动化和人工智能赋能的解决方案提升SecOps，让SOC团队重新充满激情和战略思维。首先，要摒弃低价值任务，利用人工智能帮助解决威胁和处理事故。其次，自动履行关键职能，保护员工免于倦怠，提高员工留任率。自动执行重复性、低级别任务的解决方案不会取代分析人员，反而能让他们更专注于调查真正的威胁。此外，推行跨领域培训，涵盖警报分流、响应、威胁搜寻等，促使成员像攻击者思考，快速提升技能，正所谓知己知彼，百战不殆。

聚铭下一代智慧安全运营中心解决方案

在数字化转型的浪潮中，聚铭网络作为国内领先的安全运营商，以前瞻性视角聚焦于组织安全的顶层设计，创新性地推出了下一代智慧安全运营中心。基于“人机共生智慧运营”的理念，体系化构建五大中心——全域数据采集分析中心、全域安全监控中心、安全运维承载中心、整网安全管控中心及安全可视化中心，旨在为企事业单位提供一站式安全运营管理解决方案。