公安部提醒木马泛滥造成损失超20亿，天擎+准入双保险成防护首选

近日，公安部网安局发出关于防范木马病毒感染的紧急预警。网警提醒：近期，以“银狐”木马为代表的恶意程序变种频发，单日新增变种超10个，针对办公场景、金融交易等领域的攻击事件激增，已造成全国超1000家企业累计损失超20亿元。该类木马具有伪装性强、传播速度快、危害范围广等特点，严重威胁个人信息安全与财产安全。

奇安信终端安全团队近期接到多个企业中招银狐病毒的案例，例如某大型企业不久前部分电脑感染了银狐病毒，导致员工微信被拉群、被诈骗，该客户追查原因，根因在于这些中毒电脑没有安装天擎导致，安装天擎的电脑均不会中银狐病毒。为此，该客户意识到，由于集团分支机构众多，安全管理存在漏洞，缺乏强制手段让员工安装天擎，从而这些“裸奔”电脑成为漏网之鱼，导致被银狐病毒攻击。

奇安信安全专家指出，要构筑应对银狐病毒的坚固防线，最可靠手段是构筑天擎+网络准入（NAC）一体化方案，通过准入产品强制让每台电脑都安装上天擎，彻底清除安全管理盲区，这种“双保险”方案成为更多客户的首选。

银狐病毒危害大且难防，终端安全“盲区”成突破口

随着数字化转型的深入，网络已成为社会运转的核心基础设施，但网络犯罪也随之滋生蔓延。“银狐”木马作为近年来肆虐的恶意程序，自2022年被奇安信率先发现以来，已针对我国党政机关、政府部门及企事业单位等重要行业发起多轮攻击，成为网络安全领域的重大威胁。

“银狐”木马的传播手段极为狡猾，呈现出全方位、多渠道渗透的特点。它既可以通过互联网搜索引擎二次打包常用办公软件、钓鱼邮件进行无差别攻击，覆盖个人与党政机关电子政务外网；又能利用企业IM工具（浙政钉/微信/钉钉）伪造领导或财务人员身份发起精准社工钓鱼，甚至通过伪造官方通知、时事热点等主题的钓鱼网页，借助企业内部IM群扩散病毒下载链接。其恶意C2基础设施更新频次高，样本变种快、攻击手法迭代频繁，短时间内即可影响大量企业，某客户被钓鱼后半小时内就创建多个IM群，进群人数高达700余人。

某客户被钓鱼后半小时创建多个IM群，进群人数高达700余人

更令人担忧的是，银狐造成的危害更是触目惊心。信息窃取方面，它能盗取银行账号、支付密码、身份证号等敏感数据，部分变种可记录键盘操作、截取屏幕画面；远程控制层面，黑客可操控设备篡改支付订单、群发诈骗信息、开启摄像头偷拍；财产损失上，通过劫持网络交易、伪造转账指令等方式实施诈骗，单起案件涉案金额最高达数百万元；系统破坏方面，它能替换系统文件、关闭安全软件，导致设备瘫痪、数据丢失，甚至引发横向渗透，威胁整个企业内网安全。烟台市某单位就曾因无线设备被入侵，导致网络资产持续向敏感节点发送心跳数据包，万幸被网警及时发现并处置。

面对这一严峻威胁，奇安信天擎构建了“静态查杀+动态行为检测+威胁情报”的体系化防御能力，成为对抗“银狐”木马的核心技术支撑。然而，尽管天擎具备强大的防护能力，但企业终端往往分布广泛、数量众多，部分员工因安全意识薄弱或管理漏洞未安装天擎，这些“漏网之鱼”成为“银狐”木马的重要突破口。例如某集团近10万终端中，正是由于缺乏强制安装手段，导致未装天擎的电脑被病毒攻击，最终引发员工被诈骗的安全事件，这也暴露了单纯依赖终端防护软件的局限性。

网络准入“强制把关”，让终端防线“无懈可击”

越来越多的客户意识到，企业要彻底解决未装天擎导致的防护死角和漏洞，就离不开网络准入产品的核心作用。以奇安信网络准入产品为例，它具备的“强制身份鉴别”作用，通过技术手段确保每一台接入网络的终端都符合安全规范，从源头阻断“银狐”木马的入侵路径。奇安信网络准入产品作为网络接入安全的第一道防线，通过与天擎的深度联动，构建起“准入把关+终端防护”的双重保障体系。

奇安信准入产品的核心建设目标围绕企业安全需求精准定位，形成全方位的防护闭环。其一，实现资产全面可视，通过多种检测技术摸清全网终端家底，包括IT、OT、IoT等各类设备，为安全管理奠定基础；其二，防止非法终端接入，有效避免未经授权的设备和人员接入企业网络，从边界上阻断安全风险；其三，提升天擎安装率，通过准入控制强制要求每台接入网络的终端必须安装天擎才能入网，确保防护软件全覆盖；其四，实现实名溯源，对合法接入人员进行实名认证，一旦发生安全事件可快速定位责任人，为溯源处置提供支撑。

在部署策略上，奇安信准入采用“集中管控+分布式部署”的模式，兼顾管理效率与本地化执行需求。集中管控层面，利旧现有的天擎平台，扩展部署网络准入模块，实现全网准入用户/设备数据、策略、日志的集中管理，便于集团层面统筹调度；分布式部署则针对大型企业分子公司众多的特点，在各分子公司子网中分别部署网络准入控制引擎，实现对本地终端和用户的精准管理，确保管控无死角。某集团就通过这种部署模式，在400余家二三级单位部署400余套准入设备，成功实现10万终端的全面覆盖。

管理策略方面，奇安信准入实行分级分权管理，确保责任清晰、执行高效。集团通过天擎、准入一体化平台可查看全网用户和终端数据，便于经验分享和全局管控；在平台上为二级、三级公司分别开设对应管理范围的账号，让各级单位能够自主管理所辖终端和用户；各级NAC准入设备控制引擎由对应单位自行管理，提升响应速度和管理灵活性。这种分级管理模式既保证了集团的统一管控，又充分调动了各级单位的积极性，形成管理合力。

整体来看，奇安信准入的技术优势为其强制管控能力提供了坚实支撑，包括全量终端的发现与识别，支持有/无代理合规检查，认证方式丰富多样，全栈准入技术覆盖等。通过这些技术手段，奇安信准入能够强制要求终端在入网前完成身份认证和合规检查，未安装天擎的终端将被拒绝接入，从根本上解决了防护软件覆盖不全的问题。

“双保险”筑牢安全屏障，一体化方案彰显价值

某集团在遭遇“银狐”病毒攻击后，通过投资上千万元部署奇安信准入产品，通过数万点终端准入授权和数百套准入设备的全面覆盖，有效提升了天擎安装率。该项目实施后，所有接入内网的终端都必须安装天擎才能入网，彻底杜绝了“漏网之鱼”，有效避免了终端中毒带来的企业和员工经济损失，成功构建起对抗“银狐”木马的坚固防线。

在“银狐”木马变种频发、攻击事件激增的背景下，单纯依赖终端防护软件或孤立的准入控制都难以形成有效防御。奇安信天擎与准入的“双保险”组合，通过技术协同与管理联动，既解决了“防得住”的技术问题，又攻克了“全覆盖”的管理难题，为企业提供了可落地、可信赖的终端安全解决方案。