基于身份与访问控制的网络勒索综述与防御指南.pdf

《基于身份与访问控制的网络勒索综述与防御指南.pdf》由会员分享，可在线阅读，更多相关《基于身份与访问控制的网络勒索综述与防御指南.pdf（46页珍藏版）》请在咨信网上搜索。

1、前言近年来，各类网络安全事件频发。其中，勒索软件迅速发展成为最严重的网络安全威胁之一，成为网络犯罪的主要形式。据统计，2023 年，全球有十分之一的机构遭遇勒索软件攻击尝试，比 2022 年激增了 33%；全球每个机构平均每周遭受 1158 次网络攻击。与 2022 年相比，网络攻击次数明显增加。预计到 2031 年，每两秒钟就会发生一次勒索软件攻击，每年造成的损失将达到 2650 亿美元。数据源自CheckPoint的大数据情报引擎ThreatCloudAI尽管网络勒索在行业、地区等方面存在些许差异，但总体来看，从政府网络到关键信息基础设施，从个人到企业，从电脑设备到移动设备和服务器，勒索软

2、件攻击正在无差别地影响全球各个行业和领域、各类网络用户以及各种设备类型，给社会带来严重的不利影响。随着技术的不断发展，特别是以 AI 为代表的新技术不断完善，勒索软件攻击也在不断变化形式与手段。正如网络专家所言，勒索软件攻击事件会不断持续并升级，这已是不可避免的事实。这意味着国家、企业组织，甚至个人都亟需全面了解勒索软件的攻击手法，了解使用电脑设备时的注意事项，并采取行之有效的安全防护软件和应对措施，以应对随时可能发生的勒索攻击事件。因此，本报告重点为大家详细综述勒索软件，帮助全面了解勒索软件的定义、发展与演变、常见类型、工作原理和主要攻击方式等内容；并基于访问控制的角度，分析 2023 年的

3、网络勒索态势。最后，结合派拉软件最擅长的技术领域身份与访问控制管理，从访问控制的角度详细阐述如何应对网络勒索。希望该报告能够协助个人、企业和政府机构从身份认证与访问控制角度更加有效地制定安全规划，降低遭受勒索攻击的风险。F o r e w o r d2018201920202021202220234%7%5%8%7%10%Ransomware lmpact on OrganizationsReaching All-time High in 2023(*global%of organizations targeted with ransomware attacks)04 前言网络勒索与发展05

4、勒索软件是什么05 网络勒索发展与演变08 常见的勒索软件类型勒索软件工作与攻击方式10 勒索软件工作原理11 勒索软件主要攻击方式2023 勒索软件态势分析14 2023 勒索软件攻击态势持续升级15 身份与访问控制仍是勒索软件攻击的首选16 80%数据泄露事件与失窃的特权身份有关16 网络勒索攻击持续增长原因分析上篇|网络勒索与态势分析Part 1Part 2 Part 3目录C o n t e n t s基于身份与访问控制的网络勒索综述与防御指南零信任是骨架21 零信任核心理念22 身份管理和访问控制24 资源隐藏和敲门技术25 网络安全和隔离26 端点安全Part 4身份安全是基石27

5、 企业身份治理31 身份威胁识别与风险管控访问控制是核心35 身份认证37 权限治理40 特权访问管理AI 大模型应用43 智能自适应身份认证44 智能动态权限管控44 智能风险监控45 结束语46 关于派拉软件下篇|基于访问控制的网络勒索应对策略Part 5Part 6Part 7上篇|网络勒索与态势分析4随着技术的发展和全球数字互联的日益紧密，网络勒索正在不断演变和发展。本篇章派拉软件将立足当下，回顾过去并展望未来，详细综述网络勒索，及其发展演变与工作原理，并基于身份与访问控制维度分析 2023 年网络勒索态势分析。网络勒索与态势分析上篇基于身份与访问控制的网络勒索综述与防御指南5网络勒索

6、与发展网络勒索是一种网络犯罪活动，攻击者通过勒索软件对企业进行网络攻击，对目标数据进行高强度加密，以此要挟受害者支付赎金以换取数据解密。勒索软件，又称勒索病毒，是一种恶意软件，常被归类为“阻断访问攻击”（denial-of-accessattack）。其工作方式与计算机病毒类似，但在攻击手法和处置方式上有所不同。勒索软件通常是对数据、文件和操作系统进行加密锁定，然后要求受害者支付赎金，否则不予解密或威胁将数据公开、销毁，甚至向相关监管部门投诉。勒索软件的主要传播方式包括钓鱼邮件、网页挂马、漏洞利用、远程登录入侵、供应链攻击和移动介质传播等。勒索软件并非新生事物，从第一个已知的勒索软件出现至今，

7、已有35年的历史。然而，近年来勒索软件的发展迅猛，破坏性和影响力前所未有，引起了全球的广泛关注。网络勒索发展与演变勒索软件攻击作为一种特殊的恶意软件攻击形式，自出现以来不断变化演进，技术也在持续迭代，数量和质量都在不断提升。从最初的恶作剧、炫技和个人牟利的攻击，迅速演变为专业化、团队化的安全威胁，成为全球性的重大安全问题。在初级阶段，网络勒索主要针对个人电脑，赎金仅为几百美元。从 2015 年起，美国联邦调查局陆续接到企业网络系统遭攻击的报案，赎金迅速上涨至几千美元。如今，勒索软件影响已扩展至社会各个阶层。近年来，勒索软件已经成为一个新兴的“产业”，并且呈现出攻防极度不对等的局面。攻击手法的演

8、进速度远超企业安全防护措施的提升速度。特别是随着加密货币（如比特币）的出现，赎金支付方式变得更加灵活，同时勒索团队的触角也逐步扩展，从局部勒索演变为全球性威胁。勒索软件是什么上篇|网络勒索与态势分析6企业一旦遭受勒索软件攻击，影响会迅速蔓延至整个公司，降低工作效率，导致业务中断数小时甚至数天。2017 年的 WannaCry 攻击感染了 150 多个国家的 30 多万台计算机，其中包括英国国家健康体系（NHS），导致超过 60 家医院和诊所受到影响，信息系统无法正常运转，医生无法查看病患病历，救护车无法正常接收服务请求，大量患者被迫延误或取消就诊。网络勒索的早期形式20 世纪 80 年代末至

9、90 年代，网络勒索的概念可以追溯到早期计算机病毒和木马的出现。1989 年，哈佛大学学生编写的艾滋病木马（PCCyborg病毒）被认为是第一个已知的勒索病毒，它对受感染系统上的文件名进行加密，并要求付费才能恢复。勒索软件的出现2000 年初，“勒索软件”一词开始普及，但与今天相比，当时仍处于初级阶段，多用于描述黑客恐吓或操作可逆的情况。比如 Gpcode 木马，虽然加密文件，但支付赎金后可轻易解密。勒索软件的复杂性与传播2010 年，随着比特币等加密货币的出现，勒索软件变得更加复杂。比特币提供了一种安全且匿名的接收赎金方式。著名的例子有 CryptoLocker 和WannaCry，它们在全

10、球范围内产生了广泛的影响。勒索手段多样化2010 年中期开始，网络犯罪分子的勒索策略变得更加多样化。除了加密数据，他们还威胁在线泄露敏感数据。这种策略被称为“doxware”或“leakware”，从单纯的经济勒索转向数据价值的进一步挖掘，使受害者不仅要考虑赎金支付，还需担心企业数据泄露导致的名誉受损、研发停滞、核心机密外泄等问题。这些变化表明，网络犯罪分子已经意识到，威胁公开勒索数据可能带来更高的回报。CL0P、BianLian、Avos、BlackCat、HuntersInternational 和 Rhysida等勒索组织正朝这个方向发展，利用数据机密性和法律法规要求来强迫受害者支付赎金

11、，以避免罚款或声誉受损。2023 年，ALPHV/BlackCat 勒索软件团伙更是将敲诈勒索提升到新高度，向美国证券交易委员会提交投诉，指控其一名受害者未遵守披露网络攻击的规定。基于身份与访问控制的网络勒索综述与防御指南7有针对性的勒索软件攻击越来越多的网络勒索者进行更有针对性的攻击，称为“大型游戏狩猎”，重点针对有能力支付更高赎金的大型组织和关键基础设施。这种方法需要更复杂的社会工程和网络渗透技术。与国家资助的活动相结合网络犯罪集团和国家资助的行为者之间存在明显重叠，用于网络勒索的技术和工具也被用于地缘政治网络行动，这模糊了犯罪活动和国家支持的网络活动之间的界限。勒索服务产业化勒索软件市场

12、的不断扩大催生了新的盈利模式勒索软件即服务（RaaS）。在这种模式下，勒索软件进入产业化发展阶段，在暗网市场中交易整套勒索软件服务。任何人都可以利用 RaaS 平台提供的现成解决方案，降低网络犯罪的门槛，即便是新手攻击者也能成功入侵分散的安全基础设施。根据反病毒服务提供商 CarbonBlack2017 年 10 月的调查报告，全球有超过6300 个暗网平台提供勒索软件交易，销售总额从 2016 年的 25 万美元增长至2017 年的 620 万美元，增长了约 25 倍。团体运作模式提升了专业化程度，助长了易用、定制工具的出现，开发人员专注某一环节或技术即可执行针对性的攻击，成功概率更高，影响

13、更严重。黑产市场的繁荣进一步推动勒索软件向更广范围蔓延。上篇|网络勒索与态势分析8以下是几种常见且值得注意的勒索软件类型：常见的勒索软件类型加密勒索软件CryptoRansomware加密勒索软件是最常见的勒索软件类型。它通过计算机或网络持续不断地搜索，专门用于发现具有一定价值的重要数据（如文档、照片和视频），并对这些数据进行加密，从而阻止用户访问。用户必须支付赎金才能获得解密密钥。通常，计算机内的其他文件不会受到影响，用户仍可正常使用计算机。然而，被加密的数据文件将无法访问，除非支付指定的赎金才能解锁。CryptoWall、WannaCry和Locky是一些知名的加密型勒索软件实例。锁定型勒

14、索软件LockerRansomware与加密型勒索软件不同，锁定型勒索软件不加密个人文件，而是锁定整个设备，使用户无法访问其操作系统、应用程序或任何文件。通常，锁定型勒索软件在启动时显示一个消息，要求支付赎金来解锁设备。Reveton和Petya是此类勒索软件的典型例子。由于这种形式的勒索软件通常不涉及加密，一旦受害者重新获得设备访问权限，所有敏感文件和数据都会被保留。假冒警告勒索软件Scareware假冒警告勒索软件通常伪装成安全警告或技术支持警告，声称检测到了非法软件或病毒，并要求支付赎金来“清除”这些不存在的威胁。尽管这类软件可能不会锁定或加密文件，但它们通过制造恐慌来诱使用户支付赎金。

15、在支付赎金前，受害者将无法关闭该消息窗口，也不能正常使用计算机。FakeAV是典型的假冒警告勒索软件。勒索软件即服务RansomwareasaService,RaaSRaaS是一种将勒索软件的创建和分发外包给第三方的模式，使得即使没有高级编程技能的攻击者也能轻松发起勒索软件攻击。攻击者通常需要支付一定比例的赎金给服务提供者。Cerber和GandCrab是两个知名的RaaS平台。01020304基于身份与访问控制的网络勒索综述与防御指南9双重勒索软件DoubleExtortionRansomware双重勒索软件不仅加密受害者的文件，还窃取数据，并威胁要公开这些数据，以迫使受害者支付赎金。这种类

16、型的勒索软件利用数据泄露的威胁作为额外的筹码，增加赎金支付的压力。Maze和DoppelPaymer是采用双重勒索策略的勒索软件实例。随着智能手机和平板电脑的广泛使用，移动勒索软件也越来越普遍。这种类型的勒索软件专门针对Android和iOS等移动操作系统，锁定设备或加密设备上的文件，并要求赎金。SimpLocker和Fusob是两种常见的移动勒索软件。移动勒索软件MobileRansomware泄露软件Doxware泄露软件是一种特殊形式的勒索软件，不仅删除或限制受害者对数据文件的访问或使用，如果未及时支付赎金，该软件会通过网络传播敏感信息，如私密照片或视频、个人身份信息和财产信息。有些网络

17、犯罪分子甚至会在暗网上售卖这些数据。这种以受害者个人声誉为威胁的犯罪行为危害尤为严重。对于商业和个人用户而言，Doxware的威胁是极为严重的。050607随着技术不断进步，勒索软件的类型和攻击手法还在持续演变。以 AI 技术为代表的新型勒索软件带来了各种新的攻击手段，使用 AI 进行深度伪造诈骗、诽谤、敲诈勒索等新型违法行为屡见不鲜，且日益增多。在生成式 AI 浪潮下，黑客们将生成式 AI 作为“勒索攻击武器”，频繁发起复杂的网络攻击，并将其扩大甚至自动化。上篇|网络勒索与态势分析10勒索软件工作与攻击方式勒索软件可以通过任何数字手段进行分发，包括电子邮件、网站附件、业务应用程序、社交媒体和

18、 USB 硬件等多种数字传输机制。其中，电子邮件仍然是最主要的传输载体，且网络犯罪分子更倾向于使用链接文件，其次是附件。下图展示了勒索软件的常见分发手段。勒索软件工作原理以电子邮件为例，网络钓鱼邮件常伪装成通知或虚假软件更新请求发送给用户。当用户点击链接或附件时，其他恶意组件通常会在后台透明下载，并使用RSA2048位私钥对文件进行加密，使用户几乎无法解密文件。在其他情况下，勒索软件可能嵌入在网站上，一旦下载并安装，便会发起攻击。勒索软件的整体生命周期可大致分为以下六个环节，如下图所示：31%电子邮件链接28%电子邮件附件24%网站附件9%末知来源4%社交?体1%业务应用?主?件?3 远程密?

19、2 勒索软件?意链接传播?索要?特定?件加密基于身份与访问控制的网络勒索综述与防御指南11?利用代码下载、邮件附件或驱动下载将恶意软件引入受害者的设备；?恶意程序植入主机并收集记录主机信息；?勒索软件联系其指挥与控制（C&C）服务器获取加密密钥；?勒索软件开始搜索具有特定扩展名的用户文件，如pdf、docx、xlsx、pptx和jpg等；?将目标文件移动并进行加密；?向受害者发送包含赎金要求的声明。了解了勒索软件的工作原理后，我们需要进一步探讨其主要攻击方式。通过了解这些攻击方式，可以帮助企业更好地防御网络勒索攻击。分析市场上公开的网络勒索事件及其原因发现，大多数勒索病毒攻击在攻击早期会暴露出

20、明显的“攻击信号”，如弱口令暴力破解、非法外联、远程登录、漏洞扫描等。这些攻击信号通常没有经过高级伪装，许多安全厂商都有成熟的安全产品或解决方案，能够实时监控相关攻击活动，及时发现并产生告警。勒索软件主要攻击方式总体来说，网络勒索攻击者主要通过暴力破解、钓鱼邮件、漏洞扫描与利用、远程桌面入侵等方式发起攻击，并植入勒索病毒实施勒索行为。以下是具体常见的攻击方式介绍：暴力破解暴力破解是最简单直接的入侵方式，通过系统地尝试所有可能的密码，直到找到正确的密码。攻击者使用工具扫描暴露在互联网上的高危端口，然后通过暴力破解、字典攻击、混合攻击等方式入侵，主要针对需要密码验证的系统，包括但不限于网络服务、数

21、据库、个人账户等。通常使用自动化工具生成并尝试密码，这些工具能够在短时间内尝试成千上万的密码组合。若系统存在弱口令，则极易被暴力破解渗透。勒索软件最常用的传播方式之一就是针对RDP远程桌面服务的暴力破解。钓鱼邮件钓鱼邮件是勒索软件传播的主要形式之一。攻击者通常采用社会工程学的伪装手法，精心构造邮件主题、内容及附件名称，使其极具欺骗性和迷惑性。受害用户通常无法直接分辨这些钓鱼邮件的可信度，许多人因此上当受骗。上篇|网络勒索与态势分析12例如，攻击者会伪装成合法机构、企业或受害者的联系人，在邮件中添加伪装成合法文件的恶意附件，或在邮件正文中提供恶意 URL 链接。攻击者诱导收件人打开恶意附件或访问

22、恶意链接。一旦受害者打开恶意附件或点击恶意链接后，勒索软件即被下载并开始加密用户设备上的文件。违规操作违规操作指的是系统运营者或合法使用者出于工作便利或特殊原因，对系统进行的违规操作，从而导致系统防御失效并被攻击者入侵。严格来说，违规操作本身不是一种攻击方式，而是一种诱发攻击的原因。攻击者通常利用内部人员的违规操作，通过打开的映射端口或通道进入内网，并结合其他攻击手法获取系统控制权，实现恶意外联，对系统进行远程控制和监控。据权威报告显示，绝大多数违规操作都是因为系统存在“非法外联”行为，在溯源过程中被发现。攻击者利用内网人员的违规操作进入内网，并进一步获取系统的控制权。漏洞扫描与利用漏洞是操作

23、系统或应用程序中的编码错误，是计算机系统在研发过程中存在的缺陷或问题。攻击者利用软件中未修复的安全漏洞来传播勒索软件。通常，攻击者会使用漏洞攻击包（ExploitKit）检测设备操作系统或应用程序中是否存在安全漏洞。这种攻击方式不需要用户交互，因此对于未及时更新软件的系统来说风险特别高。基于身份与访问控制的网络勒索综述与防御指南13攻击者通过感染软件供应链中的某个环节（如第三方服务提供商或软件更新）间接感染目标用户或企业。攻击者入侵软件供应商的服务器设备，利用软件供应链的分发、更新等机制，在合法软件传播和升级过程中劫持或篡改软件，从而规避用户的网络安全防护机制，传播勒索病毒。远程登录许多公司主

24、机因业务需求启用远程维护功能，因此远程访问端口通常开放。攻击者通过猜测、弱口令或暴力破解等方式获取远程桌面服务的登录凭据（用户名和密码），然后通过远程桌面协议（RDP）登录服务器直接投放勒索软件。攻击者一旦成功登录服务器，便可利用服务器作为攻击跳板，在内部网络横向传播勒索病毒。软件供应链攻击最典型的案例是 2017 年 WannaCry 事件。永恒之蓝利用 Windows 系统的 SMB 协议漏洞获取系统最高权限，从而控制被入侵的计算机。永恒之蓝于2017 年 4 月 14 日爆发，不法分子在 2017 年 5 月 12 日完成对永恒之蓝的改造，使其成为 WannaCry 勒索软件，导致全球范

25、围内大规模感染。据统计，仅 2017 年 5 月 12 日一天就有超过 90 万台主机被感染。此后，利用漏洞进行扩散的勒索软件开始频繁出现。上篇|网络勒索与态势分析142023 勒索软件态势分析2023 年，全球勒索软件攻击的频率自第二季度开始大幅上升。勒索攻击通过加密数据使业务系统无法正常运转，迫使企业支付赎金。这导致企业在停工停产造成的经济损失和支付赎金之间做出选择。大多数企业选择支付赎金以迅速恢复业务。据 Check Point 发布的 2023 年全球网络安全报告显示，2023 年网络威胁持续升级。全球每个机构平均每周遭受 1,158 次网络攻击。与2022年相比，网络攻击次数明显增加

26、，这表明数字威胁形势依然严峻。2023 勒索软件攻击态势持续升级2023 年，网络威胁形势不断演变，特别是勒索软件威胁的实施方式。勒索软件继续构成重大风险，尤其是对规模较小、防御能力较弱的企业。攻击者开始重点进行数据窃取和纯粹的勒索活动。MOVEit 和 GoAnywhere 的两起大规模攻击活动体现了这种战术上的变化。这些攻击并没有使用传统的基于加密的勒索软件，而是通过威胁泄露被盗数据来索要赎金。据 360 最新报告显示，2023 年，在国际安全领域，新出现的勒索软件如ESXiArgs、Akira、INCRansom 与 HuntersInternational 展示了其破坏性能力。这些恶意

27、软件利用安全漏洞和管理不善，侵入了众多大型企业的内部网络，导致关键设备损坏和重要数据被盗。在这些事件中，INCRansom 专门针对主要机械制造工厂进行精准打击；HuntersInternational 则将攻击焦点集中在医疗和制药行业，甚至对美国海军的一个承包商实施了攻击；Akira 的挑衅行为尤为突出，其攻击了德国南威斯特法伦州的一家关键系统供应商，造成了该州 72 个市政府业务的大面积中断。在国内，多家大型能源企业、金融企业和制造业企业先后遭到勒索软件的侵袭。尽管这些事件主要影响分支部门，并未直接影响整个集团，但其带来的业务损失和数据泄露的间接影响不可小觑。此外，下半年针对中小企业服务器

28、的攻击也层出不穷。11582023年网络威胁持续升级。全球每个机构平均每周遭受1，158 次网络攻击。当前流行的主要勒索软件家族将更多攻击重点转移到了大型超大型集团企业。基于身份与访问控制的网络勒索综述与防御指南15总体来看，2023 年国内勒索软件攻击事件量相对平稳，但这并非由于勒索软件攻势放缓。当前流行的主要勒索软件家族将更多攻击重点转移到大型和超大型集团企业，勒索团伙通过较少的攻击次数获取巨大的回报。同时，更明确的攻击目标和更低的攻击频率便于攻击者制定更具针对性的策略，从而提高每次攻击的成功率。身份与访问控制仍是勒索软件攻击的首选派拉软件团队在 2023 年观察到，针对身份的网络威胁明显

29、增加。攻击者倾向于选择阻力最小的途径实现其目标，焦点已从传统的漏洞利用转向登录凭证获取。这种转变不仅反映了攻击者适应性强、策略灵活的特点，也凸显了身份与访问控制在当今网络安全中的关键地位。另一项研究显示，网络勒索攻击者正转向更快、更有效的手段，如身份攻击（包括网络钓鱼、社会工程和访问代理）及漏洞利用。这一趋势在过去五年中尤为明显，与身份攻击和访问代理的成功密切相关。网络钓鱼和社会工程攻击通过诱骗用户泄露敏感信息或执行恶意操作，利用了人性的弱点和心理漏洞，使得攻击成功率大大提高。访问代理是威胁行为者获取组织访问权限并提供或出售给其他行为者的手段，包括勒索软件运营商。这些代理通过各种手段获取组织的

30、访问权限，然后在地下市场上出售给出价最高的买家。2023 年，这些对手继续通过向各种电子犯罪参与者提供初始访问权限获利，与 2022 年相比，公布的访问数量增加了近20%。这种趋势表明，访问代理已经成为网络犯罪生态系统中的一个重要组成部分，其影响力和危害性不容小觑。当今复杂的网络攻击只需几分钟即可成功。攻击者使用“交互式入侵”技术模仿预期的用户和管理员的行为，使防御者难以区分合法用户活动和网络攻击。这种技术手段的进步，使得攻击者能够在不引起警觉的情况下迅速实现其目的。为了加快攻击速度，攻击者通过各种方式获取合法的登录账号和密码，包括从初始访问代理人处购买凭据。这种购买行为不仅加快了攻击速度，还

31、增加了攻击的隐蔽性和复杂性。因此，到 2024 年，企业组织必须优先考虑保护身份安全。派拉软件团队于2023年观察到的最大变化是，针对身份的网络威胁在明显激增。上篇|网络勒索与态势分析16据统计，80%的黑客攻击中涉及的数据泄漏事件与失窃的特权身份有关。特权身份凭证几乎是每次严重攻击的共同因素。攻击者需要通过窃取特权身份凭证来获得访问企业最关键资产信息的权限。特权身份凭证是访问网络关键基础设施和窃取数据的必要前提。2023 年，所有重大安全事件几乎都始于高权限（特权）账号泄漏。例如，2023 年 1 月，黑客团伙 Lapsus$使用“superuser”账户入侵 Okta，并发布了据称获取自内

32、部系统的屏幕截图，影响 366 名 Okta 客户。5 月，美国德克萨斯州达拉斯市因 Royal 勒索软件攻击被迫关闭所有 IT 系统，攻击始于域服务器账号被盗，导致 Royal 团队获得市网络访问权限，并最终导致 1.169TB 的敏感数据泄漏。8 月，MGM 国际酒店集团遭遇勒索软件攻击，攻击始于 Okta 中的高权限账号失窃，导致数百台 ESXi 服务器被加密，造成每天高达 840 万美元的损失。数字化时代，企业面临越来越复杂的网络安全威胁。特权访问是组织最有价值资产的入口，也是每次重大安全漏洞的核心。因此，企业必须制定完整的策略来管理和监控特权访问，并在需要时及时检测和应对威胁，以减轻

33、黑客攻击的风险。80%数据泄露事件与失窃的特权身份有关网络勒索攻击持续增长原因分析勒索软件攻击日益复杂，从单纯的数据加密转变为数据盗窃和泄露。这一策略的改变反映了网络犯罪分子认识到，威胁释放被盗数据可能比持有数据获取赎金带来更高的回报。另一个关键趋势是勒索软件团体的崛起，其复杂程度越来越高，从通用性安全攻击团队转向专业化勒索团队。由于勒索攻击带来的巨大经济利益，犯罪团伙寻找在网络保险、合规和立法等领域拥有先进技能和专业知识的个人。勒索软件组织之间的竞争格局预计将加剧。人工智能（AI）融入网络犯罪活动也日益受到关注。恶意行为者利用人工智能技术（包括生成式人工智能）创建更具说服力的虚假内容。在重大

34、全球事件的背景下，这一点尤为令人担忧。失窃的特权身份是几乎每次严重攻击的共同因素。基于身份与访问控制的网络勒索综述与防御指南17从内外部分析，网络勒索持续增长的原因包括：安全措施不足许多组织缺乏强大的网络安全防御，容易成为网络勒索者的目标。薄弱的安全协议、过时的系统和未修补的漏洞为攻击者提供了轻松的入口。缺乏员工意识员工缺乏网络安全最佳实践的培训，容易受到网络钓鱼攻击、社会工程和敏感信息的无意泄露。数据管理不足数据管理不善和敏感数据缺乏加密或定期备份策略可能导致网络犯罪分子轻松访问并利用这些数据作为勒索的杠杆。有限的事件响应计划没有明确事件响应计划的组织在应对网络勒索攻击时准备不足，导致响应延

35、迟或无效。勒索软件即服务（RaaS）的兴起RaaS 在暗网的可用性降低了网络犯罪分子的进入门槛，使得技术技能有限的人也能发起勒索软件攻击。这种模式提升了专业化程度，助长了易用、定制工具的出现，犯罪分子只需专注某一环节或某一技术即可执行有针对性的攻击。加密货币的使用勒索攻击活动猖獗的一部分原因是比特币等匿名支付手段的恶意利用。比特币的去中心化特点使其成为网络勒索的主要支付形式，隐匿了攻击者的身份，从而鼓励更多犯罪分子从事网络勒索。数字依赖性增加随着企业数字化转型深入，企业和个人对数字服务的依赖程度增加，网络攻击的潜在影响也随之增加，使得网络勒索变得更加有利可图。上篇|网络勒索与态势分析18攻击的

36、复杂性网络犯罪分子不断发展技术，使用更复杂的方法逃避检测并提高攻击成功率。法律和司法挑战网络犯罪的跨境性质给执法和起诉带来了重大挑战，使许多网络勒索者能够逍遥法外。这些内部和外部因素的融合为网络勒索的增长创造了肥沃的土壤。为了应对这一日益严重的威胁，组织必须加强内部防御，培养网络安全意识文化，并与外部合作伙伴和执法部门合作，增强抵御网络勒索的能力。全球连接性互联网的全球性使得来自世界任何地方的攻击者都可以瞄准远方的受害者，增加了潜在目标的数量。基于身份与访问控制的网络勒索综述与防御指南19无论是从 2023 年网络勒索攻击的现状分析，还是从勒索软件传播手段（如远程桌面协议 RDP、弱口令和数据

37、库弱口令依然是最主要的入侵途径）来看，身份访问控制都是企业组织应对网络勒索攻击的必要且关键的技术手段。基于访问控制的网络勒索应对策略下篇下篇|基于访问控制的网络勒索应对策略20国家互联网应急中心（CNCERT）发布的勒索软件防范指南中，提出了防范勒索软件的“九要与四不要”：在这些防范措施中，我们也可以看到身份与访问控制安全的重要性。当然，要更加有效地应对网络勒索，企业组织需要采取多层次、多维度的策略方法来防范，并确保在成为目标时能够迅速有效地做出反应。整个防范策略涉及技术防御、员工培训和明确的事件响应协议的结合。市面上已有很多关于此类防范策略的白皮书。基于此，本章节将换个视角，重点从派拉软件最

38、擅长的身份认证与访问控制技术着手，探讨如何通过完善企业人员、网络、应用和数据的访问控制，有效防御网络勒索。类别措施 九要资产梳理进行资产梳理与分级分类管理数据备份备份重要数据和系统密码设置设置复杂密码并保密安全评估定期进行安全风险评估病毒防护经常进行病毒扫描、关闭不必要的端口身份验证做好身份验证和权限管理访问控制严格执行访问控制策略安全意识提高员工的安全意识应急预案制定应急响应预案四不要邮件点击不点击来源不明的邮件网站访问不打开来源不可靠的网站软件安装不安装来源不明的软件存储介质不使用来历不明的存储介质基于身份与访问控制的网络勒索综述与防御指南21零信任是骨架零信任安全模型建立在“从不信任，始

39、终验证”的原则之上。采用 NIST 的零信任框架可以防止网络攻击者利用权限过多和缺乏网络分段来实施攻击，从而降低遭受网络攻击的风险。据调查显示，在某些情况下，实施零信任安全策略可以获得 92%的投资回报率，半年内回本。零信任还可以将数据泄露的概率降低 50%。最重要的是，零信任不仅仅是一种产品，而是一个过程和方法。许多组织将其网络看作是被护城河包围的城堡，保护网络边界的防御措施（如防火墙和入侵防御系统 IPS）将攻击者拒之门外，类似于护城河将入侵部队挡在中世纪的城堡外。然而，这种“城堡加护城河”的安全方法非常容易受到勒索软件的攻击。事实是，攻击者经常能够突破“护城河”，一旦进入，他们就可以自由

40、地感染和加密整个网络。零信任核心理念基于此，行业提出了一种新的假设：假定“城堡”内外都存在威胁。这种理念被称为零信任。零信任模型维持严格的访问控制，默认不信任任何人或计算机，即使是网络边界内的用户和设备。它是一种不依赖于物理或逻辑位置来决定安全措施的新型网络安全架构。零信任架构的优势在于它基于风险管理的原则，采用自适应、个性化、统一、自动化的安全控制技术，为组织提供更高的安全性和灵活性。随着组织对网络安全需求的不断增长，零信任架构已成为当下及未来网络安全的重要趋势。下篇|基于访问控制的网络勒索应对策略22零信任网关数据库网关防数据泄露防数据误删权限控制高危控制API网关API网关API管理AP

41、I安全服务治理特权网关特权访问特权账号密码管理运行时访问?e?网关统一会话表单代?密码管理细粒度权限APP领导门户WEB新?门户PC工作门户PAD?门户?毒SDP/VPN补丁VDI/RDPMDM?箱安全策略DLP端点网关?业务?数据载体数据本体数据处理风险?查数据梳理数据保护监控预警身份治理风险?查数据梳理数据保护监控预警ERPCRMWebOAIMHRMAPIEMaileHRMESSCMPMS在网络勒索应对中，零信任持续监控并基于会话重新验证用户和设备，一旦检测到感染，它可以通过缩小甚至取消网络和应用程序访问权限来阻止勒索软件的进一步传播。在系统检测到入侵者时立即锁上门。即使攻击者窃取了密码，

42、他们仍然无法访问，因为没有授权设备。零信任还遵循“最小权限”原则，使勒索软件难以提升权限并控制网络。零信任模型主要通过四大核心内容对企业网络安全进行保障，即身份管理和访问控制、资源隐藏和敲门技术、网络安全和隔离、端点安全。身份管理和访问控制零信任模型作为一种新型网络安全架构，旨在消除传统安全模型中的“信任边界”，实现对用户、设备和应用程序的全方位监控和管理。在零信任模型中，身份和访问管理是关键组成部分，因为每个访问请求都需要进行身份验证和权限确认，以保证系统的安全性和稳定性。身份验证是指确定用户的真实身份，而权限确认则是根据用户的身份和访问需求，确定其是否有权访问特定资源。在零信任模型中，常用

43、的身份验证技术包括用户名和密码、多因素认证（MFA）和生物识别技术等。多因素认证可以增加用户身份的可信度，提高系统的安全性；而单点登录（SSO）可以简化用户的登录流程，提高用户满意度和使用体验。基于身份与访问控制的网络勒索综述与防御指南23除了身份验证，访问控制也是身份和访问管理的重要组成部分。访问控制根据用户的身份和访问需求，确定其可以访问的资源和权限级别。在零信任模型中，访问控制通常采用基于策略的访问控制（PBAC）或基于属性的访问控制（ABAC）等技术。为了实现有效的身份和访问管理，需要结合技术和管理措施，建立一个完整的安全体系。技术方面包括身份验证技术、访问控制技术和多因素认证技术等；

44、管理方面则包括身份管理、访问管理和风险管理等。在身份管理方面，需要建立一个完整的流程，包括身份注册、身份验证、身份授权和身份撤销等。在访问管理方面，需要建立完整的流程，包括访问审批、访问监控和访问日志等。在风险管理方面，需要建立完整的流程，包括风险评估、风险应对和风险监控等。基于不同用户的动态风险因子采集基于用户动态风险?，控制用户?录认证方式、?止高?访问、或?定?常?单点登?API规?结?录访问统一认证入口IAM应用管理员应用?浏览器常用设备操作系统授权设备.操作习惯登录频率登录时间访问历史?信?风险?身份数据?信?行为分析身份属性用户权限?特权账号用户级别IP地址.网络环境地理环境数据转

45、换聚合分类特权账号认证方式（?持单?展）（?持?认证）（?持应用内重要?程?认证）数据建模风险告警风险控制?认证?Face ID.风险通知数据处理风险分析数据?配风险计算风险服务风险情报风险?法模型访问设备频繁切换IP/账号/时间黑白名单短时间内位置变化算法策略非常用时间段/设备/IP.用户OTP在零信任模型中，身份和访问管理是非常重要的组成部分。只有建立一个完整的身份和访问管理体系，结合多种技术和管理措施，才能保证系统的安全性和稳定性，提高用户满意度和使用体验。在后续章节中，我们将详细介绍身份和访问管理的具体内容。在零信任模型中，身份和访问管理是非常关键的组成部分，因为每个访问请求都需要进行

46、身份验证和权限确认，以保证系统的安全性和稳定性。下篇|基于访问控制的网络勒索应对策略24资源隐藏和敲门技术在零信任环境中，资产保护能力至关重要。其中，通过 UDP 的敲门技术可以实现对资产的有效保护。UDP 是一种无连接的协议，其端口可以用于接收数据包而不返回任何数据包，从而使外部扫描器无法获取端口是否开放的信息。在零信任的敲门技术中，采用 UDP 接收外部的敲门数据包，并通过数据包中的认证数据（通常是基于 OTP 的动态口令）进行认证。认证成功后，通过防火墙技术动态开放 TCP 端口，用于后续的用户认证和隧道连接。因此，利用 UDP和 TCP 的敲门技术可以实现对资产的保护。具体来说，单包授

47、权（SPA）通过对连接服务器的所有数据包进行认证授权，服务器认证通过后才响应连接请求，从而实现企业业务的服务隐身，使其无法从网络上连接和扫描。在 UDP 端口敲门和 TCP 服务隐身模式下，设备默认隐藏所有需保护的端口，仅开放 UDP 敲门端口。正常用户在访问前需要发送含有身份凭证的 UDPSPA敲门包，验证成功后更新本地防火墙规则，临时开放指定源 IP 对 443 端口的访问权限。后续连接建立过程中遵循第二代 TCPSPA 流程完成 TLS 会议协商，再开放 TCP 保护端口，并进行 SPA 校验。在零信任环境中，通过 UDP 的敲门技术，可以有效地保护企业的资产安全，提高安全防护能力。基于

48、身份与访问控制的网络勒索综述与防御指南25与传统网络隔离方案相比，微隔离技术具有以下优势：实现微隔离技术需要一些特殊的访问控制设备，如 VPN 隧道设备、网关设备等，这些设备对网络流量进行访问控制和隔离，确保只有授权流量才能进入或离开微隔离网段。此外，还需要对网络应用和服务进行安全配置，避免潜在安全风险。网络安全和隔离微隔离技术是零信任网络安全策略中的关键组成部分，是基于网络安全原则的新型隔离方案。通过对网络流量的访问控制和隔离，将网络划分为多个逻辑上的微小网段，以实现更安全和高效的网络管理。每个安全区域都有独立的访问控制和安全策略，防止攻击者一旦入侵就能访问整个网络。微隔离优势描述高效性快速

49、实现网络隔离，简单配置访问控制设备，易于故障排查和问题解决安全性隔离不同网络应用和服务，防止安全威胁扩散，如隔离金融交易和 Web 服务器可管理性网络流量隔离于多个逻辑网段，每网段有独立管理策略，便于扩展和管理主动?光分析探索攻击基线系统系统隔离、安全加固零信任网络的微隔离转移攻击者预防风险检测风险确认风险等级处理事故设计/模式变更调查取证预测修复、调整响应防御检测策略合规?行持续监测和自适应调整监控下篇|基于访问控制的网络勒索应对策略26端点安全在零信任模型中，保护各种设备（无论是移动设备还是物联网设备）至关重要。这些设备通常没有经过充分的安全测试和认证，容易成为网络攻击的目标。因此，必须采

50、取一系列措施确保这些设备的安全性和保密性。企业可以通过下述步骤，建立完善的端点设备安全管理和监控体系，确保设备的安全性和可靠性。企业组织在实施微隔离技术时需综合考虑网络规模、安全需求和访问控制策略等多个因素，确保微隔离网段的安全、高效和可管理性。微隔离主要通过以下几种方式提高网络安全性：微隔离是零信任网络安全策略中的重要组成部分，能实时感知企业资产的网络状态，以发现异常访问，对网络安全进行实时监控，并在威胁发生时，及时阻断，减少威胁爆炸半径，有助于保护敏感信息和资源，提高网络的安全性和可靠性。随着技术的发展，微隔离的实现方式也在不断改进和创新，未来将发挥更重要的作用。微隔离策略功能描述实现方式