近年來(lái)，勒索攻擊活動(dòng)顯著增加，給企業(yè)造成了巨大損失，引發(fā)了大眾的廣泛關(guān)注：

2020年9月，德國(guó)杜塞爾多夫大學(xué)醫(yī)院的30多臺(tái)服務(wù)器遭到勒索攻擊，導(dǎo)致醫(yī)院系統(tǒng)癱瘓，無(wú)法接收新的急診病人。一名急需救治的婦女因無(wú)法在該醫(yī)院得到及時(shí)治療而被轉(zhuǎn)送，最終不幸去世。這是公開(kāi)報(bào)道的第一起因勒索攻擊直接導(dǎo)致人員死亡的事件。

2021年2月，美國(guó)最大的燃料管道運(yùn)營(yíng)商Colonial Pipeline遭到DarkSide勒索軟件攻擊，導(dǎo)致其8851公里的燃料運(yùn)輸管道被迫關(guān)閉數(shù)天，引發(fā)燃料短缺和油價(jià)飆升，對(duì)美國(guó)經(jīng)濟(jì)和民眾生活造成了廣泛影響。

2024年2月，隸屬于美國(guó)聯(lián)合健康集團(tuán)的醫(yī)療保健服務(wù)商Change Healthcare遭到BlackCat勒索團(tuán)伙的勒索攻擊，約6TB的數(shù)據(jù)被泄露，影響多達(dá)1億民眾，造成的損失高達(dá)60億元。

類(lèi)似的勒索攻擊在全球范圍內(nèi)愈演愈烈。IBM《2025 X-Force威脅情報(bào)報(bào)告》顯示，勒索攻擊已連續(xù)四年成為最主要的網(wǎng)絡(luò)攻擊類(lèi)型，占比高達(dá)28%。同時(shí)，攻擊者更多采用數(shù)據(jù)竊取替代加密，以降低暴露風(fēng)險(xiǎn)。

對(duì)于企業(yè)而言，一旦遭受勒索攻擊，可能導(dǎo)致核心數(shù)據(jù)被加密、被索取天價(jià)贖金，甚至可能導(dǎo)致企業(yè)業(yè)務(wù)中斷、客戶(hù)信任流失、被處巨額罰金。尤其是中小企業(yè)，勒索攻擊堪比“催命符”，造成的后果難以估量。

面對(duì)復(fù)雜嚴(yán)峻的安全形勢(shì)，傳統(tǒng)的縱深防御安全架構(gòu)顯得力不從心。企業(yè)唯有擁抱零信任理念，構(gòu)建零信任安全架構(gòu)，才能更好地防范勒索攻擊，實(shí)現(xiàn)“防勒索于未然”。

勒索攻擊為何防不勝防？

面對(duì)無(wú)孔不入、手段多樣的勒索攻擊，傳統(tǒng)的“邊界為王”的防護(hù)模式暴露出了諸多弱點(diǎn)，給了勒索團(tuán)伙可乘之機(jī)：

1.邊界“消失”：安全邊界模糊，企業(yè)防不勝防

當(dāng)前，遠(yuǎn)程辦公、混合辦公已經(jīng)成為常態(tài)，企業(yè)的業(yè)務(wù)、數(shù)據(jù)、人走出了內(nèi)網(wǎng)，員工可以在任何地方、使用任何設(shè)備訪(fǎng)問(wèn)企業(yè)資源，數(shù)據(jù)在公有云、私有云和本地?cái)?shù)據(jù)中心之間自由流動(dòng)。

這種“無(wú)邊界”的作業(yè)模式，讓攻擊者可以輕易繞過(guò)邊界防護(hù)設(shè)備，通過(guò)遠(yuǎn)程辦公的員工設(shè)備、不安全的家庭Wi-Fi、VPN，甚至供應(yīng)鏈合作伙伴的薄弱環(huán)節(jié)滲透進(jìn)企業(yè)內(nèi)網(wǎng)。一旦進(jìn)入，由于內(nèi)網(wǎng)通常被視為“可信區(qū)域”，攻擊者便如入無(wú)人之境。

2.敵暗我明：網(wǎng)絡(luò)暴露面大，易被掃描攻擊

隨著移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、物聯(lián)網(wǎng)（IoT）的普及，企業(yè)對(duì)互聯(lián)網(wǎng)的依賴(lài)程度越來(lái)越高，企業(yè)員工、客戶(hù)、第三方人員都會(huì)通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)各種業(yè)務(wù)應(yīng)用，導(dǎo)致業(yè)務(wù)資源在互聯(lián)網(wǎng)上的暴露面越來(lái)越大。勒索團(tuán)伙可以通過(guò)掃描端口，判定業(yè)務(wù)類(lèi)型、服務(wù)版本和漏洞狀況，從而實(shí)施針對(duì)性的攻擊。

3.門(mén)禁不“禁”：盜用身份信息，“合法”訪(fǎng)問(wèn)應(yīng)用

身份憑證的盜用已成為勒索攻擊的主要“跳板”。根據(jù)Verizon《2024數(shù)據(jù)泄露調(diào)查報(bào)告》，超80%的勒索攻擊涉及被盜憑證。

傳統(tǒng)的安全系統(tǒng)往往依賴(lài)于靜態(tài)的密碼認(rèn)證，缺乏對(duì)訪(fǎng)問(wèn)者身份真實(shí)性的持續(xù)驗(yàn)證。攻擊者一旦通過(guò)網(wǎng)絡(luò)釣魚(yú)、社會(huì)工程學(xué)、暗網(wǎng)購(gòu)買(mǎi)等方式獲取員工的合法賬號(hào)和密碼，就可以堂而皇之地訪(fǎng)問(wèn)授權(quán)應(yīng)用，竊取敏感數(shù)據(jù)，并在此基礎(chǔ)上橫向移動(dòng)，尋找高價(jià)值目標(biāo)進(jìn)行加密勒索，而整個(gè)過(guò)程在傳統(tǒng)監(jiān)控系統(tǒng)看來(lái)可能都是“合規(guī)”操作。

4.外嚴(yán)內(nèi)松：權(quán)限管理粗放，內(nèi)網(wǎng)隨意橫移

一旦勒索團(tuán)伙在企業(yè)內(nèi)網(wǎng)的某個(gè)節(jié)點(diǎn)成功立足，便可以進(jìn)行“橫向移動(dòng)”，將惡意軟件從一臺(tái)服務(wù)器傳播到另一臺(tái)服務(wù)器，最終感染整個(gè)網(wǎng)絡(luò)，尤其是存儲(chǔ)核心數(shù)據(jù)的服務(wù)器。

過(guò)度授權(quán)給橫向移動(dòng)提供了便利，過(guò)度信任讓橫向移動(dòng)難以被察覺(jué)。在傳統(tǒng)的防護(hù)架構(gòu)中，所有內(nèi)部設(shè)備和應(yīng)用默認(rèn)相互信任，缺乏持續(xù)驗(yàn)證的機(jī)制。勒索攻擊正是利用這種“信任”，通過(guò)系統(tǒng)漏洞或共享憑證快速傳播，短時(shí)間內(nèi)就能癱瘓企業(yè)大部分業(yè)務(wù)系統(tǒng)，導(dǎo)致企業(yè)陷入“要么支付巨額贖金，要么業(yè)務(wù)長(zhǎng)期停擺”的困境。

芯盾時(shí)代零信任業(yè)務(wù)安全解決方案

面對(duì)上述挑戰(zhàn)，企業(yè)需要轉(zhuǎn)變思維，引入“持續(xù)驗(yàn)證、永不信任”的零信任安全理念，建設(shè)以“身份”為核心的零信任安全架構(gòu)，與傳統(tǒng)的縱深防御架構(gòu)形成互補(bǔ)，更好地防范勒索攻擊。

芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，擁有豐富的零信任安全產(chǎn)品線(xiàn)。芯盾時(shí)代基于用戶(hù)身份與訪(fǎng)問(wèn)管理平臺(tái)（IAM）、零信任安全網(wǎng)關(guān)（SDP）等產(chǎn)品，打造了零信任業(yè)務(wù)安全解決方案，能夠幫助企業(yè)落地零信任安全架構(gòu)，以“身份”為核心構(gòu)建動(dòng)態(tài)化、隨身化、微?；陌踩吔?，對(duì)每一次訪(fǎng)問(wèn)實(shí)施細(xì)粒度的動(dòng)態(tài)訪(fǎng)問(wèn)控制，更好地防范勒索攻擊。

借助芯盾時(shí)代零信任業(yè)務(wù)安全解決方案，企業(yè)可在不改造或低改造成本下，實(shí)現(xiàn)以下功能：

1.以“身份”為核心，重構(gòu)安全邊界

在零信任架構(gòu)中，無(wú)論訪(fǎng)問(wèn)者處于內(nèi)網(wǎng)外網(wǎng)、使用何種設(shè)備，都必須先證明“你是誰(shuí)”以及“你被授權(quán)訪(fǎng)問(wèn)什么”。芯盾時(shí)代IAM全面的身份管理能力，為此提供了有力支撐。

統(tǒng)一身份管理與強(qiáng)認(rèn)證：芯盾時(shí)代IAM能夠幫助企業(yè)建立智能化、統(tǒng)一化、標(biāo)準(zhǔn)化的身份管理體系，為每一名員工生成唯一可信的數(shù)字身份，從而實(shí)施全局統(tǒng)一的身份安全策略。借助移動(dòng)認(rèn)證App，企業(yè)能夠一站式實(shí)現(xiàn)全局多因素認(rèn)證，為員工提供短信驗(yàn)證碼、動(dòng)態(tài)口令、App掃碼、指紋識(shí)別等認(rèn)證方式，消除弱密碼、密碼重復(fù)使用帶來(lái)的安全隱患。

身份信息加密：芯盾時(shí)代自主研發(fā)了移動(dòng)認(rèn)證技術(shù)，通過(guò)對(duì)智能手機(jī)的唯一性識(shí)別，證書(shū)的安全生成、存儲(chǔ)、調(diào)用，以及手機(jī)安全環(huán)境的檢測(cè)，將智能手機(jī)打造成移動(dòng)U盾，為身份認(rèn)證營(yíng)造安全的終端環(huán)境。芯盾時(shí)代智能終端密碼模塊，結(jié)合分割密鑰、白盒算法、環(huán)境清場(chǎng)等技術(shù)，為身份信息的安全存儲(chǔ)、傳輸提供底層支持，確保身份信息難以被破譯和篡改。

2.實(shí)現(xiàn)“網(wǎng)絡(luò)隱身”，收斂資源暴露面

企業(yè)如何在互聯(lián)網(wǎng)上“隱身”，讓攻擊者找不到攻擊入口？芯盾時(shí)代SDP用“先認(rèn)證、后連接”的訪(fǎng)問(wèn)機(jī)制，以及強(qiáng)大的終端設(shè)備管控能力，給出了滿(mǎn)分答案。

網(wǎng)絡(luò)隱身：芯盾時(shí)代SDP采用應(yīng)用代理和SPA單包授權(quán)技術(shù)，由網(wǎng)關(guān)統(tǒng)一代理業(yè)務(wù)應(yīng)用訪(fǎng)問(wèn)流量，同時(shí)對(duì)所有連接網(wǎng)關(guān)的設(shè)備、用戶(hù)、應(yīng)用進(jìn)行預(yù)認(rèn)證，不通過(guò)認(rèn)證不開(kāi)放端口，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用和網(wǎng)關(guān)雙重“隱身”，從而有效收斂資源暴露面，從源頭上阻斷勒索團(tuán)伙的惡意掃描和網(wǎng)絡(luò)攻擊。

高精度設(shè)備指紋：SDP客戶(hù)端能夠采集終端設(shè)備的硬件、軟件、網(wǎng)絡(luò)等多維度信息，為每臺(tái)設(shè)備生成唯一的身份標(biāo)識(shí)碼，從而實(shí)現(xiàn)設(shè)備與賬號(hào)的強(qiáng)綁定。這一功能有效防止了員工使用不安全的個(gè)人設(shè)備或已被病毒感染的“僵尸設(shè)備”訪(fǎng)問(wèn)內(nèi)網(wǎng)，杜絕了將外部威脅帶入內(nèi)部的風(fēng)險(xiǎn)。

3.動(dòng)態(tài)訪(fǎng)問(wèn)控制，阻斷攻擊者橫移

零信任強(qiáng)調(diào)對(duì)每一個(gè)訪(fǎng)問(wèn)者、每一次訪(fǎng)問(wèn)實(shí)施“持續(xù)驗(yàn)證”，即便勒索團(tuán)伙進(jìn)入了內(nèi)網(wǎng)，零信任也能最大程度地限制其破壞范圍。

實(shí)現(xiàn)“最小化授權(quán)”：芯盾時(shí)代IAM具備全面的身份管理能力，支持RBAC、ABAC、ACL等多種權(quán)限管理模型，權(quán)限管理能力細(xì)至URL，幫助企業(yè)落實(shí)“最小化授權(quán)”，精準(zhǔn)管控?cái)?shù)據(jù)資源的訪(fǎng)問(wèn)權(quán)限，杜絕越權(quán)訪(fǎng)問(wèn)。即使攻擊者竊取到了身份憑證，也無(wú)法進(jìn)行權(quán)限之外的操作。

細(xì)粒度動(dòng)態(tài)訪(fǎng)問(wèn)控制：芯盾時(shí)代SDP會(huì)綜合賬號(hào)、設(shè)備、行為、IP、時(shí)間等維度的風(fēng)險(xiǎn)信息，對(duì)每一次訪(fǎng)問(wèn)實(shí)施全程、實(shí)時(shí)、細(xì)粒度的訪(fǎng)問(wèn)控制。一旦檢測(cè)到風(fēng)險(xiǎn)（如設(shè)備上出現(xiàn)惡意進(jìn)程、用戶(hù)開(kāi)始大量下載非業(yè)務(wù)相關(guān)數(shù)據(jù)），SDP會(huì)自適應(yīng)執(zhí)行訪(fǎng)問(wèn)控制策略，采取收斂權(quán)限、二次認(rèn)證，甚至直接切斷會(huì)話(huà)等措施。強(qiáng)大的動(dòng)態(tài)訪(fǎng)問(wèn)控制能力，能夠及時(shí)阻斷攻擊者在內(nèi)網(wǎng)橫移，構(gòu)建了一個(gè)真正動(dòng)態(tài)、智能的安全閉環(huán)。

面對(duì)不斷進(jìn)化的勒索攻擊，被動(dòng)、靜態(tài)的防御架構(gòu)已然過(guò)時(shí)。企業(yè)必須主動(dòng)出擊，升級(jí)安全架構(gòu)，用零信任理念指導(dǎo)網(wǎng)絡(luò)安全建設(shè)。芯盾時(shí)代零信任業(yè)務(wù)安全解決方案，不僅是企業(yè)抵御勒索攻擊的可靠防線(xiàn)，更是企業(yè)數(shù)字化轉(zhuǎn)型的安全基石。