近年來，勒索攻擊活動顯著增加，給企業(yè)造成了巨大損失，引發(fā)了大眾的廣泛關(guān)注：

2020年9月，德國杜塞爾多夫大學(xué)醫(yī)院的30多臺服務(wù)器遭到勒索攻擊，導(dǎo)致醫(yī)院系統(tǒng)癱瘓，無法接收新的急診病人。一名急需救治的婦女因無法在該醫(yī)院得到及時(shí)治療而被轉(zhuǎn)送，最終不幸去世。這是公開報(bào)道的第一起因勒索攻擊直接導(dǎo)致人員死亡的事件。

2021年2月，美國最大的燃料管道運(yùn)營商Colonial Pipeline遭到DarkSide勒索軟件攻擊，導(dǎo)致其8851公里的燃料運(yùn)輸管道被迫關(guān)閉數(shù)天，引發(fā)燃料短缺和油價(jià)飆升，對美國經(jīng)濟(jì)和民眾生活造成了廣泛影響。

2024年2月，隸屬于美國聯(lián)合健康集團(tuán)的醫(yī)療保健服務(wù)商Change Healthcare遭到BlackCat勒索團(tuán)伙的勒索攻擊，約6TB的數(shù)據(jù)被泄露，影響多達(dá)1億民眾，造成的損失高達(dá)60億元。

類似的勒索攻擊在全球范圍內(nèi)愈演愈烈。IBM《2025 X-Force威脅情報(bào)報(bào)告》顯示，勒索攻擊已連續(xù)四年成為最主要的網(wǎng)絡(luò)攻擊類型，占比高達(dá)28%。同時(shí)，攻擊者更多采用數(shù)據(jù)竊取替代加密，以降低暴露風(fēng)險(xiǎn)。

對于企業(yè)而言，一旦遭受勒索攻擊，可能導(dǎo)致核心數(shù)據(jù)被加密、被索取天價(jià)贖金，甚至可能導(dǎo)致企業(yè)業(yè)務(wù)中斷、客戶信任流失、被處巨額罰金。尤其是中小企業(yè)，勒索攻擊堪比“催命符”，造成的后果難以估量。

面對復(fù)雜嚴(yán)峻的安全形勢，傳統(tǒng)的縱深防御安全架構(gòu)顯得力不從心。企業(yè)唯有擁抱零信任理念，構(gòu)建零信任安全架構(gòu)，才能更好地防范勒索攻擊，實(shí)現(xiàn)“防勒索于未然”。

勒索攻擊為何防不勝防？

面對無孔不入、手段多樣的勒索攻擊，傳統(tǒng)的“邊界為王”的防護(hù)模式暴露出了諸多弱點(diǎn)，給了勒索團(tuán)伙可乘之機(jī)：

1.邊界“消失”：安全邊界模糊，企業(yè)防不勝防

當(dāng)前，遠(yuǎn)程辦公、混合辦公已經(jīng)成為常態(tài)，企業(yè)的業(yè)務(wù)、數(shù)據(jù)、人走出了內(nèi)網(wǎng)，員工可以在任何地方、使用任何設(shè)備訪問企業(yè)資源，數(shù)據(jù)在公有云、私有云和本地?cái)?shù)據(jù)中心之間自由流動。

這種“無邊界”的作業(yè)模式，讓攻擊者可以輕易繞過邊界防護(hù)設(shè)備，通過遠(yuǎn)程辦公的員工設(shè)備、不安全的家庭Wi-Fi、VPN，甚至供應(yīng)鏈合作伙伴的薄弱環(huán)節(jié)滲透進(jìn)企業(yè)內(nèi)網(wǎng)。一旦進(jìn)入，由于內(nèi)網(wǎng)通常被視為“可信區(qū)域”，攻擊者便如入無人之境。

2.敵暗我明：網(wǎng)絡(luò)暴露面大，易被掃描攻擊

隨著移動互聯(lián)網(wǎng)、云計(jì)算、物聯(lián)網(wǎng)（IoT）的普及，企業(yè)對互聯(lián)網(wǎng)的依賴程度越來越高，企業(yè)員工、客戶、第三方人員都會通過互聯(lián)網(wǎng)訪問各種業(yè)務(wù)應(yīng)用，導(dǎo)致業(yè)務(wù)資源在互聯(lián)網(wǎng)上的暴露面越來越大。勒索團(tuán)伙可以通過掃描端口，判定業(yè)務(wù)類型、服務(wù)版本和漏洞狀況，從而實(shí)施針對性的攻擊。

3.門禁不“禁”：盜用身份信息，“合法”訪問應(yīng)用

身份憑證的盜用已成為勒索攻擊的主要“跳板”。根據(jù)Verizon《2024數(shù)據(jù)泄露調(diào)查報(bào)告》，超80%的勒索攻擊涉及被盜憑證。

傳統(tǒng)的安全系統(tǒng)往往依賴于靜態(tài)的密碼認(rèn)證，缺乏對訪問者身份真實(shí)性的持續(xù)驗(yàn)證。攻擊者一旦通過網(wǎng)絡(luò)釣魚、社會工程學(xué)、暗網(wǎng)購買等方式獲取員工的合法賬號和密碼，就可以堂而皇之地訪問授權(quán)應(yīng)用，竊取敏感數(shù)據(jù)，并在此基礎(chǔ)上橫向移動，尋找高價(jià)值目標(biāo)進(jìn)行加密勒索，而整個過程在傳統(tǒng)監(jiān)控系統(tǒng)看來可能都是“合規(guī)”操作。

4.外嚴(yán)內(nèi)松：權(quán)限管理粗放，內(nèi)網(wǎng)隨意橫移

一旦勒索團(tuán)伙在企業(yè)內(nèi)網(wǎng)的某個節(jié)點(diǎn)成功立足，便可以進(jìn)行“橫向移動”，將惡意軟件從一臺服務(wù)器傳播到另一臺服務(wù)器，最終感染整個網(wǎng)絡(luò)，尤其是存儲核心數(shù)據(jù)的服務(wù)器。

過度授權(quán)給橫向移動提供了便利，過度信任讓橫向移動難以被察覺。在傳統(tǒng)的防護(hù)架構(gòu)中，所有內(nèi)部設(shè)備和應(yīng)用默認(rèn)相互信任，缺乏持續(xù)驗(yàn)證的機(jī)制。勒索攻擊正是利用這種“信任”，通過系統(tǒng)漏洞或共享憑證快速傳播，短時(shí)間內(nèi)就能癱瘓企業(yè)大部分業(yè)務(wù)系統(tǒng)，導(dǎo)致企業(yè)陷入“要么支付巨額贖金，要么業(yè)務(wù)長期停擺”的困境。

芯盾時(shí)代零信任業(yè)務(wù)安全解決方案

面對上述挑戰(zhàn)，企業(yè)需要轉(zhuǎn)變思維，引入“持續(xù)驗(yàn)證、永不信任”的零信任安全理念，建設(shè)以“身份”為核心的零信任安全架構(gòu)，與傳統(tǒng)的縱深防御架構(gòu)形成互補(bǔ)，更好地防范勒索攻擊。

芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，擁有豐富的零信任安全產(chǎn)品線。芯盾時(shí)代基于用戶身份與訪問管理平臺（IAM）、零信任安全網(wǎng)關(guān)（SDP）等產(chǎn)品，打造了零信任業(yè)務(wù)安全解決方案，能夠幫助企業(yè)落地零信任安全架構(gòu)，以“身份”為核心構(gòu)建動態(tài)化、隨身化、微粒化的安全邊界，對每一次訪問實(shí)施細(xì)粒度的動態(tài)訪問控制，更好地防范勒索攻擊。

借助芯盾時(shí)代零信任業(yè)務(wù)安全解決方案，企業(yè)可在不改造或低改造成本下，實(shí)現(xiàn)以下功能：

1.以“身份”為核心，重構(gòu)安全邊界

在零信任架構(gòu)中，無論訪問者處于內(nèi)網(wǎng)外網(wǎng)、使用何種設(shè)備，都必須先證明“你是誰”以及“你被授權(quán)訪問什么”。芯盾時(shí)代IAM全面的身份管理能力，為此提供了有力支撐。

統(tǒng)一身份管理與強(qiáng)認(rèn)證：芯盾時(shí)代IAM能夠幫助企業(yè)建立智能化、統(tǒng)一化、標(biāo)準(zhǔn)化的身份管理體系，為每一名員工生成唯一可信的數(shù)字身份，從而實(shí)施全局統(tǒng)一的身份安全策略。借助移動認(rèn)證App，企業(yè)能夠一站式實(shí)現(xiàn)全局多因素認(rèn)證，為員工提供短信驗(yàn)證碼、動態(tài)口令、App掃碼、指紋識別等認(rèn)證方式，消除弱密碼、密碼重復(fù)使用帶來的安全隱患。

身份信息加密：芯盾時(shí)代自主研發(fā)了移動認(rèn)證技術(shù)，通過對智能手機(jī)的唯一性識別，證書的安全生成、存儲、調(diào)用，以及手機(jī)安全環(huán)境的檢測，將智能手機(jī)打造成移動U盾，為身份認(rèn)證營造安全的終端環(huán)境。芯盾時(shí)代智能終端密碼模塊，結(jié)合分割密鑰、白盒算法、環(huán)境清場等技術(shù)，為身份信息的安全存儲、傳輸提供底層支持，確保身份信息難以被破譯和篡改。

2.實(shí)現(xiàn)“網(wǎng)絡(luò)隱身”，收斂資源暴露面

企業(yè)如何在互聯(lián)網(wǎng)上“隱身”，讓攻擊者找不到攻擊入口？芯盾時(shí)代SDP用“先認(rèn)證、后連接”的訪問機(jī)制，以及強(qiáng)大的終端設(shè)備管控能力，給出了滿分答案。

網(wǎng)絡(luò)隱身：芯盾時(shí)代SDP采用應(yīng)用代理和SPA單包授權(quán)技術(shù)，由網(wǎng)關(guān)統(tǒng)一代理業(yè)務(wù)應(yīng)用訪問流量，同時(shí)對所有連接網(wǎng)關(guān)的設(shè)備、用戶、應(yīng)用進(jìn)行預(yù)認(rèn)證，不通過認(rèn)證不開放端口，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用和網(wǎng)關(guān)雙重“隱身”，從而有效收斂資源暴露面，從源頭上阻斷勒索團(tuán)伙的惡意掃描和網(wǎng)絡(luò)攻擊。

高精度設(shè)備指紋：SDP客戶端能夠采集終端設(shè)備的硬件、軟件、網(wǎng)絡(luò)等多維度信息，為每臺設(shè)備生成唯一的身份標(biāo)識碼，從而實(shí)現(xiàn)設(shè)備與賬號的強(qiáng)綁定。這一功能有效防止了員工使用不安全的個人設(shè)備或已被病毒感染的“僵尸設(shè)備”訪問內(nèi)網(wǎng)，杜絕了將外部威脅帶入內(nèi)部的風(fēng)險(xiǎn)。

3.動態(tài)訪問控制，阻斷攻擊者橫移

零信任強(qiáng)調(diào)對每一個訪問者、每一次訪問實(shí)施“持續(xù)驗(yàn)證”，即便勒索團(tuán)伙進(jìn)入了內(nèi)網(wǎng)，零信任也能最大程度地限制其破壞范圍。

實(shí)現(xiàn)“最小化授權(quán)”：芯盾時(shí)代IAM具備全面的身份管理能力，支持RBAC、ABAC、ACL等多種權(quán)限管理模型，權(quán)限管理能力細(xì)至URL，幫助企業(yè)落實(shí)“最小化授權(quán)”，精準(zhǔn)管控?cái)?shù)據(jù)資源的訪問權(quán)限，杜絕越權(quán)訪問。即使攻擊者竊取到了身份憑證，也無法進(jìn)行權(quán)限之外的操作。

細(xì)粒度動態(tài)訪問控制：芯盾時(shí)代SDP會綜合賬號、設(shè)備、行為、IP、時(shí)間等維度的風(fēng)險(xiǎn)信息，對每一次訪問實(shí)施全程、實(shí)時(shí)、細(xì)粒度的訪問控制。一旦檢測到風(fēng)險(xiǎn)（如設(shè)備上出現(xiàn)惡意進(jìn)程、用戶開始大量下載非業(yè)務(wù)相關(guān)數(shù)據(jù)），SDP會自適應(yīng)執(zhí)行訪問控制策略，采取收斂權(quán)限、二次認(rèn)證，甚至直接切斷會話等措施。強(qiáng)大的動態(tài)訪問控制能力，能夠及時(shí)阻斷攻擊者在內(nèi)網(wǎng)橫移，構(gòu)建了一個真正動態(tài)、智能的安全閉環(huán)。

面對不斷進(jìn)化的勒索攻擊，被動、靜態(tài)的防御架構(gòu)已然過時(shí)。企業(yè)必須主動出擊，升級安全架構(gòu)，用零信任理念指導(dǎo)網(wǎng)絡(luò)安全建設(shè)。芯盾時(shí)代零信任業(yè)務(wù)安全解決方案，不僅是企業(yè)抵御勒索攻擊的可靠防線，更是企業(yè)數(shù)字化轉(zhuǎn)型的安全基石。