基于身份与访问控制的网络勒索综述与防御指南

RansomwarelmpactonOrganizationsReachingAll-timeHighin2023 (*global%oforganizationstargetedwithransomwareattacks) 10% 8% 7% 7% 5% 4% 2018 2019 2020 2021 2022 2023 前言 Foreword 近年来，各类网络安全事件频发。其中，勒索软件迅速发展成为最严重的网络安全威胁之一，成为网络犯罪的主要形式。据统计，2023年，全球有十分之一的机构遭遇勒索软件攻击尝试，比2022年激增了33%；全球每个机构平均每周遭受1158次网络攻击。与2022年相比，网 络攻击次数明显增加。预计到2031年，每两秒钟就会发生一次勒索软件攻击，每年造成的损 失将达到2650亿美元。 数据源自CheckPoint的大数据情报引擎ThreatCloudAI 尽管网络勒索在行业、地区等方面存在些许差异，但总体来看，从政府网络到关键信息基础设施，从个人到企业，从电脑设备到移动设备和服务器，勒索软件攻击正在无差别地影响全球各个行业和领域、各类网络用户以及各种设备类型，给社会带来严重的不利影响。 随着技术的不断发展，特别是以AI为代表的新技术不断完善，勒索软件攻击也在不断变化形式与手段。正如网络专家所言，勒索软件攻击事件会不断持续并升级，这已是不可避免的事实。这意味着国家、企业组织，甚至个人都亟需全面了解勒索软件的攻击手法，了解使用电脑设备时的注意事项，并采取行之有效的安全防护软件和应对措施，以应对随时可能发生的勒索攻击事件。 因此，本报告重点为大家详细综述勒索软件，帮助全面了解勒索软件的定义、发展与演变、常见类型、工作原理和主要攻击方式等内容；并基于访问控制的角度，分析2023年的网络勒索态势。最后，结合派拉软件最擅长的技术领域——身份与访问控制管理，从访问控制的角度详细阐述如何应对网络勒索。希望该报告能够协助个人、企业和政府机构从身份认证与访问控制角度更加有效地制定安全规划，降低遭受勒索攻击的风险。 目录 Contents 上篇|网络勒索与态势分析 Part2 勒索软件工作与攻击方式 10勒索软件工作原理 11勒索软件主要攻击方式 Part3 2023勒索软件态势分析 142023勒索软件攻击态势持续升级 15身份与访问控制仍是勒索软件攻击的首选 1680%数据泄露事件与失窃的特权身份有关 16网络勒索攻击持续增长原因分析 网络勒索与发展 Part1 05勒索软件是什么 05网络勒索发展与演变 08常见的勒索软件类型 下篇|基于访问控制的网络勒索应对策略 Part4 零信任是骨架 21零信任核心理念 22身份管理和访问控制 24资源隐藏和敲门技术 25网络安全和隔离 26端点安全 身份安全是基石 Part5 27企业身份治理 31身份威胁识别与风险管控 Part7 AI大模型应用 45结束语 访问控制是核心 Part6 35身份认证 37权限治理 40特权访问管理 43智能自适应身份认证 44智能动态权限管控 44智能风险监控 46关于派拉软件 上篇|网络勒索与态势分析 4 上篇 网络勒索与态势分析 随着技术的发展和全球数字互联的日益紧密，网络勒索正在不断演变和发展。本篇章派拉软件将立足当下，回顾过去并展望未来，详细综述网络勒索，及其发展演变与工作原理，并基于身份与访问控制维度分析2023年网络勒索态势分析。 网络勒索与发展 网络勒索是一种网络犯罪活动，攻击者通过勒索软件对企业进行网络攻击，对目标数据进行高强度加密，以此要挟受害者支付赎金以换取数据解密。 勒索软件是什么 勒索软件，又称勒索病毒，是一种恶意软件，常被归类为“阻断访问攻击” （denial-of-accessattack）。其工作方式与计算机病毒类似，但在攻击手法和处置方式上有所不同。勒索软件通常是对数据、文件和操作系统进行加密锁定，然后要求受害者支付赎金，否则不予解密或威胁将数据公开、销毁，甚至向相关监管部门投诉。勒索软件的主要传播方式包括钓鱼邮件、网页挂马、漏洞利用、远程登录入侵、供应链攻击和移动介质传播等。 勒索软件并非新生事物，从第一个已知的勒索软件出现至今，已有35年的历史。然而，近年来勒索软件的发展迅猛，破坏性和影响力前所未有，引起了全球的广泛关注。 网络勒索发展与演变 勒索软件攻击作为一种特殊的恶意软件攻击形式，自出现以来不断变化演进，技术也在持续迭代，数量和质量都在不断提升。从最初的恶作剧、炫技和个人牟利的攻击，迅速演变为专业化、团队化的安全威胁，成为全球性的重大安全问题。 在初级阶段，网络勒索主要针对个人电脑，赎金仅为几百美元。从2015年起，美国联邦调查局陆续接到企业网络系统遭攻击的报案，赎金迅速上涨至几千美元。如今，勒索软件影响已扩展至社会各个阶层。 近年来，勒索软件已经成为一个新兴的“产业”，并且呈现出攻防极度不对等的局面。攻击手法的演进速度远超企业安全防护措施的提升速度。特别是随着加密货币（如比特币）的出现，赎金支付方式变得更加灵活，同时勒索团队的触角也逐步扩展，从局部勒索演变为全球性威胁。 企业一旦遭受勒索软件攻击，影响会迅速蔓延至整个公司，降低工作效率，导致业务中断数小时甚至数天。2017年的WannaCry攻击感染了150多个国家的30多万台计算机，其中包括英国国家健康体系（NHS），导致超过60家医院和诊所受到影响，信息系统无法正常运转，医生无法查看病患病历，救护车无法正常接收服务请求，大量患者被迫延误或取消就诊。 网络勒索的早期形式 20世纪80年代末至90年代，网络勒索的概念可以追溯到早期计算机病毒和木马的出现。1989年，哈佛大学学生编写的艾滋病木马（PCCyborg病毒）被认为是第一个已知的勒索病毒，它对受感染系统上的文件名进行加密，并要求付费才能恢复。 勒索软件的 出现 2000年初，“勒索软件”一词开始普及，但与今天相比，当时仍处于初级阶段，多用于描述黑客恐吓或操作可逆的情况。比如Gpcode木马，虽然加密文件，但支付赎金后可轻易解密。 勒索软件的复杂性与传播 2010年，随着比特币等加密货币的出现，勒索软件变得更加复杂。比特币提供了一种安全且匿名的接收赎金方式。著名的例子有CryptoLocker和WannaCry，它们在全球范围内产生了广泛的影响。 勒索手段多样化 2010年中期开始，网络犯罪分子的勒索策略变得更加多样化。除了加密数据，他们还威胁在线泄露敏感数据。这种策略被称为“doxware”或“leakware”，从单纯的经济勒索转向数据价值的进一步挖掘，使受害者不仅要考虑赎金支付，还需担心企业数据泄露导致的名誉受损、研发停滞、核心机密外泄等问题。 这些变化表明，网络犯罪分子已经意识到，威胁公开勒索数据可能带来更高的回报。CL0P、BianLian、Avos、BlackCat、HuntersInternational和Rhysida等勒索组织正朝这个方向发展，利用数据机密性和法律法规要求来强迫受害者支付赎金，以避免罚款或声誉受损。 2023年，ALPHV/BlackCat勒索软件团伙更是将敲诈勒索提升到新高度，向美国证券交易委员会提交投诉，指控其一名受害者未遵守披露网络攻击的规定。 勒索服务产业化勒索软件市场的不断扩大催生了新的盈利模式——勒索软件即服务（RaaS）。在这种模式下，勒索软件进入产业化发展阶段，在暗网市场中交易整套勒索软件服务。任何人都可以利用RaaS平台提供的现成解决方案，降低网络犯罪的门槛，即便是新手攻击者也能成功入侵分散的安全基础设施。 根据反病毒服务提供商CarbonBlack2017年10月的调查报告，全球有超过6300个暗网平台提供勒索软件交易，销售总额从2016年的25万美元增长至 2017年的620万美元，增长了约25倍。 团体运作模式提升了专业化程度，助长了易用、定制工具的出现，开发人员专注某一环节或技术即可执行针对性的攻击，成功概率更高，影响更严重。黑产市场的繁荣进一步推动勒索软件向更广范围蔓延。 有针对性的勒索软件攻击 越来越多的网络勒索者进行更有针对性的攻击，称为“大型游戏狩猎”，重点针对有能力支付更高赎金的大型组织和关键基础设施。这种方法需要更复杂的社会工程和网络渗透技术。 与国家资助的活动相结合 网络犯罪集团和国家资助的行为者之间存在明显重叠，用于网络勒索的技术和工具也被用于地缘政治网络行动，这模糊了犯罪活动和国家支持的网络活动之间的界限。 常见的勒索软件类型 以下是几种常见且值得注意的勒索软件类型： 加密勒索软件 01 CryptoRansomware 加密勒索软件是最常见的勒索软件类型。它通过计算机或网络持续不断地搜索，专门用于发现具有一定价值的重要数据（如文档、照片和视频），并对 这些数据进行加密，从而阻止用户访问。用户必须支付赎金才能获得解密密钥。 通常，计算机内的其他文件不会受到影响，用户仍可正常使用计算机。然而，被加密的数据文件将无法访问，除非支付指定的赎金才能解锁。 CryptoWall、WannaCry和Locky是一些知名的加密型勒索软件实例。 锁定型勒索软件 02 Ransomware Locker 与加密型勒索软件不同，锁定型勒索软件不加密个人文件，而是锁定整个设备，使用户无法访问其操作系统、应用程序或任何文件。通常，锁定型勒索软件在启动时显示一个消息，要求支付赎金来解锁设备。Reveton和Petya是此类勒索软件的典型例子。由于这种形式的勒索软件通常不涉及加密，一 旦受害者重新获得设备访问权限，所有敏感文件和数据都会被保留。 假冒警告勒0索3软件 Scareware 04 勒索软件即服务RansomwareasaService,RaaS 假冒警告勒索软件通常伪装成安全警告或技术支持警告，声称检测到了非法软件或病毒，并要求支付赎金来“清除”这些不存在的威胁。尽管这类软件可能不会锁定或加密文件，但它们通过制造恐慌来诱使用户支付赎金。在支付赎金前，受害者将无法关闭该消息窗口，也不能正常使用计算机。FakeAV是典型的假冒警告勒索软件。 RaaS是一种将勒索软件的创建和分发外包给第三方的模式，使得即使没有高级编程技能的攻击者也能轻松发起勒索软件攻击。攻击者通常需要支付一定比例的赎金给服务提供者。Cerber和GandCrab是两个知名的RaaS平台。 05 双重勒索软件DoubleExtortionRansomware 双重勒索软件不仅加密受害者的文件，还窃取数据，并威胁要公开这些数据，以迫使受害者支付赎金。这种类型的勒索软件利用数据泄露的威胁作为额外的筹码，增加赎金支付的压力。Maze和DoppelPaymer是采用双重勒索策略的勒索软件实例。 移动勒索软件 06 Ransomware Mobile 随着智能手机和平板电脑的广泛使用，移动勒索软件也越来越普遍。这种类型的勒索软件专门针对Android和iOS等移动操作系统，锁定设备或加密设备上的文件，并要求赎金。SimpLocker和Fusob是两种常见的移动勒 索软件。 07 泄露软件 Doxware 泄露软件是一种特殊形式的勒索软件，不仅删除或限制受害者对数据文件的访问或使用，如果未及时支付赎金，该软件会通过网络传播敏感信息，如私密照片或视频、个人身份信息和财产信息。有些网络犯罪分子甚至会在暗网上售卖这些数据。这种以受害者个人声誉为威胁的犯罪行为危害尤为严重。 对于商业和个人用户而言，Doxware的威胁是极为严重的。 随着技术不断进步，勒索软件的类型和攻击手法还在持续演变。以AI技术为代表的新型勒索软件带来了各种新的攻击手段，使用AI进行深度伪造诈骗、诽谤、敲诈勒索等新型违法行为屡见不鲜，且日益增多。在生成式AI浪潮下，黑客们将生成式AI作为“勒索攻击武器”，频繁发起复杂的网络攻击，并将其扩大甚