基于身份与访问控制的网络勒索综述与防御指南

前言F o r e w o r d 近年来，各类网络安全事件频发。其中，勒索软件迅速发展成为最严重的网络安全威胁之一，成为网络犯罪的主要形式。据统计，2023 年，全球有十分之一的机构遭遇勒索软件攻击尝试，比 2022 年激增了 33%；全球每个机构平均每周遭受 1158 次网络攻击。与 2022 年相比，网络攻击次数明显增加。预计到 2031 年，每两秒钟就会发生一次勒索软件攻击，每年造成的损失将达到 2650 亿美元。 (*global % of organizations targeted with ransomware attacks) 尽管网络勒索在行业、地区等方面存在些许差异，但总体来看，从政府网络到关键信息基础设施，从个人到企业，从电脑设备到移动设备和服务器，勒索软件攻击正在无差别地影响全球各个行业和领域、各类网络用户以及各种设备类型，给社会带来严重的不利影响。 随着技术的不断发展，特别是以 AI 为代表的新技术不断完善，勒索软件攻击也在不断变化形式与手段。正如网络专家所言，勒索软件攻击事件会不断持续并升级，这已是不可避免的事实。这意味着国家、企业组织，甚至个人都亟需全面了解勒索软件的攻击手法，了解使用电脑设备时的注意事项，并采取行之有效的安全防护软件和应对措施，以应对随时可能发生的勒索攻击事件。 因此，本报告重点为大家详细综述勒索软件，帮助全面了解勒索软件的定义、发展与演变、常见类型、工作原理和主要攻击方式等内容；并基于访问控制的角度，分析 2023 年的网络勒索态势。最后，结合派拉软件最擅长的技术领域——身份与访问控制管理，从访问控制的角度详细阐述如何应对网络勒索。希望该报告能够协助个人、企业和政府机构从身份认证与访问控制角度更加有效地制定安全规划，降低遭受勒索攻击的风险。 上篇 | 网络勒索与态势分析 网络勒索与发展 05勒索软件是什么05网络勒索发展与演变08常见的勒索软件类型 Part 2 勒索软件工作与攻击方式 10勒索软件工作原理11勒索软件主要攻击方式 Part 3 2023 勒索软件态势分析 142023 勒索软件攻击态势持续升级15身份与访问控制仍是勒索软件攻击的首选1680% 数据泄露事件与失窃的特权身份有关16网络勒索攻击持续增长原因分析 下篇 | 基于访问控制的网络勒索应对策略 零信任是骨架Part 4 21零信任核心理念22身份管理和访问控制24资源隐藏和敲门技术25网络安全和隔离26端点安全 身份安全是基石Part 5 27企业身份治理31身份威胁识别与风险管控 35身份认证37权限治理40特权访问管理 Part 7 AI 大模型应用 45结束语46关于派拉软件 43智能自适应身份认证44智能动态权限管控44智能风险监控 上篇 网络勒索与态势分析 随着技术的发展和全球数字互联的日益紧密，网络勒索正在不断演变和发展。本篇章派拉软件将立足当下，回顾过去并展望未来，详细综述网络勒索，及其发展演变与工作原理，并基于身份与访问控制维度分析 2023 年网络勒索态势分析。 网络勒索与发展 网络勒索是一种网络犯罪活动，攻击者通过勒索软件对企业进行网络攻击，对目标数据进行高强度加密，以此要挟受害者支付赎金以换取数据解密。 勒索软件，又称勒索病毒，是一种恶意软件，常被归类为“阻断访问攻击”（denial-of-access attack）。其工作方式与计算机病毒类似，但在攻击手法和处置方式上有所不同。勒索软件通常是对数据、文件和操作系统进行加密锁定，然后要求受害者支付赎金，否则不予解密或威胁将数据公开、销毁，甚至向相关监管部门投诉。勒索软件的主要传播方式包括钓鱼邮件、网页挂马、漏洞利用、远程登录入侵、供应链攻击和移动介质传播等。 勒索软件是什么 勒索软件并非新生事物，从第一个已知的勒索软件出现至今，已有 35 年的历史。然而，近年来勒索软件的发展迅猛，破坏性和影响力前所未有，引起了全球的广泛关注。 勒索软件攻击作为一种特殊的恶意软件攻击形式，自出现以来不断变化演进，技术也在持续迭代，数量和质量都在不断提升。从最初的恶作剧、炫技和个人牟利的攻击，迅速演变为专业化、团队化的安全威胁，成为全球性的重大安全问题。 网络勒索发展与演变 在初级阶段，网络勒索主要针对个人电脑，赎金仅为几百美元。从 2015 年起，美国联邦调查局陆续接到企业网络系统遭攻击的报案，赎金迅速上涨至几千美元。如今，勒索软件影响已扩展至社会各个阶层。 近年来，勒索软件已经成为一个新兴的“产业”，并且呈现出攻防极度不对等的局面。攻击手法的演进速度远超企业安全防护措施的提升速度。特别是随着加密货币（如比特币）的出现，赎金支付方式变得更加灵活，同时勒索团队的触角也逐步扩展，从局部勒索演变为全球性威胁。 企业一旦遭受勒索软件攻击，影响会迅速蔓延至整个公司，降低工作效率，导致业务中断数小时甚至数天。2017 年的 WannaCry 攻击感染了 150 多个国家的 30 多万台计算机，其中包括英国国家健康体系（NHS），导致超过 60 家医院和诊所受到影响，信息系统无法正常运转，医生无法查看病患病历，救护车无法正常接收服务请求，大量患者被迫延误或取消就诊。 这些变化表明，网络犯罪分子已经意识到，威胁公开勒索数据可能带来更高的回报。CL0P、BianLian、Avos、BlackCat、Hunters International 和 Rhysida等勒索组织正朝这个方向发展，利用数据机密性和法律法规要求来强迫受害者支付赎金，以避免罚款或声誉受损。 2023 年，ALPHV/BlackCat 勒索软件团伙更是将敲诈勒索提升到新高度，向美国证券交易委员会提交投诉，指控其一名受害者未遵守披露网络攻击的规定。 勒索软件市场的不断扩大催生了新的盈利模式——勒索软件即服务（RaaS）。在这种模式下，勒索软件进入产业化发展阶段，在暗网市场中交易整套勒索软件服务。任何人都可以利用 RaaS 平台提供的现成解决方案，降低网络犯罪的门槛，即便是新手攻击者也能成功入侵分散的安全基础设施。 勒索服务产业化 根据反病毒服务提供商 Carbon Black 2017 年 10 月的调查报告，全球有超过6300 个暗网平台提供勒索软件交易，销售总额从 2016 年的 25 万美元增长至2017 年的 620 万美元，增长了约 25 倍。 团体运作模式提升了专业化程度，助长了易用、定制工具的出现，开发人员专注某一环节或技术即可执行针对性的攻击，成功概率更高，影响更严重。黑产市场的繁荣进一步推动勒索软件向更广范围蔓延。 越来越多的网络勒索者进行更有针对性的攻击，称为“大型游戏狩猎”，重点针对有能力支付更高赎金的大型组织和关键基础设施。这种方法需要更复杂的社会工程和网络渗透技术。 有针对性的勒索软件攻击 网络犯罪集团和国家资助的行为者之间存在明显重叠，用于网络勒索的技术和工具也被用于地缘政治网络行动，这模糊了犯罪活动和国家支持的网络活动之间的界限。 与国家资助的活动相结合 常见的勒索软件类型 以下是几种常见且值得注意的勒索软件类型： 加密勒索软件CryptoRansomware01 加密勒索软件是最常见的勒索软件类型。它通过计算机或网络持续不断地搜索，专门用于发现具有一定价值的重要数据（如文档、照片和视频），并对这些数据进行加密，从而阻止用户访问。用户必须支付赎金才能获得解密密钥。 通常，计算机内的其他文件不会受到影响，用户仍可正常使用计算机。然而，被加密的数据文件将无法访问，除非支付指定的赎金才能解锁。CryptoWall、WannaCry 和 Locky 是一些知名的加密型勒索软件实例。 锁定型勒索软件LockerRansomware02 与加密型勒索软件不同，锁定型勒索软件不加密个人文件，而是锁定整个设备，使用户无法访问其操作系统、应用程序或任何文件。通常，锁定型勒索软件在启动时显示一个消息，要求支付赎金来解锁设备。Reveton 和 Petya是此类勒索软件的典型例子。由于这种形式的勒索软件通常不涉及加密，一旦受害者重新获得设备访问权限，所有敏感文件和数据都会被保留。 假冒警告勒索软件Scareware03 假冒警告勒索软件通常伪装成安全警告或技术支持警告，声称检测到了非法软件或病毒，并要求支付赎金来“清除”这些不存在的威胁。尽管这类软件可能不会锁定或加密文件，但它们通过制造恐慌来诱使用户支付赎金。在支付赎金前，受害者将无法关闭该消息窗口，也不能正常使用计算机。FakeAV是典型的假冒警告勒索软件。 勒索软件即服务Ransomware asa Service, RaaS04 RaaS 是一种将勒索软件的创建和分发外包给第三方的模式，使得即使没有高级编程技能的攻击者也能轻松发起勒索软件攻击。攻击者通常需要支付一定比例的赎金给服务提供者。Cerber 和 GandCrab 是两个知名的 RaaS平台。 双重勒索软件Double ExtortionRansomware05 双重勒索软件不仅加密受害者的文件，还窃取数据，并威胁要公开这些数据，以迫使受害者支付赎金。这种类型的勒索软件利用数据泄露的威胁作为额外的筹码，增加赎金支付的压力。Maze 和 DoppelPaymer 是采用双重勒索策略的勒索软件实例。 移动勒索软件MobileRansomware06 随着智能手机和平板电脑的广泛使用，移动勒索软件也越来越普遍。这种类型的勒索软件专门针对 Android 和 iOS 等移动操作系统，锁定设备或加密设备上的文件，并要求赎金。SimpLocker 和 Fusob 是两种常见的移动勒索软件。 泄露软件Doxware07 泄露软件是一种特殊形式的勒索软件，不仅删除或限制受害者对数据文件的访问或使用，如果未及时支付赎金，该软件会通过网络传播敏感信息，如私密照片或视频、个人身份信息和财产信息。有些网络犯罪分子甚至会在暗网上售卖这些数据。这种以受害者个人声誉为威胁的犯罪行为危害尤为严重。对于商业和个人用户而言，Doxware 的威胁是极为严重的。 随着技术不断进步，勒索软件的类型和攻击手法还在持续演变。以 AI 技术为代表的新型勒索软件带来了各种新的攻击手段，使用 AI 进行深度伪造诈骗、诽谤、敲诈勒索等新型违法行为屡见不鲜，且日益增多。在生成式 AI 浪潮下，黑客们将生成式 AI 作为“勒索攻击武器”，频繁发起复杂的网络攻击，并将其扩大甚至自动化。 勒索软件工作与攻击方式 勒索软件可以通过任何数字手段进行分发，包括电子邮件、网站附件、业务应用程序、社交媒体和 USB 硬件等多种数字传输机制。其中，电子邮件仍然是最主要的传输载体，且网络犯罪分子更倾向于使用链接文件，其次是附件。下图展示了勒索软件的常见分发手段。 以电子邮件为例，网络钓鱼邮件常伪装成通知或虚假软件更新请求发送给用户。当用户点击链接或附件时，其他恶意组件通常会在后台透明下载，并使用 RSA2048 位私钥对文件进行加密，使用户几乎无法解密文件。在其他情况下，勒索软件可能嵌入在网站上，一旦下载并安装，便会发起攻击。 勒索软件工作原理 勒索软件的整体生命周期可大致分为以下六个环节，如下图所示： 


利用代码下载、邮件附件或驱动下载将恶意软件引入受害者的设备；


恶意程序植入主机并收集记录主机信息；


勒索软件联系其指挥与控制（C&C）服务器获取加密密钥；


勒索软件开始搜索具有特定扩展名的用户文件，如 pdf、docx、xlsx、pptx和 jpg 等；


将目标文件移动并进行加密；


向受害者发送包含赎金要求的声明。 了解了勒索软件的工作原理后，我们需要进一步探讨其主要攻击方式。通过了解这些攻击方式，可以帮助企业更好地防御网络勒索攻击。分析市场上公开的网络勒索事件及其原因发现，大多数勒索病毒攻击在攻击早期会暴露出明显的“攻击信号”，如弱口令暴力破解、非法外