快捷

近年来，芯盾勒索攻击活动显著增加，时代索软给企业造成了巨大损失，零信力引发了大众的任业广泛关注：

2020年9月，德国杜塞尔多夫大学医院的全解30多台服务器遭到勒索攻击，导致医院系统瘫痪，决方件攻击无法接收新的案助急诊病人。一名急需救治的对勒妇女因无法在该医院得到及时治疗而被转送，最终不幸去世。芯盾这是时代索软公开报道的第一起因勒索攻击直接导致人员死亡的事件。

2021年2月，零信力美国最大的任业燃料管道运营商Colonial Pipeline遭到DarkSide勒索软件攻击，导致其8851公里的全解燃料运输管道被迫关闭数天，引发燃料短缺和油价飙升，决方件攻击对美国经济和民众生活造成了广泛影响。案助

2024年2月，隶属于美国联合健康集团的医疗保健服务商Change Healthcare遭到BlackCat勒索团伙的勒索攻击，约6TB的数据被泄露，影响多达1亿民众，造成的损失高达60亿元。

类似的勒索攻击在全球范围内愈演愈烈。IBM《2025 X-Force威胁情报报告》显示，勒索攻击已连续四年成为最主要的网络攻击类型，占比高达28%。同时，攻击者更多采用数据窃取替代加密，以降低暴露风险。

对于企业而言，一旦遭受勒索攻击，可能导致核心数据被加密、被索取天价赎金，甚至可能导致企业业务中断、客户信任流失、被处巨额罚金。尤其是中小企业，勒索攻击堪比“催命符”，造成的后果难以估量。

面对复杂严峻的安全形势，传统的纵深防御安全架构显得力不从心。企业唯有拥抱零信任理念，构建零信任安全架构，才能更好地防范勒索攻击，实现“防勒索于未然”。

勒索攻击为何防不胜防？

面对无孔不入、手段多样的勒索攻击，传统的“边界为王”的防护模式暴露出了诸多弱点，给了勒索团伙可乘之机：

1.边界“消失”：安全边界模糊，企业防不胜防

当前，远程办公、混合办公已经成为常态，企业的业务、数据、人走出了内网，员工可以在任何地方、使用任何设备访问企业资源，数据在公有云、私有云和本地数据中心之间自由流动。

这种“无边界”的作业模式，让攻击者可以轻易绕过边界防护设备，通过远程办公的员工设备、不安全的家庭Wi-Fi、VPN，甚至供应链合作伙伴的薄弱环节渗透进企业内网。一旦进入，由于内网通常被视为“可信区域”，攻击者便如入无人之境。

2.敌暗我明：网络暴露面大，易被扫描攻击

随着移动互联网、云计算、物联网（IoT）的普及，企业对互联网的依赖程度越来越高，企业员工、客户、第三方人员都会通过互联网访问各种业务应用，导致业务资源在互联网上的暴露面越来越大。勒索团伙可以通过扫描端口，判定业务类型、服务版本和漏洞状况，从而实施针对性的攻击。

3.门禁不“禁”：盗用身份信息，“合法”访问应用

身份凭证的盗用已成为勒索攻击的主要“跳板”。根据Verizon《2024数据泄露调查报告》，超80%的勒索攻击涉及被盗凭证。

传统的安全系统往往依赖于静态的密码认证，缺乏对访问者身份真实性的持续验证。攻击者一旦通过网络钓鱼、社会工程学、暗网购买等方式获取员工的合法账号和密码，就可以堂而皇之地访问授权应用，窃取敏感数据，并在此基础上横向移动，寻找高价值目标进行加密勒索，而整个过程在传统监控系统看来可能都是“合规”操作。

4.外严内松：权限管理粗放，内网随意横移

一旦勒索团伙在企业内网的某个节点成功立足，便可以进行“横向移动”，将恶意软件从一台服务器传播到另一台服务器，最终感染整个网络，尤其是存储核心数据的服务器。

过度授权给横向移动提供了便利，过度信任让横向移动难以被察觉。在传统的防护架构中，所有内部设备和应用默认相互信任，缺乏持续验证的机制。勒索攻击正是利用这种“信任”，通过系统漏洞或共享凭证快速传播，短时间内就能瘫痪企业大部分业务系统，导致企业陷入“要么支付巨额赎金，要么业务长期停摆”的困境。

芯盾时代零信任业务安全解决方案

面对上述挑战，企业需要转变思维，引入“持续验证、永不信任”的零信任安全理念，建设以“身份”为核心的零信任安全架构，与传统的纵深防御架构形成互补，更好地防范勒索攻击。

芯盾时代作为领先的零信任业务安全产品方案提供商，拥有丰富的零信任安全产品线。芯盾时代基于用户身份与访问管理平台（IAM）、零信任安全网关（SDP）等产品，打造了零信任业务安全解决方案，能够帮助企业落地零信任安全架构，以“身份”为核心构建动态化、随身化、微粒化的安全边界，对每一次访问实施细粒度的动态访问控制，更好地防范勒索攻击。

借助芯盾时代零信任业务安全解决方案，企业可在不改造或低改造成本下，实现以下功能：

1.以“身份”为核心，重构安全边界

在零信任架构中，无论访问者处于内网外网、使用何种设备，都必须先证明“你是谁”以及“你被授权访问什么”。芯盾时代IAM全面的身份管理能力，为此提供了有力支撑。

统一身份管理与强认证：芯盾时代IAM能够帮助企业建立智能化、统一化、标准化的身份管理体系，为每一名员工生成唯一可信的数字身份，从而实施全局统一的身份安全策略。借助移动认证App，企业能够一站式实现全局多因素认证，为员工提供短信验证码、动态口令、App扫码、指纹识别等认证方式，消除弱密码、密码重复使用带来的安全隐患。

身份信息加密：芯盾时代自主研发了移动认证技术，通过对智能手机的唯一性识别，证书的安全生成、存储、调用，以及手机安全环境的检测，将智能手机打造成移动U盾，为身份认证营造安全的终端环境。芯盾时代智能终端密码模块，结合分割密钥、白盒算法、环境清场等技术，为身份信息的安全存储、传输提供底层支持，确保身份信息难以被破译和篡改。

2.实现“网络隐身”，收敛资源暴露面

企业如何在互联网上“隐身”，让攻击者找不到攻击入口？芯盾时代SDP用“先认证、后连接”的访问机制，以及强大的终端设备管控能力，给出了满分答案。

网络隐身：芯盾时代SDP采用应用代理和SPA单包授权技术，由网关统一代理业务应用访问流量，同时对所有连接网关的设备、用户、应用进行预认证，不通过认证不开放端口，实现业务应用和网关双重“隐身”，从而有效收敛资源暴露面，从源头上阻断勒索团伙的恶意扫描和网络攻击。

高精度设备指纹：SDP客户端能够采集终端设备的硬件、软件、网络等多维度信息，为每台设备生成唯一的身份标识码，从而实现设备与账号的强绑定。这一功能有效防止了员工使用不安全的个人设备或已被病毒感染的“僵尸设备”访问内网，杜绝了将外部威胁带入内部的风险。

3.动态访问控制，阻断攻击者横移

零信任强调对每一个访问者、每一次访问实施“持续验证”，即便勒索团伙进入了内网，零信任也能最大程度地限制其破坏范围。

实现“最小化授权”：芯盾时代IAM具备全面的身份管理能力，支持RBAC、ABAC、ACL等多种权限管理模型，权限管理能力细至URL，帮助企业落实“最小化授权”，精准管控数据资源的访问权限，杜绝越权访问。即使攻击者窃取到了身份凭证，也无法进行权限之外的操作。

细粒度动态访问控制：芯盾时代SDP会综合账号、设备、行为、IP、时间等维度的风险信息，对每一次访问实施全程、实时、细粒度的访问控制。一旦检测到风险（如设备上出现恶意进程、用户开始大量下载非业务相关数据），SDP会自适应执行访问控制策略，采取收敛权限、二次认证，甚至直接切断会话等措施。强大的动态访问控制能力，能够及时阻断攻击者在内网横移，构建了一个真正动态、智能的安全闭环。

面对不断进化的勒索攻击，被动、静态的防御架构已然过时。企业必须主动出击，升级安全架构，用零信任理念指导网络安全建设。芯盾时代零信任业务安全解决方案，不仅是企业抵御勒索攻击的可靠防线，更是企业数字化转型的安全基石。