一、网络勒索攻击频发

Covid-19疫情仍然在全球范围内肆虐，各行业除了应对疫情的持续冲击外，还面临着一种形态多样、高频化的“病毒”— 勒索软件，作为目前最具破坏力的恶意软件之一，勒索软件已经对全球制造、金融、能源、医疗、政府组织等关键领域造成严重影响。在某些事件中，攻击者挟持关键基础设施进而索要高额赎金，如2021年Darkside对燃油管道运营商科洛尼尔的勒索攻击导致美国于5月9日宣布18个州进入国家紧急状态，最终以支付赎金了结，而就在2022年5月8日，受到Conti勒索攻击的哥斯达黎加政府多个机构陷入瘫痪，新当选总统宣布全国进入紧急状态。勒索软件对现实世界的威胁加剧，已经成为全球广泛关注的网络安全难题。

勒索攻击高居网络安全威胁榜首，占比高达21%

勒索软件是一种极具传播性、破坏性的恶意软件，黑客用来劫持用户资产或资源，旨在加密和盗窃数据以勒索钱财。对于企业而言，被勒索的内容包括专有信息、客户信息、账户和支付详细信息或其他有价值的企业机密数据，一旦加密造成业务无法运行，数据泄露公布，将对企业造成巨大伤害。企业受到网络勒索攻击会遭受各个方面的损失，其中运营中断是最大的影响，平均停工时长为21天。

2021年，在所有网络攻击中，勒索软件是数量占比最多的威胁类型，占比量虽然从2020年的23%下降到2021年的21%，但是超过3年来仍然稳居第一。

勒索软件攻击处于所有网络攻击中的第一位，并且攻击总量逐年上升，2021年已达6.233亿，自2019年以来上升比率达到232%。

勒索攻击在2015年后进入高发期，由于2017年WannaCry勒索攻击全球大爆发而广为人知，该次攻击事件至少有150个国家的30万名用户受害，共计造成超过80亿美元的损失，如今，随着暗网、虚拟加密货币的兴起，受害者通常需要支付无法追踪的加密货币，攻击者的行踪更加隐匿，使得这种网络犯罪更加猖獗，而制造业和金融业仍然受到最多比例的攻击。

勒索软件导致的数据泄露规模、攻击破坏效果均呈现扩大趋势，且在多数情况下直接攻击受害者关键设施组件致其业务中断，赎金动辄在几百、数千万美元。除不可预测的赎金费用外，平均估算，受到勒索软件攻击的企业还需要付出462万美元成本用于支付检测评估、多方通告、业务损失和响应成本，尽管近年来，许多企业采购了网络安全保险，但仅能覆盖很小部分的损失。

触目惊心的勒索软件攻击事件

2021年以来，勒索软件攻击持续活跃，有组织的勒索软件攻击愈发频繁，造成巨大的金钱损失和负面影响，以下将盘点近期全球发生的勒索软件攻击事件：

•2022年3月8日，三星证实源代码被窃取,黑客组织声称对芯片制造巨头英伟达进行了网络攻击，表示已窃取近1TB数据，并公开索要赎金。由于英伟达未满足其勒索要求，入侵者公布了包含英伟达GPU驱动、挖矿锁算力软件源代码等高度机密数据。

•2022年3月1日，日本丰田汽车公司因零部件供应商受到“勒索软件”攻击，决定停止日本全国所有工厂运行，此次攻击导致丰田中断了约三分之一的全球生产。

•2021年9月，苏格兰跨国工程企业伟尔集团（Weir Group）遭受一起高复杂度的勒索软件攻击。次攻击使集团的出货、制造和工程系统发生中断，仅9月份由于开销不足和收入延后造成的间接损失就高达5000万英镑，并且预计还会影响第四季度的正常运营。

•2021年7月，瑞典连锁超市巨头Coop因勒索攻击关闭800多家商店服务。REvil勒索软件攻击团伙声称在此次事件中锁定大量系统，并胁迫感染勒索软件的受害者支付价值约7000万美元的比特币赎金。

•2021年5月，巴西肉类制造巨头企业JBS遭受REvil病毒勒索攻击，导致其位于美国和加拿大地区的部分工厂暂停作业，澳大利亚所有JBS肉类工厂停产。6月9日，JBS美国分部同意支付1100万美元比特币赎金，以防止黑客泄露公司数据。

•2021年3月，CAN保险公司遭勒索软件攻击，支付高额勒索赎金。美国最大的保险公司之一CNA Financial遭Phoenix勒索软件攻击，因无法自行恢复数据，CNA支付4000万美元（约合人民币2.57亿元）高额赎金。

二、勒索攻击的技术手段分析

勒索方式和技术手段不断升级

攻击者采用各种手段和方法，渗透进世界各地的组织和企业中，勒索软件攻击技术呈现快速升级趋势，手法趋于多样化。

• 定向APT攻击

传统勒索软件攻击者使用广撒网无差别攻击，如今，定向精准攻击的趋势愈发明显，主要针对掌握大量数据的企业组织发起定向攻击，采用嗅探网络发现攻击入口、利用漏洞攻击入侵、精心设计的社会工程入侵等专业化APT攻击手段。

• 强加密无法破解

勒索攻击使用的加密手段越来越复杂多样化，通常采用多种加密算法加密用户数据，一旦感染，极难进行数据恢复，暴力解密往往需要上百年的时间，其时间成本已经使得破解失去意义。许多企业为了避免业务中断，往往选择支付巨额赎金。

• 双重/多重勒索

双重/多重勒索成为犯罪分子胁迫受害用户屈服的有效手段，一半以上的勒索软件采用双重勒索手段。勒索攻击从单纯的支付赎金即可恢复被加密的数据，逐渐演变成先窃取商业信息和内部机密，攻击者通过甄别和窃取用户重要数据，以公开重要数据胁迫用户支付勒索赎金，这种新模式也被称为“双重勒索”，此外包括如植入DDOS攻击的附加勒索。

• 供应链攻击勒索

不同于攻击单一目标，供应链攻击指数级扩大入侵范围，通过入侵上游供应商入侵到众多使用该软件的企业IT设施内部，对于企业而言，其网络节点和上下游关联企业、供应商都成为潜在的攻击漏洞，产业链中安全薄弱环节均成为攻击者实现突破的关键点。

• 勒索攻击产业化平台化

不断扩大的市场规模触发了新的盈利模式，部分勒索软件攻击组织开发了RaaS（勒索软件即服务）平台，面向“会员”提供开箱即用的勒索软件攻击服务。依赖这种平台化模式，攻击者甚至不需要任何编程技术就可以开展违法犯罪活动，网络攻击的门槛大幅降低。

网络勒索攻击的实施过程

典型网络勒索攻击典型流程包括探测侦察、攻击入侵、病毒植入、实施勒索4个阶段。

1.探测侦察阶段：收集基础信息、找到攻击入口并建立内部立足点。

2.攻击入侵阶段：部署攻击资源、侦查网络资产并提升访问权限。

3.病毒植入阶段：植入勒索软件、破坏检测防御机制并扩展感染范围。

4.实施勒索阶段：窃取机密数据、加密关键数据后加载勒索信息。

一旦攻击得手，攻击者加载勒索信息，威胁攻击目标支付勒索赎金。通常勒索信息包括通过暗网论坛与攻击者的联系方式、以加密货币支付赎金的支付方式、支付赎金后获取解密工具的方式、警告受害者不要自行解密或修改数据名称等。

勒索攻击的初始入口途径

勒索软件有许多可行的途径入侵企业内部，其主要的传播方式包括钓鱼邮件传播、水坑网站挂马传播、垃圾邮件、漏洞入侵、远程登录入侵传播、供应链传播和移动介质传播等，诱导受害者下载运行勒索软件。

其中，利用网络钓鱼（包括钓鱼邮件、钓鱼网站、诱饵文档或程序伪装等）获得初始访问权限的攻击的占比达41%，成为2021年勒索软件攻击最主要的入侵途径。

三、以零信任应对勒索攻击挑战

零信任安全防护理念和机制

面对愈演愈烈的网络勒索攻击，部署零信任（Zero Trust）已然成为企业和组织IT安全架构转型中重要一环，在实施过程中，它能有效应对边界模糊的网络生态系统，且认为组织架构内每个组件都有弱点，每一层设施均需要保护。零信任不仅仅是一种技术修复，它是一套相互交织、洞悉敌对活动及相关业务风险、并致力于消减风险的方案集合。

• 零信任是行为模式的转变，是解决安全问题的新方法，它假设安全风险无处不在，通过各种方法加大攻击活动渗透到整个网络的难度。
• 零信任构建企业组织软件定义的安全边界，要求对所有连接网络接入资产的用户、设备进行认证和授权，访问过程中进行持续验证。
• 零信任使用基于持续风险评估的实时访问决策替换简单的、静态的实体验证。
• 零信任方法相关的原则（包括实施MFA以及最少特权原则）有助于降低组织中最主要攻击类型的脆弱性。特别是勒索软件和BEC，实施MFA会增加网络犯罪分子接管帐户的难度，仅仅盗取凭证无法攻破网络。
• 零信任提供了对VPN脆弱性的替换。许多行业和公司依赖VPN来访问他们公司的内部网络，但是实践证明VPN因为漏洞和暴露面容易受到攻击，而零信任网络访问提供了安全性和可视化。
• 零信任体系有效阻止黑客入侵后在内网扩散。攻击者可能控制某些脆弱的单点，当其通过已攻击的终端向网络内部更重要系统渗透时，零信任的安全机制可以及时检测到风险，从而帮助企业将风险控制在最小限度，阻止发生进一步全局渗透攻击的严重后果。

网宿零信任方案遏制勒索攻击

网宿安达SecureLink产品打破传统网络安全的固化边界概念，引导安全架构从网络中心化转向身份中心化，通过对用户、设备、网络、应用、数据的动态连接访问控制，建立应用层可视化、自动化、智能化的安全防护体系。

勒索软件快速进化演变，新的变种和攻击策略层出不穷，勒索软件适应性强，经过精心设计，可避免被安全软件检测到。即使是很小的延迟检测，也可以为潜在的不可逆文件加密提供足够的时间。对于企业组织而言，事前预防尤为重要，零信任通过提供在网络层面的暴露面收敛隐藏、身份MFA校验、密码加固、恶意访问威胁检测和设备环境安全感知、行为异常识别等能力，能够在勒索攻击的探测、远程连接阶段就进行安全防护和及时干预。

隐身网络遮蔽内部脆弱性

    利用网络隐身技术构建一张隐形的网络，只对认证授权的可信任用户可见，对其他人完全不可见，并且该用户访问应用的行为可以进行严格控制和记录。由于网络资产被隐藏，攻击者无法嗅探、扫描到企业内部的服务，无法利用内部服务的漏洞，有效保护企业内部网络、业务的脆弱性，遏制漏洞利用。

MFA机制保障身份安全

通过支持多因子认证（MFA）方式增强用户身份鉴定能力，实施 MFA实际上改变了威胁态势，迫使威胁实施者寻找新的网络入侵方式，仅仅利用被盗的登录密码凭证无法攻破防线。MFA降低了多种不同攻击类型的风险，包括勒索软件、数据盗窃、BEC 和服务器访问等。

DNS过滤阻断C&C连接

基于网络流量中DNS信令解析，对组织内部访问“风险网站”进行响应和阻断，降低由于下载和安装恶意软件，导致感染勒索软件的可能。勒索软件攻击中本地软件进程连接C&C服务器时，需要使用DNS解析其域名，此时平台实时进行识别和拦截，阻断勒索软件的攻击行动，从而降低遭遇网站挂马、网站钓鱼等安全风险的可能。

    目前，网宿平台具备的威胁情报库日常量级达3000多万条目，可帮助企业屏蔽各类恶意域名和IP ，识别、检测、阻断、告警及审计网络流量，防止勒索软件的攻击。

流量安全透视和处置威胁

NTA流量分析，通过流量解析识别勒索软件攻击并处置告警，平台根据告警封禁攻击 IP 地址，通过还原流量中传播的勒索软件样本，联动威胁情报识别和阻断投递过程中的勒索软件，从而检测和拦截各类通过邮件、网站传播的勒索软件。

沙箱隔离工作安全空间

平台提供端侧沙箱，是与宿主机隔离的安全工作空间，由于空间与宿主机的系统、网络、存储上进行隔离，数据加密存储，有效阻止宿主机中恶意勒索程序识别到其中的文件进行加密，也无法进入安全空间连接到企业敏感应用系统进行攻击传播。

最小权限应用层限制可达

网宿安达SecureLink产品只允许应用级访问，不暴露内网。即使员工电脑上被安装了恶意软件也无法扫描，窃取内网上的资源。限制勒索软件的入侵和传播，降低由于单一设备感染勒索软件，导致勒索软件在内部网络进一步传播的可能。

设备绑定和安全基线检查

目前，65%的企业允许员工使用未受控的个人BYOD设备接入内部应用系统，端点安全建设至关重要，根据安全基线实时监测用户终端设备的健康状态，判断终端是否授信准入，保护用户设备安全性，防止攻击者利用作为内网入侵的入口。   

支持联动流安全产品终端防御能力，对用户终端进行全面安全防护。终端防护产品集病毒查杀、实时防护、勒索软件、挖矿病毒防护、漏洞检测与修复、终端管理、主机防火墙、外设管控、EDR、资产管理、主机加固、文件分析、威胁处置等。

持续评估访问安全状态

平台对用户的每条访问和操作行为需要实时检测，对终端及用户行为进行持续验证，对检测到的异常行为、越权行为、威胁检测、终端环境等进行信任评分，根据检测结果动态调整用户的访问权限。使用UEBA智能模型机制来检测用户、设备的异常活动，自动化响应其威胁，告警和阻断。

全局风险监测示警和追溯

    基于用户行为检测、终端检测、入侵检测等各种要素洞悉客户网络安全风险。网宿SecureLink平台对用户的异常访问和操作行为进行记录，通过平台安全风险感知对大量数据进行统计分析，对可能的入侵行为进行分析、识别、检测、告警及追溯审计，为管理员提供安全运维的决策依据。

踏上零信任之旅

受全球数字化进程加快驱动，数以百万计的远程办公需求快速激增，随之而来的就是网络暴露面大大增加，但企业往往很少甚至没有时间考虑安全问题。零信任因应当前云、大数据、物联网、移动化的网络架构演化趋势，针对各类网络威胁构建多层面立体资产防御，将风险持续评估能力、动态访问控制、实时审查能力集成于复杂的安全架构。

很多企业已经有意或无意地走上了“零信任”之旅，所采用方法因企业所处IT架构阶段而不同，其战略的选取也相应不同，任何零信任之旅都将面临各种阻碍，需要整个企业给予强有力的领导层支持、投资和认同才能确保成功。

零信任不仅仅是一项技术解决方案，也是一次企业文化变革，充分的沟通、员工专业培训等因素是取得转型成功的必要措施。同时需要充分考量企业的业务驱动、现有的支撑流程和关键场景，从而确保企业的业务创新、演进战略、数字化转型建基在安全的IT架构上。