《派拉軟件：2024基于身份與訪問控制的網絡勒索綜述與防御指南（48頁）.pdf》由會員分享，可在線閱讀，更多相關《派拉軟件：2024基于身份與訪問控制的網絡勒索綜述與防御指南（48頁）.pdf（48頁珍藏版）》請在三個皮匠報告上搜索。

1、前言近年來，各類網絡安全事件頻發。其中，勒索軟件迅速發展成為最嚴重的網絡安全威脅之一，成為網絡犯罪的主要形式。據統計，2023 年，全球有十分之一的機構遭遇勒索軟件攻擊嘗試，比 2022 年激增了 33%；全球每個機構平均每周遭受 1158 次網絡攻擊。與 2022 年相比，網絡攻擊次數明顯增加。預計到 2031 年，每兩秒鐘就會發生一次勒索軟件攻擊，每年造成的損失將達到 2650 億美元。數據源自CheckPoint的大數據情報引擎ThreatCloudAI盡管網絡勒索在行業、地區等方面存在些許差異，但總體來看，從政府網絡到關鍵信息基礎設施，從個人到企業，從電腦設備到移動設備和服務器，勒索軟

2、件攻擊正在無差別地影響全球各個行業和領域、各類網絡用戶以及各種設備類型，給社會帶來嚴重的不利影響。隨著技術的不斷發展，特別是以 AI 為代表的新技術不斷完善，勒索軟件攻擊也在不斷變化形式與手段。正如網絡專家所言，勒索軟件攻擊事件會不斷持續并升級，這已是不可避免的事實。這意味著國家、企業組織，甚至個人都亟需全面了解勒索軟件的攻擊手法，了解使用電腦設備時的注意事項，并采取行之有效的安全防護軟件和應對措施，以應對隨時可能發生的勒索攻擊事件。因此，本報告重點為大家詳細綜述勒索軟件，幫助全面了解勒索軟件的定義、發展與演變、常見類型、工作原理和主要攻擊方式等內容；并基于訪問控制的角度，分析 2023 年的

3、網絡勒索態勢。最后，結合派拉軟件最擅長的技術領域身份與訪問控制管理，從訪問控制的角度詳細闡述如何應對網絡勒索。希望該報告能夠協助個人、企業和政府機構從身份認證與訪問控制角度更加有效地制定安全規劃，降低遭受勒索攻擊的風險。F o r e w o r d2018201920202021202220234%7%5%8%7%10%Ransomware lmpact on OrganizationsReaching All-time High in 2023(*global%of organizations targeted with ransomware attacks)04 前言網絡勒索與發展05

4、勒索軟件是什么05 網絡勒索發展與演變08 常見的勒索軟件類型勒索軟件工作與攻擊方式10 勒索軟件工作原理11 勒索軟件主要攻擊方式2023 勒索軟件態勢分析14 2023 勒索軟件攻擊態勢持續升級15 身份與訪問控制仍是勒索軟件攻擊的首選16 80%數據泄露事件與失竊的特權身份有關16 網絡勒索攻擊持續增長原因分析上篇|網絡勒索與態勢分析Part 1Part 2 Part 3目錄C o n t e n t s基于身份與訪問控制的網絡勒索綜述與防御指南零信任是骨架21 零信任核心理念22 身份管理和訪問控制24 資源隱藏和敲門技術25 網絡安全和隔離26 端點安全Part 4身份安全是基石27

5、 企業身份治理31 身份威脅識別與風險管控訪問控制是核心35 身份認證37 權限治理40 特權訪問管理AI 大模型應用43 智能自適應身份認證44 智能動態權限管控44 智能風險監控45 結束語46 關于派拉軟件下篇|基于訪問控制的網絡勒索應對策略Part 5Part 6Part 7上篇|網絡勒索與態勢分析4隨著技術的發展和全球數字互聯的日益緊密，網絡勒索正在不斷演變和發展。本篇章派拉軟件將立足當下，回顧過去并展望未來，詳細綜述網絡勒索，及其發展演變與工作原理，并基于身份與訪問控制維度分析 2023 年網絡勒索態勢分析。網絡勒索與態勢分析上篇基于身份與訪問控制的網絡勒索綜述與防御指南5網絡勒索

6、與發展網絡勒索是一種網絡犯罪活動，攻擊者通過勒索軟件對企業進行網絡攻擊，對目標數據進行高強度加密，以此要挾受害者支付贖金以換取數據解密。勒索軟件，又稱勒索病毒，是一種惡意軟件，常被歸類為“阻斷訪問攻擊”（denial-of-accessattack）。其工作方式與計算機病毒類似，但在攻擊手法和處置方式上有所不同。勒索軟件通常是對數據、文件和操作系統進行加密鎖定，然后要求受害者支付贖金，否則不予解密或威脅將數據公開、銷毀，甚至向相關監管部門投訴。勒索軟件的主要傳播方式包括釣魚郵件、網頁掛馬、漏洞利用、遠程登錄入侵、供應鏈攻擊和移動介質傳播等。勒索軟件并非新生事物，從第一個已知的勒索軟件出現至今，

7、已有35年的歷史。然而，近年來勒索軟件的發展迅猛，破壞性和影響力前所未有，引起了全球的廣泛關注。網絡勒索發展與演變勒索軟件攻擊作為一種特殊的惡意軟件攻擊形式，自出現以來不斷變化演進，技術也在持續迭代，數量和質量都在不斷提升。從最初的惡作劇、炫技和個人牟利的攻擊，迅速演變為專業化、團隊化的安全威脅，成為全球性的重大安全問題。在初級階段，網絡勒索主要針對個人電腦，贖金僅為幾百美元。從 2015 年起，美國聯邦調查局陸續接到企業網絡系統遭攻擊的報案，贖金迅速上漲至幾千美元。如今，勒索軟件影響已擴展至社會各個階層。近年來，勒索軟件已經成為一個新興的“產業”，并且呈現出攻防極度不對等的局面。攻擊手法的演

8、進速度遠超企業安全防護措施的提升速度。特別是隨著加密貨幣（如比特幣）的出現，贖金支付方式變得更加靈活，同時勒索團隊的觸角也逐步擴展，從局部勒索演變為全球性威脅。勒索軟件是什么上篇|網絡勒索與態勢分析6企業一旦遭受勒索軟件攻擊，影響會迅速蔓延至整個公司，降低工作效率，導致業務中斷數小時甚至數天。2017 年的 WannaCry 攻擊感染了 150 多個國家的 30 多萬臺計算機，其中包括英國國家健康體系（NHS），導致超過 60 家醫院和診所受到影響，信息系統無法正常運轉，醫生無法查看病患病歷，救護車無法正常接收服務請求，大量患者被迫延誤或取消就診。網絡勒索的早期形式20 世紀 80 年代末至

9、90 年代，網絡勒索的概念可以追溯到早期計算機病毒和木馬的出現。1989 年，哈佛大學學生編寫的艾滋病木馬（PCCyborg病毒）被認為是第一個已知的勒索病毒，它對受感染系統上的文件名進行加密，并要求付費才能恢復。勒索軟件的出現2000 年初，“勒索軟件”一詞開始普及，但與今天相比，當時仍處于初級階段，多用于描述黑客恐嚇或操作可逆的情況。比如 Gpcode 木馬，雖然加密文件，但支付贖金后可輕易解密。勒索軟件的復雜性與傳播2010 年，隨著比特幣等加密貨幣的出現，勒索軟件變得更加復雜。比特幣提供了一種安全且匿名的接收贖金方式。著名的例子有 CryptoLocker 和WannaCry，它們在全

10、球范圍內產生了廣泛的影響。勒索手段多樣化2010 年中期開始，網絡犯罪分子的勒索策略變得更加多樣化。除了加密數據，他們還威脅在線泄露敏感數據。這種策略被稱為“doxware”或“leakware”，從單純的經濟勒索轉向數據價值的進一步挖掘，使受害者不僅要考慮贖金支付，還需擔心企業數據泄露導致的名譽受損、研發停滯、核心機密外泄等問題。這些變化表明，網絡犯罪分子已經意識到，威脅公開勒索數據可能帶來更高的回報。CL0P、BianLian、Avos、BlackCat、HuntersInternational 和 Rhysida等勒索組織正朝這個方向發展，利用數據機密性和法律法規要求來強迫受害者支付贖金

11、，以避免罰款或聲譽受損。2023 年，ALPHV/BlackCat 勒索軟件團伙更是將敲詐勒索提升到新高度，向美國證券交易委員會提交投訴，指控其一名受害者未遵守披露網絡攻擊的規定?；谏矸菖c訪問控制的網絡勒索綜述與防御指南7有針對性的勒索軟件攻擊越來越多的網絡勒索者進行更有針對性的攻擊，稱為“大型游戲狩獵”，重點針對有能力支付更高贖金的大型組織和關鍵基礎設施。這種方法需要更復雜的社會工程和網絡滲透技術。與國家資助的活動相結合網絡犯罪集團和國家資助的行為者之間存在明顯重疊，用于網絡勒索的技術和工具也被用于地緣政治網絡行動，這模糊了犯罪活動和國家支持的網絡活動之間的界限。勒索服務產業化勒索軟件市場

12、的不斷擴大催生了新的盈利模式勒索軟件即服務（RaaS）。在這種模式下，勒索軟件進入產業化發展階段，在暗網市場中交易整套勒索軟件服務。任何人都可以利用 RaaS 平臺提供的現成解決方案，降低網絡犯罪的門檻，即便是新手攻擊者也能成功入侵分散的安全基礎設施。根據反病毒服務提供商 CarbonBlack2017 年 10 月的調查報告，全球有超過6300 個暗網平臺提供勒索軟件交易，銷售總額從 2016 年的 25 萬美元增長至2017 年的 620 萬美元，增長了約 25 倍。團體運作模式提升了專業化程度，助長了易用、定制工具的出現，開發人員專注某一環節或技術即可執行針對性的攻擊，成功概率更高，影響

13、更嚴重。黑產市場的繁榮進一步推動勒索軟件向更廣范圍蔓延。上篇|網絡勒索與態勢分析8以下是幾種常見且值得注意的勒索軟件類型：常見的勒索軟件類型加密勒索軟件CryptoRansomware加密勒索軟件是最常見的勒索軟件類型。它通過計算機或網絡持續不斷地搜索，專門用于發現具有一定價值的重要數據（如文檔、照片和視頻），并對這些數據進行加密，從而阻止用戶訪問。用戶必須支付贖金才能獲得解密密鑰。通常，計算機內的其他文件不會受到影響，用戶仍可正常使用計算機。然而，被加密的數據文件將無法訪問，除非支付指定的贖金才能解鎖。CryptoWall、WannaCry和Locky是一些知名的加密型勒索軟件實例。鎖定型勒

14、索軟件LockerRansomware與加密型勒索軟件不同，鎖定型勒索軟件不加密個人文件，而是鎖定整個設備，使用戶無法訪問其操作系統、應用程序或任何文件。通常，鎖定型勒索軟件在啟動時顯示一個消息，要求支付贖金來解鎖設備。Reveton和Petya是此類勒索軟件的典型例子。由于這種形式的勒索軟件通常不涉及加密，一旦受害者重新獲得設備訪問權限，所有敏感文件和數據都會被保留。假冒警告勒索軟件Scareware假冒警告勒索軟件通常偽裝成安全警告或技術支持警告，聲稱檢測到了非法軟件或病毒，并要求支付贖金來“清除”這些不存在的威脅。盡管這類軟件可能不會鎖定或加密文件，但它們通過制造恐慌來誘使用戶支付贖金。

15、在支付贖金前，受害者將無法關閉該消息窗口，也不能正常使用計算機。FakeAV是典型的假冒警告勒索軟件。勒索軟件即服務RansomwareasaService,RaaSRaaS是一種將勒索軟件的創建和分發外包給第三方的模式，使得即使沒有高級編程技能的攻擊者也能輕松發起勒索軟件攻擊。攻擊者通常需要支付一定比例的贖金給服務提供者。Cerber和GandCrab是兩個知名的RaaS平臺。01020304基于身份與訪問控制的網絡勒索綜述與防御指南9雙重勒索軟件DoubleExtortionRansomware雙重勒索軟件不僅加密受害者的文件，還竊取數據，并威脅要公開這些數據，以迫使受害者支付贖金。這種類

16、型的勒索軟件利用數據泄露的威脅作為額外的籌碼，增加贖金支付的壓力。Maze和DoppelPaymer是采用雙重勒索策略的勒索軟件實例。隨著智能手機和平板電腦的廣泛使用，移動勒索軟件也越來越普遍。這種類型的勒索軟件專門針對Android和iOS等移動操作系統，鎖定設備或加密設備上的文件，并要求贖金。SimpLocker和Fusob是兩種常見的移動勒索軟件。移動勒索軟件MobileRansomware泄露軟件Doxware泄露軟件是一種特殊形式的勒索軟件，不僅刪除或限制受害者對數據文件的訪問或使用，如果未及時支付贖金，該軟件會通過網絡傳播敏感信息，如私密照片或視頻、個人身份信息和財產信息。有些網絡

17、犯罪分子甚至會在暗網上售賣這些數據。這種以受害者個人聲譽為威脅的犯罪行為危害尤為嚴重。對于商業和個人用戶而言，Doxware的威脅是極為嚴重的。050607隨著技術不斷進步，勒索軟件的類型和攻擊手法還在持續演變。以 AI 技術為代表的新型勒索軟件帶來了各種新的攻擊手段，使用 AI 進行深度偽造詐騙、誹謗、敲詐勒索等新型違法行為屢見不鮮，且日益增多。在生成式 AI 浪潮下，黑客們將生成式 AI 作為“勒索攻擊武器”，頻繁發起復雜的網絡攻擊，并將其擴大甚至自動化。上篇|網絡勒索與態勢分析10勒索軟件工作與攻擊方式勒索軟件可以通過任何數字手段進行分發，包括電子郵件、網站附件、業務應用程序、社交媒體和

18、 USB 硬件等多種數字傳輸機制。其中，電子郵件仍然是最主要的傳輸載體，且網絡犯罪分子更傾向于使用鏈接文件，其次是附件。下圖展示了勒索軟件的常見分發手段。勒索軟件工作原理以電子郵件為例，網絡釣魚郵件常偽裝成通知或虛假軟件更新請求發送給用戶。當用戶點擊鏈接或附件時，其他惡意組件通常會在后臺透明下載，并使用RSA2048位私鑰對文件進行加密，使用戶幾乎無法解密文件。在其他情況下，勒索軟件可能嵌入在網站上，一旦下載并安裝，便會發起攻擊。勒索軟件的整體生命周期可大致分為以下六個環節，如下圖所示：31%電子郵件鏈接28%電子郵件附件24%網站附件9%末知來源4%社交?體1%業務應用?主?件?3 遠程密?

19、2 勒索軟件?意鏈接傳播?索要?特定?件加密基于身份與訪問控制的網絡勒索綜述與防御指南11?利用代碼下載、郵件附件或驅動下載將惡意軟件引入受害者的設備；?惡意程序植入主機并收集記錄主機信息；?勒索軟件聯系其指揮與控制（C&C）服務器獲取加密密鑰；?勒索軟件開始搜索具有特定擴展名的用戶文件，如pdf、docx、xlsx、pptx和jpg等；?將目標文件移動并進行加密；?向受害者發送包含贖金要求的聲明。了解了勒索軟件的工作原理后，我們需要進一步探討其主要攻擊方式。通過了解這些攻擊方式，可以幫助企業更好地防御網絡勒索攻擊。分析市場上公開的網絡勒索事件及其原因發現，大多數勒索病毒攻擊在攻擊早期會暴露出

20、明顯的“攻擊信號”，如弱口令暴力破解、非法外聯、遠程登錄、漏洞掃描等。這些攻擊信號通常沒有經過高級偽裝，許多安全廠商都有成熟的安全產品或解決方案，能夠實時監控相關攻擊活動，及時發現并產生告警。勒索軟件主要攻擊方式總體來說，網絡勒索攻擊者主要通過暴力破解、釣魚郵件、漏洞掃描與利用、遠程桌面入侵等方式發起攻擊，并植入勒索病毒實施勒索行為。以下是具體常見的攻擊方式介紹：暴力破解暴力破解是最簡單直接的入侵方式，通過系統地嘗試所有可能的密碼，直到找到正確的密碼。攻擊者使用工具掃描暴露在互聯網上的高危端口，然后通過暴力破解、字典攻擊、混合攻擊等方式入侵，主要針對需要密碼驗證的系統，包括但不限于網絡服務、數

21、據庫、個人賬戶等。通常使用自動化工具生成并嘗試密碼，這些工具能夠在短時間內嘗試成千上萬的密碼組合。若系統存在弱口令，則極易被暴力破解滲透。勒索軟件最常用的傳播方式之一就是針對RDP遠程桌面服務的暴力破解。釣魚郵件釣魚郵件是勒索軟件傳播的主要形式之一。攻擊者通常采用社會工程學的偽裝手法，精心構造郵件主題、內容及附件名稱，使其極具欺騙性和迷惑性。受害用戶通常無法直接分辨這些釣魚郵件的可信度，許多人因此上當受騙。上篇|網絡勒索與態勢分析12例如，攻擊者會偽裝成合法機構、企業或受害者的聯系人，在郵件中添加偽裝成合法文件的惡意附件，或在郵件正文中提供惡意 URL 鏈接。攻擊者誘導收件人打開惡意附件或訪問

22、惡意鏈接。一旦受害者打開惡意附件或點擊惡意鏈接后，勒索軟件即被下載并開始加密用戶設備上的文件。違規操作違規操作指的是系統運營者或合法使用者出于工作便利或特殊原因，對系統進行的違規操作，從而導致系統防御失效并被攻擊者入侵。嚴格來說，違規操作本身不是一種攻擊方式，而是一種誘發攻擊的原因。攻擊者通常利用內部人員的違規操作，通過打開的映射端口或通道進入內網，并結合其他攻擊手法獲取系統控制權，實現惡意外聯，對系統進行遠程控制和監控。據權威報告顯示，絕大多數違規操作都是因為系統存在“非法外聯”行為，在溯源過程中被發現。攻擊者利用內網人員的違規操作進入內網，并進一步獲取系統的控制權。漏洞掃描與利用漏洞是操作

23、系統或應用程序中的編碼錯誤，是計算機系統在研發過程中存在的缺陷或問題。攻擊者利用軟件中未修復的安全漏洞來傳播勒索軟件。通常，攻擊者會使用漏洞攻擊包（ExploitKit）檢測設備操作系統或應用程序中是否存在安全漏洞。這種攻擊方式不需要用戶交互，因此對于未及時更新軟件的系統來說風險特別高?；谏矸菖c訪問控制的網絡勒索綜述與防御指南13攻擊者通過感染軟件供應鏈中的某個環節（如第三方服務提供商或軟件更新）間接感染目標用戶或企業。攻擊者入侵軟件供應商的服務器設備，利用軟件供應鏈的分發、更新等機制，在合法軟件傳播和升級過程中劫持或篡改軟件，從而規避用戶的網絡安全防護機制，傳播勒索病毒。遠程登錄許多公司主

24、機因業務需求啟用遠程維護功能，因此遠程訪問端口通常開放。攻擊者通過猜測、弱口令或暴力破解等方式獲取遠程桌面服務的登錄憑據（用戶名和密碼），然后通過遠程桌面協議（RDP）登錄服務器直接投放勒索軟件。攻擊者一旦成功登錄服務器，便可利用服務器作為攻擊跳板，在內部網絡橫向傳播勒索病毒。軟件供應鏈攻擊最典型的案例是 2017 年 WannaCry 事件。永恒之藍利用 Windows 系統的 SMB 協議漏洞獲取系統最高權限，從而控制被入侵的計算機。永恒之藍于2017 年 4 月 14 日爆發，不法分子在 2017 年 5 月 12 日完成對永恒之藍的改造，使其成為 WannaCry 勒索軟件，導致全球范

25、圍內大規模感染。據統計，僅 2017 年 5 月 12 日一天就有超過 90 萬臺主機被感染。此后，利用漏洞進行擴散的勒索軟件開始頻繁出現。上篇|網絡勒索與態勢分析142023 勒索軟件態勢分析2023 年，全球勒索軟件攻擊的頻率自第二季度開始大幅上升。勒索攻擊通過加密數據使業務系統無法正常運轉，迫使企業支付贖金。這導致企業在停工停產造成的經濟損失和支付贖金之間做出選擇。大多數企業選擇支付贖金以迅速恢復業務。據 Check Point 發布的 2023 年全球網絡安全報告顯示，2023 年網絡威脅持續升級。全球每個機構平均每周遭受 1,158 次網絡攻擊。與2022年相比，網絡攻擊次數明顯增加

26、，這表明數字威脅形勢依然嚴峻。2023 勒索軟件攻擊態勢持續升級2023 年，網絡威脅形勢不斷演變，特別是勒索軟件威脅的實施方式。勒索軟件繼續構成重大風險，尤其是對規模較小、防御能力較弱的企業。攻擊者開始重點進行數據竊取和純粹的勒索活動。MOVEit 和 GoAnywhere 的兩起大規模攻擊活動體現了這種戰術上的變化。這些攻擊并沒有使用傳統的基于加密的勒索軟件，而是通過威脅泄露被盜數據來索要贖金。據 360 最新報告顯示，2023 年，在國際安全領域，新出現的勒索軟件如ESXiArgs、Akira、INCRansom 與 HuntersInternational 展示了其破壞性能力。這些惡意

27、軟件利用安全漏洞和管理不善，侵入了眾多大型企業的內部網絡，導致關鍵設備損壞和重要數據被盜。在這些事件中，INCRansom 專門針對主要機械制造工廠進行精準打擊；HuntersInternational 則將攻擊焦點集中在醫療和制藥行業，甚至對美國海軍的一個承包商實施了攻擊；Akira 的挑釁行為尤為突出，其攻擊了德國南威斯特法倫州的一家關鍵系統供應商，造成了該州 72 個市政府業務的大面積中斷。在國內，多家大型能源企業、金融企業和制造業企業先后遭到勒索軟件的侵襲。盡管這些事件主要影響分支部門，并未直接影響整個集團，但其帶來的業務損失和數據泄露的間接影響不可小覷。此外，下半年針對中小企業服務器

28、的攻擊也層出不窮。11582023年網絡威脅持續升級。全球每個機構平均每周遭受1，158 次網絡攻擊。當前流行的主要勒索軟件家族將更多攻擊重點轉移到了大型超大型集團企業?；谏矸菖c訪問控制的網絡勒索綜述與防御指南15總體來看，2023 年國內勒索軟件攻擊事件量相對平穩，但這并非由于勒索軟件攻勢放緩。當前流行的主要勒索軟件家族將更多攻擊重點轉移到大型和超大型集團企業，勒索團伙通過較少的攻擊次數獲取巨大的回報。同時，更明確的攻擊目標和更低的攻擊頻率便于攻擊者制定更具針對性的策略，從而提高每次攻擊的成功率。身份與訪問控制仍是勒索軟件攻擊的首選派拉軟件團隊在 2023 年觀察到，針對身份的網絡威脅明顯

29、增加。攻擊者傾向于選擇阻力最小的途徑實現其目標，焦點已從傳統的漏洞利用轉向登錄憑證獲取。這種轉變不僅反映了攻擊者適應性強、策略靈活的特點，也凸顯了身份與訪問控制在當今網絡安全中的關鍵地位。另一項研究顯示，網絡勒索攻擊者正轉向更快、更有效的手段，如身份攻擊（包括網絡釣魚、社會工程和訪問代理）及漏洞利用。這一趨勢在過去五年中尤為明顯，與身份攻擊和訪問代理的成功密切相關。網絡釣魚和社會工程攻擊通過誘騙用戶泄露敏感信息或執行惡意操作，利用了人性的弱點和心理漏洞，使得攻擊成功率大大提高。訪問代理是威脅行為者獲取組織訪問權限并提供或出售給其他行為者的手段，包括勒索軟件運營商。這些代理通過各種手段獲取組織的

30、訪問權限，然后在地下市場上出售給出價最高的買家。2023 年，這些對手繼續通過向各種電子犯罪參與者提供初始訪問權限獲利，與 2022 年相比，公布的訪問數量增加了近20%。這種趨勢表明，訪問代理已經成為網絡犯罪生態系統中的一個重要組成部分，其影響力和危害性不容小覷。當今復雜的網絡攻擊只需幾分鐘即可成功。攻擊者使用“交互式入侵”技術模仿預期的用戶和管理員的行為，使防御者難以區分合法用戶活動和網絡攻擊。這種技術手段的進步，使得攻擊者能夠在不引起警覺的情況下迅速實現其目的。為了加快攻擊速度，攻擊者通過各種方式獲取合法的登錄賬號和密碼，包括從初始訪問代理人處購買憑據。這種購買行為不僅加快了攻擊速度，還

31、增加了攻擊的隱蔽性和復雜性。因此，到 2024 年，企業組織必須優先考慮保護身份安全。派拉軟件團隊于2023年觀察到的最大變化是，針對身份的網絡威脅在明顯激增。上篇|網絡勒索與態勢分析16據統計，80%的黑客攻擊中涉及的數據泄漏事件與失竊的特權身份有關。特權身份憑證幾乎是每次嚴重攻擊的共同因素。攻擊者需要通過竊取特權身份憑證來獲得訪問企業最關鍵資產信息的權限。特權身份憑證是訪問網絡關鍵基礎設施和竊取數據的必要前提。2023 年，所有重大安全事件幾乎都始于高權限（特權）賬號泄漏。例如，2023 年 1 月，黑客團伙 Lapsus$使用“superuser”賬戶入侵 Okta，并發布了據稱獲取自內

32、部系統的屏幕截圖，影響 366 名 Okta 客戶。5 月，美國德克薩斯州達拉斯市因 Royal 勒索軟件攻擊被迫關閉所有 IT 系統，攻擊始于域服務器賬號被盜，導致 Royal 團隊獲得市網絡訪問權限，并最終導致 1.169TB 的敏感數據泄漏。8 月，MGM 國際酒店集團遭遇勒索軟件攻擊，攻擊始于 Okta 中的高權限賬號失竊，導致數百臺 ESXi 服務器被加密，造成每天高達 840 萬美元的損失。數字化時代，企業面臨越來越復雜的網絡安全威脅。特權訪問是組織最有價值資產的入口，也是每次重大安全漏洞的核心。因此，企業必須制定完整的策略來管理和監控特權訪問，并在需要時及時檢測和應對威脅，以減輕

33、黑客攻擊的風險。80%數據泄露事件與失竊的特權身份有關網絡勒索攻擊持續增長原因分析勒索軟件攻擊日益復雜，從單純的數據加密轉變為數據盜竊和泄露。這一策略的改變反映了網絡犯罪分子認識到，威脅釋放被盜數據可能比持有數據獲取贖金帶來更高的回報。另一個關鍵趨勢是勒索軟件團體的崛起，其復雜程度越來越高，從通用性安全攻擊團隊轉向專業化勒索團隊。由于勒索攻擊帶來的巨大經濟利益，犯罪團伙尋找在網絡保險、合規和立法等領域擁有先進技能和專業知識的個人。勒索軟件組織之間的競爭格局預計將加劇。人工智能（AI）融入網絡犯罪活動也日益受到關注。惡意行為者利用人工智能技術（包括生成式人工智能）創建更具說服力的虛假內容。在重大

34、全球事件的背景下，這一點尤為令人擔憂。失竊的特權身份是幾乎每次嚴重攻擊的共同因素?；谏矸菖c訪問控制的網絡勒索綜述與防御指南17從內外部分析，網絡勒索持續增長的原因包括：安全措施不足許多組織缺乏強大的網絡安全防御，容易成為網絡勒索者的目標。薄弱的安全協議、過時的系統和未修補的漏洞為攻擊者提供了輕松的入口。缺乏員工意識員工缺乏網絡安全最佳實踐的培訓，容易受到網絡釣魚攻擊、社會工程和敏感信息的無意泄露。數據管理不足數據管理不善和敏感數據缺乏加密或定期備份策略可能導致網絡犯罪分子輕松訪問并利用這些數據作為勒索的杠桿。有限的事件響應計劃沒有明確事件響應計劃的組織在應對網絡勒索攻擊時準備不足，導致響應延

35、遲或無效。勒索軟件即服務（RaaS）的興起RaaS 在暗網的可用性降低了網絡犯罪分子的進入門檻，使得技術技能有限的人也能發起勒索軟件攻擊。這種模式提升了專業化程度，助長了易用、定制工具的出現，犯罪分子只需專注某一環節或某一技術即可執行有針對性的攻擊。加密貨幣的使用勒索攻擊活動猖獗的一部分原因是比特幣等匿名支付手段的惡意利用。比特幣的去中心化特點使其成為網絡勒索的主要支付形式，隱匿了攻擊者的身份，從而鼓勵更多犯罪分子從事網絡勒索。數字依賴性增加隨著企業數字化轉型深入，企業和個人對數字服務的依賴程度增加，網絡攻擊的潛在影響也隨之增加，使得網絡勒索變得更加有利可圖。上篇|網絡勒索與態勢分析18攻擊的

36、復雜性網絡犯罪分子不斷發展技術，使用更復雜的方法逃避檢測并提高攻擊成功率。法律和司法挑戰網絡犯罪的跨境性質給執法和起訴帶來了重大挑戰，使許多網絡勒索者能夠逍遙法外。這些內部和外部因素的融合為網絡勒索的增長創造了肥沃的土壤。為了應對這一日益嚴重的威脅，組織必須加強內部防御，培養網絡安全意識文化，并與外部合作伙伴和執法部門合作，增強抵御網絡勒索的能力。全球連接性互聯網的全球性使得來自世界任何地方的攻擊者都可以瞄準遠方的受害者，增加了潛在目標的數量?；谏矸菖c訪問控制的網絡勒索綜述與防御指南19無論是從 2023 年網絡勒索攻擊的現狀分析，還是從勒索軟件傳播手段（如遠程桌面協議 RDP、弱口令和數據

37、庫弱口令依然是最主要的入侵途徑）來看，身份訪問控制都是企業組織應對網絡勒索攻擊的必要且關鍵的技術手段?；谠L問控制的網絡勒索應對策略下篇下篇|基于訪問控制的網絡勒索應對策略20國家互聯網應急中心（CNCERT）發布的勒索軟件防范指南中，提出了防范勒索軟件的“九要與四不要”：在這些防范措施中，我們也可以看到身份與訪問控制安全的重要性。當然，要更加有效地應對網絡勒索，企業組織需要采取多層次、多維度的策略方法來防范，并確保在成為目標時能夠迅速有效地做出反應。整個防范策略涉及技術防御、員工培訓和明確的事件響應協議的結合。市面上已有很多關于此類防范策略的白皮書?；诖?，本章節將換個視角，重點從派拉軟件最

38、擅長的身份認證與訪問控制技術著手，探討如何通過完善企業人員、網絡、應用和數據的訪問控制，有效防御網絡勒索。類別措施 九要資產梳理進行資產梳理與分級分類管理數據備份備份重要數據和系統密碼設置設置復雜密碼并保密安全評估定期進行安全風險評估病毒防護經常進行病毒掃描、關閉不必要的端口身份驗證做好身份驗證和權限管理訪問控制嚴格執行訪問控制策略安全意識提高員工的安全意識應急預案制定應急響應預案四不要郵件點擊不點擊來源不明的郵件網站訪問不打開來源不可靠的網站軟件安裝不安裝來源不明的軟件存儲介質不使用來歷不明的存儲介質基于身份與訪問控制的網絡勒索綜述與防御指南21零信任是骨架零信任安全模型建立在“從不信任，始

39、終驗證”的原則之上。采用 NIST 的零信任框架可以防止網絡攻擊者利用權限過多和缺乏網絡分段來實施攻擊，從而降低遭受網絡攻擊的風險。據調查顯示，在某些情況下，實施零信任安全策略可以獲得 92%的投資回報率，半年內回本。零信任還可以將數據泄露的概率降低 50%。最重要的是，零信任不僅僅是一種產品，而是一個過程和方法。許多組織將其網絡看作是被護城河包圍的城堡，保護網絡邊界的防御措施（如防火墻和入侵防御系統 IPS）將攻擊者拒之門外，類似于護城河將入侵部隊擋在中世紀的城堡外。然而，這種“城堡加護城河”的安全方法非常容易受到勒索軟件的攻擊。事實是，攻擊者經常能夠突破“護城河”，一旦進入，他們就可以自由

40、地感染和加密整個網絡。零信任核心理念基于此，行業提出了一種新的假設：假定“城堡”內外都存在威脅。這種理念被稱為零信任。零信任模型維持嚴格的訪問控制，默認不信任任何人或計算機，即使是網絡邊界內的用戶和設備。它是一種不依賴于物理或邏輯位置來決定安全措施的新型網絡安全架構。零信任架構的優勢在于它基于風險管理的原則，采用自適應、個性化、統一、自動化的安全控制技術，為組織提供更高的安全性和靈活性。隨著組織對網絡安全需求的不斷增長，零信任架構已成為當下及未來網絡安全的重要趨勢。下篇|基于訪問控制的網絡勒索應對策略22零信任網關數據庫網關防數據泄露防數據誤刪權限控制高?？刂艫PI網關API網關API管理AP

41、I安全服務治理特權網關特權訪問特權賬號密碼管理運行時訪問?e?網關統一會話表單代?密碼管理細粒度權限APP領導門戶WEB新?門戶PC工作門戶PAD?門戶?毒SDP/VPN補丁VDI/RDPMDM?箱安全策略DLP端點網關?業務?數據載體數據本體數據處理風險?查數據梳理數據保護監控預警身份治理風險?查數據梳理數據保護監控預警ERPCRMWebOAIMHRMAPIEMaileHRMESSCMPMS在網絡勒索應對中，零信任持續監控并基于會話重新驗證用戶和設備，一旦檢測到感染，它可以通過縮小甚至取消網絡和應用程序訪問權限來阻止勒索軟件的進一步傳播。在系統檢測到入侵者時立即鎖上門。即使攻擊者竊取了密碼，

42、他們仍然無法訪問，因為沒有授權設備。零信任還遵循“最小權限”原則，使勒索軟件難以提升權限并控制網絡。零信任模型主要通過四大核心內容對企業網絡安全進行保障，即身份管理和訪問控制、資源隱藏和敲門技術、網絡安全和隔離、端點安全。身份管理和訪問控制零信任模型作為一種新型網絡安全架構，旨在消除傳統安全模型中的“信任邊界”，實現對用戶、設備和應用程序的全方位監控和管理。在零信任模型中，身份和訪問管理是關鍵組成部分，因為每個訪問請求都需要進行身份驗證和權限確認，以保證系統的安全性和穩定性。身份驗證是指確定用戶的真實身份，而權限確認則是根據用戶的身份和訪問需求，確定其是否有權訪問特定資源。在零信任模型中，常用

43、的身份驗證技術包括用戶名和密碼、多因素認證（MFA）和生物識別技術等。多因素認證可以增加用戶身份的可信度，提高系統的安全性；而單點登錄（SSO）可以簡化用戶的登錄流程，提高用戶滿意度和使用體驗?；谏矸菖c訪問控制的網絡勒索綜述與防御指南23除了身份驗證，訪問控制也是身份和訪問管理的重要組成部分。訪問控制根據用戶的身份和訪問需求，確定其可以訪問的資源和權限級別。在零信任模型中，訪問控制通常采用基于策略的訪問控制（PBAC）或基于屬性的訪問控制（ABAC）等技術。為了實現有效的身份和訪問管理，需要結合技術和管理措施，建立一個完整的安全體系。技術方面包括身份驗證技術、訪問控制技術和多因素認證技術等；

44、管理方面則包括身份管理、訪問管理和風險管理等。在身份管理方面，需要建立一個完整的流程，包括身份注冊、身份驗證、身份授權和身份撤銷等。在訪問管理方面，需要建立完整的流程，包括訪問審批、訪問監控和訪問日志等。在風險管理方面，需要建立完整的流程，包括風險評估、風險應對和風險監控等?；诓煌脩舻膭討B風險因子采集基于用戶動態風險?，控制用戶?錄認證方式、?止高?訪問、或?定?常?單點登?API規?結?錄訪問統一認證入口IAM應用管理員應用?瀏覽器常用設備操作系統授權設備.操作習慣登錄頻率登錄時間訪問歷史?信?風險?身份數據?信?行為分析身份屬性用戶權限?特權賬號用戶級別IP地址.網絡環境地理環境數據轉

45、換聚合分類特權賬號認證方式（?持單?展）（?持?認證）（?持應用內重要?程?認證）數據建模風險告警風險控制?認證?Face ID.風險通知數據處理風險分析數據?配風險計算風險服務風險情報風險?法模型訪問設備頻繁切換IP/賬號/時間黑白名單短時間內位置變化算法策略非常用時間段/設備/IP.用戶OTP在零信任模型中，身份和訪問管理是非常重要的組成部分。只有建立一個完整的身份和訪問管理體系，結合多種技術和管理措施，才能保證系統的安全性和穩定性，提高用戶滿意度和使用體驗。在后續章節中，我們將詳細介紹身份和訪問管理的具體內容。在零信任模型中，身份和訪問管理是非常關鍵的組成部分，因為每個訪問請求都需要進行

46、身份驗證和權限確認，以保證系統的安全性和穩定性。下篇|基于訪問控制的網絡勒索應對策略24資源隱藏和敲門技術在零信任環境中，資產保護能力至關重要。其中，通過 UDP 的敲門技術可以實現對資產的有效保護。UDP 是一種無連接的協議，其端口可以用于接收數據包而不返回任何數據包，從而使外部掃描器無法獲取端口是否開放的信息。在零信任的敲門技術中，采用 UDP 接收外部的敲門數據包，并通過數據包中的認證數據（通常是基于 OTP 的動態口令）進行認證。認證成功后，通過防火墻技術動態開放 TCP 端口，用于后續的用戶認證和隧道連接。因此，利用 UDP和 TCP 的敲門技術可以實現對資產的保護。具體來說，單包授

47、權（SPA）通過對連接服務器的所有數據包進行認證授權，服務器認證通過后才響應連接請求，從而實現企業業務的服務隱身，使其無法從網絡上連接和掃描。在 UDP 端口敲門和 TCP 服務隱身模式下，設備默認隱藏所有需保護的端口，僅開放 UDP 敲門端口。正常用戶在訪問前需要發送含有身份憑證的 UDPSPA敲門包，驗證成功后更新本地防火墻規則，臨時開放指定源 IP 對 443 端口的訪問權限。后續連接建立過程中遵循第二代 TCPSPA 流程完成 TLS 會議協商，再開放 TCP 保護端口，并進行 SPA 校驗。在零信任環境中，通過 UDP 的敲門技術，可以有效地保護企業的資產安全，提高安全防護能力?；?/p>

48、身份與訪問控制的網絡勒索綜述與防御指南25與傳統網絡隔離方案相比，微隔離技術具有以下優勢：實現微隔離技術需要一些特殊的訪問控制設備，如 VPN 隧道設備、網關設備等，這些設備對網絡流量進行訪問控制和隔離，確保只有授權流量才能進入或離開微隔離網段。此外，還需要對網絡應用和服務進行安全配置，避免潛在安全風險。網絡安全和隔離微隔離技術是零信任網絡安全策略中的關鍵組成部分，是基于網絡安全原則的新型隔離方案。通過對網絡流量的訪問控制和隔離，將網絡劃分為多個邏輯上的微小網段，以實現更安全和高效的網絡管理。每個安全區域都有獨立的訪問控制和安全策略，防止攻擊者一旦入侵就能訪問整個網絡。微隔離優勢描述高效性快速

49、實現網絡隔離，簡單配置訪問控制設備，易于故障排查和問題解決安全性隔離不同網絡應用和服務，防止安全威脅擴散，如隔離金融交易和 Web 服務器可管理性網絡流量隔離于多個邏輯網段，每網段有獨立管理策略，便于擴展和管理主動?光分析探索攻擊基線系統系統隔離、安全加固零信任網絡的微隔離轉移攻擊者預防風險檢測風險確認風險等級處理事故設計/模式變更調查取證預測修復、調整響應防御檢測策略合規?行持續監測和自適應調整監控下篇|基于訪問控制的網絡勒索應對策略26端點安全在零信任模型中，保護各種設備（無論是移動設備還是物聯網設備）至關重要。這些設備通常沒有經過充分的安全測試和認證，容易成為網絡攻擊的目標。因此，必須采

50、取一系列措施確保這些設備的安全性和保密性。企業可以通過下述步驟，建立完善的端點設備安全管理和監控體系，確保設備的安全性和可靠性。企業組織在實施微隔離技術時需綜合考慮網絡規模、安全需求和訪問控制策略等多個因素，確保微隔離網段的安全、高效和可管理性。微隔離主要通過以下幾種方式提高網絡安全性：微隔離是零信任網絡安全策略中的重要組成部分，能實時感知企業資產的網絡狀態，以發現異常訪問，對網絡安全進行實時監控，并在威脅發生時，及時阻斷，減少威脅爆炸半徑，有助于保護敏感信息和資源，提高網絡的安全性和可靠性。隨著技術的發展，微隔離的實現方式也在不斷改進和創新，未來將發揮更重要的作用。微隔離策略功能描述實現方式

51、分離訪問控制通過在不同的安全區域中設置不同的訪問控制規則，限制每個區域的訪問權限。通過定義詳細的安全策略和訪問控制規則。安全隔離在不同安全區域之間設置物理或邏輯隔離，防止跨區域訪問。通過硬件隔離或軟件隔離技術實現。多層安全防御在不同安全區域中應用多種安全措施，如網絡和應用安全設備。采用層層遞進的安全防御措施。步驟描述具體措施1設備調研與信息采集建立設備的安全基線，確保軟硬件系統符合最新安全標準2監控軟硬件系統狀態監控補丁、漏洞、軟件版本、系統配置、安全軟件安裝和軟件策略執行3身份驗證與授權確保只有授權用戶能訪問設備，使用多因素認證、訪問控制列表和訪問令牌4保護通信安全使用虛擬專用網絡（VPN）

52、和安全套接字層（SSL）技術5定期更新軟件固件通過定期漏洞掃描和安全測試，及時應對安全漏洞和攻擊6設備監控與安全事件響應使用設備監控和安全事件響應工具，及時檢測和應對安全事件7物理與環境監控采集設備信息和來源 IP 地址，分析物理位置，確保設備安全和完整8數據保護使用設備加密技術保護設備的數據和通信9建立安全管理與監控體系建立安全管理團隊，實施安全審計和監控，記錄和監控設備的安全事件基于身份與訪問控制的網絡勒索綜述與防御指南27身份安全是基石許多勒索軟件攻擊始于網絡釣魚活動，通過獲取用戶憑據（用戶名和密碼）進入網絡并在網絡內移動。攻擊者還會嘗試使用已知的默認憑據，直到找到使用這些憑據的服務器或

53、網絡，從而獲得訪問權限。因此，應對企業網絡勒索需要從身份管理入手。實際調查顯示：大多數企業在人員、系統和設備的身份管理上存在諸多問題。為全面保障企業人員、供應商、伙伴、設備和物聯網設備的全域身份安全管控，企業亟需展開全面的身份治理行動。企業身份治理在數字化轉型過程中，企業數字化應用持續增多，賬號管理成本和難度直線上升。各系統內賬號和權限的治理以及應用數據安全的重要性愈發突出。做好企業身份治理至關重要。企業身份治理是指通過管理企業身份數據和身份源來保障信息安全和合規性。身份數據通常指與個人身份相關的信息，如姓名、出生日期、地址、聯系方式、職務等；身份源則是產生這些身份數據的實體，包括內部人員、合

54、作伙伴、供應商、客戶、臨時工等。?數據核心資產企業數據外防數據?用戶企業內?用戶程?數據?數據?數據?數據泄露缺?準?風控?計?成?違權用戶?法身份身份?冒身份?權限?權限?內?作?漏洞網絡應用主機數據庫文件設備下篇|基于訪問控制的網絡勒索應對策略28為實現身份數據和身份源的管理，企業通常采用身份管理系統集中管理身份數據和身份源，并為不同應用系統提供統一的身份認證和訪問控制服務。身份管理系統可以根據企業的需求設計不同的身份認證流程和權限管理規則，實現自動化管理。技術?業務安全A?I安全賬號安全數據?安全?管理?員制度?程組織架構職能分工人員能力策略方針管理制度流程規范操作表單意識?意識引導培訓

55、?能力認證數據分類分級與分級保護數據傳輸共享合規數據安全評估數據跨境合規合作方數據安全管理數據安全監管審計數據權限管控數據?敏管理接口安全管理數據安全銷毀管理安全活動權限治理?治理IPDRR識別身份數據資產梳理身份數據分級分類身份數據安全評估檢測身份數據流轉監測異常行為檢測身份數據建模分析響應身份安全事件處置身份風險事件溯源身份數據安全評估?復?備數據恢復身份數據采集身份數據傳輸身份數據存儲路由配置Cookie配置網關代?DDoS防護?載均衡訪問代理證書管理API資產管理數據整合數據積?數據處理數據標準數據建模數據服務數據?庫業務模型構建業務場景建模數據算法挖掘數據資產共享數據主題域數據?敏數

56、據權屬定義API安全監測API行為審計API權限管控API調用審計API策略配置報表分析特權賬號審計密碼策略管理授權管理用戶組織管理健康檢查訪問控制操作審計S?L?法解析對象提取訪問權限控制數據靜/動態?敏數據分級分類敏感數據識別 運維安全客戶端數據?能業務數據資產?現身份數據使用身份數據交換身份數據銷毀身份治理風險治理數據?離?多源業務系統集合形成權威身份數據源，IAM建設自動化同步(1)IAM調用下游系統接口(2)IAM提供接口(1)提供接口OASAPEHRDRP.員工創建接口(2)調用接口員工變更接口APIAPIAPIAPIAPI員工離職接口權限新增接口權限刪除接口權限變更接口.員工IT

57、IAM新員工錄入新增部門崗位維護員工信息變更刪除部門權限維護離職賬號停用部門信息變更員工信息加密?敏數據?步方式數據?步方式下?應用?下?供接?IA?行?用特點：數據同步實時性高，下游提供僅需提供標準接口，IAM進行開發，適用對數據變化實時要求較高的場景通過接口實現：賬號自動開通信息自動變更賬號自動停用權限自動新增權限自動變更權限自動刪除?2?IA?供接?下?行?用特點：IAM提供標準接口，下游系統執行定期全量或增量等數據同步策略，適用于對數據實時性不高的場景基于身份與訪問控制的網絡勒索綜述與防御指南29例如，內部人員的身份數據和訪問權限由 HR 系統管理；合作伙伴和供應商的身份數據和訪問權限

58、由經銷商系統或客戶關系管理系統管理；客戶的身份數據和訪問權限由會員系統管理；臨時身份數據和訪問權限則由身份管理系統管理，并根據有效期進行回收處理。組織架構數據源也是身份治理的重要組成部分，包括企業的員工組織結構、部門分類、職位級別等信息。企業使用 HR 系統或人力資源管理軟件管理組織架構數據源，并根據這些數據生成相應的用戶和權限管理規則。對于集團性公司，機構之間的人員和用戶權限可能重疊，需統一考慮，并對跨機構工作的人員進行特殊處理，符合身份治理規范。除了一些應用系統本身的身份賬號外，還需要重點關注特權賬號。特權賬號通常分為機用賬號和人用賬號。機用賬號如 RPA 系統中的 Bots 賬號；第三方

59、服務賬號如短信平臺和郵件平臺的賬號。人用賬號又分為個人使用和共享使用。個人使用賬號如OA管理員的賬號，權限較大；共享使用賬號如Windows的Administrator賬號、Linux/Unix 的 root 賬號等。?團員工?身份?心?認證?心?權?心?分析?心?計?心多?管理服務?心分?司員工供應?用戶用戶?數字身份平臺應用?規?準用戶管理認證管理移動?移動?移動?用戶信息賬號管理組織管理網絡防泄漏OAERPCRMHRM統一身份管理規范統一身份認證規范統一賬號管理規范統一應用接入規范統一入口、規則多因素認證認證配置認證策略認證鏈權限信息權限管理權限?定權限大?用戶畫像UEBA決策大屏告警外

60、發身份審計行為審計權限審計報表配置下篇|基于訪問控制的網絡勒索應對策略30這些賬號權限較大，影響面廣，需采用特權賬號管理方式。特權賬號管理分為以下幾大功能模塊：在身份使用過程中，會有賬號異常使用情況，需通過異常識別和風險管理進行處理。常見的賬號風險有以下幾種：上述賬號治理的風險提示需定期生成報告，供管理員查看，以便分析趨勢，發現潛在安全風險，并及時處理。功能模塊關鍵活動目的與實現方法賬號識別和管理掃描發現特權賬號，回收重置密碼防止未授權訪問，保障賬號安全賬號風險分析定期掃描，識別賬號狀態變化和風險及時處理新建賬號、權限變更、僵戶賬號等風險賬號定期改密定期更新密碼，通知使用者，確保更新生效減少密

61、碼泄露風險，符合安全標準賬號使用會話管理審計特權賬號使用，攔截或審批高風險操作通過視頻、字符和文件審計增強操作安全賬號訪問授權管理根據角色分配權限，及時回收避免權限濫用，確保訪問控制符合“三權分立”原則密碼保管箱管理特權賬號密碼，確保密碼的可用性和安全性通過多級緩存、備份和加密保護密碼安全平臺逃生機制保證特權賬號在 IT 系統停機時可用通過緩存和定期密碼信封打印確保賬號在系統恢復時可用賬號風險類型描述管理策略僵戶賬號長期未登錄的賬號，使用者可能已離職或不再需要使用定期清理，通常設置為 6 個月未登錄則考慮清理弱密碼賬號登錄密碼較弱，如使用常見或默認密碼識別后立即通知更改為強密碼，要求下次登錄時

62、更改過期賬號臨時賬號未及時回收，如供應商或 VIP 訪客賬號使用后立即回收，避免滯留產生安全風險長期鎖定賬號賬號因密碼猜測行為被自動鎖定，長期未解鎖監控持續的登錄嘗試，疑似攻擊時進行安全檢查賬號突然激活使用頻率低的賬號在長期未登錄后突然活躍對突然激活的賬號進行二次認證，確認登錄行為合法基于身份與訪問控制的網絡勒索綜述與防御指南31身份威脅識別與風險管控身份使用過程中，會有異常使用情況，需通過異常識別和風險管理進行處理。隨著移動互聯網的發展，身份平臺的訪問入口一般開放至公網，易受攻擊。身份治理中的異常識別通常采用基于 AI 算法的 UEBA（用戶實體行為分析）檢測方案，監視和分析用戶和實體的活動

63、，包括登錄時間、瀏覽器類型和版本號、操作系統類型和版本號、訪問來源 IP、地理位置等，以及基于這些數據計算出的訪問頻率和時間段等；建立基線行為模型，識別異常行為模式，幫助組織識別潛在威脅、數據泄露和其他安全問題。在企業實際安全管理過程中，主要應用于以下四大場景中：用戶注冊用戶注冊場景主要針對 CIAM（客戶身份與訪問管理）。系統用戶為公司的客戶，可自行注冊以使用企業系統和服務。由于注冊功能對外開放，企業常有市場活動和優惠政策，如優惠券，惡意用戶通過批量注冊方式獲取這些優惠。批量注冊可通過限流策略防護，但攻擊者可能通過代理繞過限流。通過 UEBA（用戶與實體行為分析）進行多維度分析和識別，可更全

64、面地防護，保護企業資產，避免經濟損失。?SIEMSOARIAM?PAMAPI弱口令用戶名&密碼爆破郵件釣魚協議劫持票據偽造票據劫持Cookie竊取Session竊取用戶注冊用戶登錄二次認證單點認證權限接口風險類型風險等級處理建議明文密碼泄露C端?惡意注冊權限擴大?信?檢測識別響應?下篇|基于訪問控制的網絡勒索應對策略32基于導入的弱密碼庫，對現有資產已經存在的弱密碼進行掃描，支持掃描AD、LDAP等弱密碼。掃描完成后，系統生成弱密碼掃描報告，定位弱密碼賬號，為安全護網提供可靠預防。?富的個性化密碼策略定義。包括密碼長度要求、必須包含的字符類型、碼過期規則、鍵?連續字符等。提供弱密碼重置功能，支

65、持API對接，可針對不同用戶個性化引入密碼策略，并在密碼修改中進行強度驗證及提示。?檢測?支持企業或行業個性化、或國內外常用弱密碼庫導入，覆蓋高頻慣用弱密碼。密?策略?密?重?密?告?密?掃描?密?弱密碼發現到治理一體化管理用戶登錄用戶登錄場景是 UEBA 在身份治理中應用最廣泛和最有價值的場景，也是用戶每日使用的場景。登錄過程面臨諸多威脅，如賬號名枚舉、密碼暴力攻擊、密碼明文傳輸、弱密碼爆破、二次認證繞過、OAuth2.0 授權碼泄露等。領導賬號可能被惡意鎖定，管理員賬號可能被盜用。弱密碼掃描可以定期掃描現有賬號，發現弱密碼，并通知用戶在下次登錄時更改為強密碼。針對 AD 和 IAM 系統的

66、弱密碼掃描已經成熟，弱密碼庫還可根據企業需求自定義，以提高識別率。人機識別通過采集鼠標點擊和移動指針數據，如點擊次數、坐標、移動起始點和速度等，判斷是否有機器人在進行登錄操作，發現異常及時攔截，要求人機驗證，保護后臺應用。設備唯一標識是另一個重要指標，用于檢測設備訪問場景，并根據設備信息進行策略控制。如常用設備信任度高，可降低檢測級別；用戶在不同設備上進行同一賬號的猜測密碼操作，也可通過設備標識判斷。設備指紋采集常見技術如下圖所示：基于身份與訪問控制的網絡勒索綜述與防御指南33實際使用中，可結合多種設備指紋技術，優先采用精準的，確保設備指紋采集的準確性和平衡用戶體驗。單點協議單點協議用于防護黑

67、客繞過 IAM 平臺直接登錄應用系統，或攻破應用系統后攻擊 IAM 系統。OAuth2.0 協議的授權碼易被重定向請求截獲，黑客可通過授權碼獲取 token 和用戶信息。通過單點協議接口采集調用數據，如來源 IP、會話信息、Token 信息等，進行畫像分析，阻斷非法請求，增強協議安全性。應用系統被攻破后，token 票據易泄露，黑客可通過泄露的票據獲取用戶敏感信息。OIDC 協議中的 JWT 票據易偽造，導致攻擊。通過分析票據和接口請求的畫像，識別非法使用票據的行為，進行攻擊阻斷。技術類別描述準確度注意事項終端安全軟件根據設備硬件信息計算高需安裝插件或軟件瀏覽器canvasAPI讀取屏幕分辨率

68、和硬件信息尚可更換瀏覽器后設備指紋可能會變化瀏覽器cookie/storage利用本地數據隨機生成指標并加密高更換瀏覽器或清理瀏覽器數據后可能產生多個標識?A?登錄?多?可?應用特定主?重要應用單點?認證郵箱?假?業務?Ra?i?服務應用?企業員工?身份認證登錄?a?t?2.0服務?AS 服務SA?服務?I?服務?服務?A 服務?單?服務內?主?軟件SS?認證?成服務單點協議應用?件認證協議150+SSOSSOSSOSSO?認證?A?主?郵箱?假?R?業務?程SA?A?服務?acac?服務下篇|基于訪問控制的網絡勒索應對策略34用戶訪問行為分析通過采集點擊和訪問數據，識別用戶訪問習慣。如用戶習

69、慣早上 10 點查看郵件，下午 4 點處理待辦事項。采集一段時間后可識別用戶訪問模式。當用戶訪問模式異常，如中午 12 點訪問郵箱，UEBA 平臺可識別異常訪問，提示用戶進行二次認證。如果認證通過，可通知用戶賬號可能被盜用。UEBA平臺識別異常行為后，可與IAM平臺集成進行處理，如告警通知相關人員，阻止用戶訪問會話并鎖定賬號。異常數據和訪問數據可送入 SIEM 平臺，收集安全日志數據，進行分析和報告，通過與安全防護系統聯動，阻止檢測到的攻擊。采集和處理登錄訪問行為數據，是實現身份數據安全的重要手段。通過多種數據的采集和分析，可識別和發現多種身份攻擊行為。安全系統集成進一步增強身份數據的安全性，

70、預防身份盜竊、惡意登錄和賬戶泄露等安全威脅，為用戶數據和隱私提供全面保障。因此，這些措施已成為現代互聯網安全的重要趨勢。用戶訪問行為?監?權限?用?權訪問身份?用釣魚攻擊?e?應用?攻擊A?攻擊.異地登錄、異常位移；訪問?化：異常設備登陸、非常用設備登錄；網絡?化：未知IP訪問、指定IP白名單范圍；I?化：個人常用IP、IP白名單、IP黑?名單；?用?段訪問：個人常用時段、時段黑白名單；?R?基于AI算法模型，結合用戶行為習慣及上下文環境分析用戶潛在風險等級。訪問?點?：?告警認證?訪問?基于身份與訪問控制的網絡勒索綜述與防御指南35訪問控制是核心數字身份治理的首要任務是建立科學合理的身份治理

71、機制，這有助于企業對用戶權限進行全面、精準、可控的管理。其目標是確保用戶身份的真實性和有效性，保障數據的安全性和保密性，防范惡意行為，保護企業利益。在完成身份治理基礎工作后，還需進一步加強訪問控制，通過有效的身份認證和權限管理，保障企業業務正常運轉，提高數據的安全性和可信度，為企業發展提供強有力的支持。根據 2024 年最新權威報告，網絡犯罪分子正在設法規避或利用身份驗證、核實和認證過程中的弱點進行欺詐等非法活動，利用用戶身份信息攻擊全球企業，身份信息相關的網絡攻擊激增了 71%。面對這一現狀，企業應如何加強身份認證和權限管理？身份認證身份認證，又稱“鑒權”，是通過技術手段確認用戶身份的過程，

72、旨在驗證用戶所聲稱的身份是否屬實。其基本原理是通過驗證被認證對象的屬性來確認其真實性和有效性。目前，身份認證主要通過三種方式進行，也可以綜合利用這三種方式來進行多因素認證：常見的身份認證方法包括：認證類型描述示例知識型認證基于用戶所知的信息密碼、安全問題答案擁有型認證基于用戶持有的物品智能卡、令牌生物特征認證基于用戶的獨特生物特征指紋、面部識別認證方法描述示例口令認證使用靜態或動態口令賬號密碼、一次性密碼智能卡和令牌內置芯片保存用戶數據智能卡、安全令牌數字證書利用第三方證明用戶身份SSL 證書生物特征認證基于人體獨特的生物特征指紋、面部識別組合因子認證結合多種認證技術的多因素認證使用口令與智能

73、卡組合認證2024 年，網絡犯罪分子正在想方設法規避或利用身份驗證、核實和認證過程中的弱點來進行欺詐等非法活動，利用身份信息形成的網絡攻擊激增 71%。下篇|基于訪問控制的網絡勒索應對策略36企業應確保用戶除用戶名和密碼外，還能通過其他方式證明身份，以增強安全性。例如，采用生物識別或基于智能手機的無密碼身份認證。這種方式不僅提高了安全性，還增強了用戶便利性。目前，國內外政府和企業組織正積極實施多因素身份認證（MFA）以改善身份驗證安全。雖然任何一種認證方式都并非萬無一失，但多重保障能顯著降低安全風險。隨著派拉軟件在產品技術和 AI 技術方面的持續研究，身份認證技術和服務能力不斷升級。派拉軟件提

74、出了基于風險的智能強認證解決方案，以應對合成身份欺詐和深度偽造等安全挑戰。該方案基于用戶實體行為分析（UEBA）能力，結合 AI 大模型與大數據、算法算力等技術，以用戶行為為依據進行安全認證，并對常見身份安全場景進行監測設置：安全場景描述檢測邏輯與方法機器人訪問檢測防止機器人訪問通過 15 大維度進行檢測批量注冊和虛假注冊防護解決批量注冊和虛假注冊的風險通過 5 種檢測邏輯進行防護多種安全場景檢測撞庫、非常態登錄、代理登錄、身份憑證盜取、異常違規操作等提供近實時、實時和離線檢測方法；管理員可開啟對應規則二次確認打擊?身份?操作?行為?位置信息時間信息瀏覽器版本瀏覽器插件屏幕分辨率網絡提供商瀏覽

75、器?好瀏覽器行為操作系統信息CPU信息應用安全列表正版化驗證網絡連接信息 設備整機信息 外設接口信息 移動介質信息登陸頻率登陸時間操作行為訪問歷史停留時長機器人識別防控敏感信息泄露設備唯一性防空敏感權限使用欺詐檢測賬號風險檢測防范?密丟失被盜異常操作檢測訪問?好行為畫像操作時間段身份盜用身份偽造風險識別鼠標點擊離散度基于密度的?類?法風險評估模型四分位?穩健統計基于四分?的離?法風險評估模型實體異常登錄時間檢測基于核密度?計?法風險評估模型異常事件預期基線基于?模型對異常序列進行檢測評分機制權重分配風險評分二次認證權限回收風險打擊異常訪問動態優化全程審計注冊登陸應用系統業務功能阻止?用告警口令

76、OTP二維碼認證指紋FaceID應用管理員?策?用戶畫像用戶級別用戶權限賬號信息用戶類型身份屬性用戶組織身份習慣基于身份與訪問控制的網絡勒索綜述與防御指南37隨著移動邊緣設備的增長和機器身份的增加，基于區塊鏈的去中心化認證技術將成為下一熱點。派拉軟件正在探索如何讓用戶控制自己的數字身份，在保護身份安全的同時，加強個人隱私保護。權限治理權限治理需要企業梳理各崗位的角色和崗位角色模型，并借助常見的權限模型進行權限管控，再通過權限梳理、權限合規檢查、數字空間權限映射三大關鍵步驟進行完整的權限治理工作。權限模型在實際項目中，通常需要混合使用幾種權限模型。常見的權限模型包括 ACL、ABAC、RBAC。

77、實際應用中，以 RBAC 為主，覆蓋大部分應用需求和場景；ABAC 用于特殊應用系統的權限控制；ACL 用于臨時權限分配和授權。通過綜合應用這些模型，可以實現全面、靈活、高效的權限治理。下面詳細介紹這 3 大模型：內?工分?司?工供應?方訪客?IAM?應?基?權限?件A?I接?數據?權限治理賬號應用賬號賬號新增 賬號刪除賬號查?角色新增角色刪除角色查?單訪問功能訪問API訪問數據訪問數據訪問應用角色應用資源應用組賬號角色角色資源組織崗位配置策略 多因素申請?定分配權限管理模塊?解權限下發權限決策、數據過?權限回收風險運營 UEBA日志報表合規身份管理認證管理權限管理分析管理?計管理權限合規?計

78、?件權限互斥權限合規權限審計權限?關?A?I接?賬號接?崗位新增 崗位刪除崗位查?接?接?任務分配任務終止任務查?讀取數據庫表 配置數據庫表 刪除數據庫表任務接?資?接?數據?用接?下篇|基于訪問控制的網絡勒索應對策略38RBACRBAC（Role-BasedAccessControl）是最常見的權限模型，其基本思想是通過角色集合在用戶和權限之間建立關聯。每種角色對應一組權限，用戶被分配角色后，便擁有該角色的所有操作權限。RBAC 簡化了權限管理，減少系統開銷。RBAC 是一種有效的權限管理模型，尤其適用于相對穩定的組織結構和權限需求。在更動態和復雜的環境中，可以考慮其他訪問控制模型如 ABA

79、C和 ACL 來補充 RBAC 的不足。ABACABAC（Attribute-BasedAccessControl）模型是基于用戶、資源和環境的屬性來做出訪問決策。這意味著訪問權限的授予取決于各種屬性，如用戶的角色、位置、時間等。ABAC 模型在靈活性和精細的訪問控制方面具有優勢，特別適用于動態環境和復雜權限需求的場景。然而，它可能需要更多的管理和配置工作，而且可能引入一些性能開銷。選擇 RBAC 還是 ABAC 取決于組織的具體需求和環境。ACLACL（AccessControlList）是一種基于列表的訪問控制模型，通過列出每個資源和用戶或角色之間的權限來管理訪問。每個資源都有一個 ACL

80、，包含可訪問該資源的用戶或角色的列表。ACL在小規模系統或需要簡單直接的訪問控制時非常有用，但在大規模、動態或復雜系統中可能不夠靈活和難以維護。以上三大權限模型都存在各自的優點與缺點，詳細對比內容如下圖所示：訪問控制模型優點缺點ACL1.簡單直觀：易于理解和實施。1.缺乏靈活性：基于靜態列表，需手動更新。2.高效：訪問控制決策直接且高效。2.維護困難：在大規模系統中管理復雜。3.適用于小規模系統：適合快速實施。3.不適用于復雜策略：不適合多屬性的復雜訪問控制需求。ABAC 1.精細的訪問控制：多屬性準確授權。1.復雜性：配置和管理涉及多屬性和策略，維護需更多工作。2.動態性：適應屬性變化的動態

81、環境。2.性能開銷：決策過程復雜，可能導致較大性能開銷。3.上下文感知：考慮時間、位置等信息。3.策略管理：需要技術和資源來管理屬性和策略。4.靈活性：易于擴展和調整，不受角色限制。RBAC1.靈活性：根據角色變化靈活管理權限。1.角色定義剛性：難以適應角色頻繁變化。2.簡化管理：權限集中在角色上，提高維護性。2.復雜性：大型組織中角色和權限管理復雜。3.安全性：確保訪問僅限必需資源。3.角色爆炸：需創建多角色以滿足不同權限需求。4.缺乏上下文：不考慮用戶上下文信息。5.難以應對動態環境：需要頻繁更新和維護。010203基于身份與訪問控制的網絡勒索綜述與防御指南39權限治理權限梳理在權限治理全

82、過程中，權限梳理是至關重要的一環，也是耗時耗力的一環。通過收集現有權限數據，這些數據通常存儲在各個應用系統中。身份數據不清晰可能會影響后續權限數據的梳理，因此必須先進行身份治理。權限梳理詳細步驟與關鍵內容如下圖所示：權限合規檢查權限數據統一治理后，進行定期合規檢查，確保權限數據的合規性，幫助組織降低安全風險，滿足法規要求，提高數據和系統的安全性。合規檢查項內容如下圖所示：數字空間權限映射步驟活動描述策略收集權限數據身份治理確保身份數據清晰準確采用清晰的身份數據管理系統數據收集收集存儲在各應用系統的權限數據大數據量處理，多自定義項管理使用自動化工具采用權限治理系統提供的功能和接口避免手動梳理的困

83、難和風險集中管理將數據回收到身份認證平臺支持 RBAC 和 ACL 等模型管理和分析權限數據數據分析對用戶權限數據進行崗位、組織維度的分析總結每個崗位和組織所需權限定義權限模型在 IAM 系統中定義崗位和組織的權限模型確保權限模型準確反映實際需求算法輔助使用算法和統計分析工具快速梳理權限模型提高分析效率和準確性溝通協調與企業內部管理團隊溝通確保權限定義合理且符合業務需求權限規則管理定義互斥規則防止權限濫用如資金審批與支付權限互斥定義依賴規則確保權限配置合理、安全如某些管理權限依賴于更高級別的審核權限檢查項內容權限審計日志記錄權限分配、撤銷、訪問等操作，包含操作人、操作時間、操作對象等信息最小權

84、限原則（PoLP）用戶或實體僅被授予完成工作所需的最低權限權限變更和撤銷程序管理權限的變更和撤銷，確保權限一致性、安全性和合規性多因素認證(MFA)提供多個身份驗證因素，增強身份驗證安全性權限分配審計流程審計和監控權限分配，確保權限管理和訪問控制機制有效執行下篇|基于訪問控制的網絡勒索應對策略40數字空間權限映射最后，實現物理空間和數字空間權限映射，確保一致的訪問控制，減少風險，提高合規性，簡化用戶體驗，有效監控和管理資源。實現步驟如下：權限治理是確保系統安全和合規的關鍵，通過科學合理的權限梳理和合規檢查，可以有效降低安全風險，提高系統可控性和數據安全性。在數字化時代，實現物理空間和數字空間的

85、權限映射，更是保護企業資產和數據安全的關鍵策略。特權訪問管理在 CyberArk 實驗室的一項研究中，發現刪除本地管理員權限并實施應用程序控制策略，可以 100%阻止勒索軟件加密文件?；谶@一發現，CyberArk 團隊重申了刪除本地管理員權限和控制應用程序的重要性。然而，在完全取消用戶的本地管理員權限之前，組織應評估環境，以了解這一舉措可能帶來的生產效率挑戰。一些業務應用程序和任務需要管理員權限才能正常運行，立即刪除這些權限可能會導致生產力下降。因此，組織應實施嚴格的訪問控制和最小權限原則，確保員工僅擁有履行職責所需的訪問權限，并定期審查和審核用戶權限，以防止濫用并最大限度地減少內部威脅的潛

86、在損害。步驟內容1、明確定義權限需求確定物理和數字資源的權限需求，基于用戶身份和業務需求2、建立身份驗證和訪問控制系統驗證用戶身份，制定授權策略，維護資源完整性和保密性3、權限分配與控制基于角色、職位、部門等分配權限，遵循最小權限原則，實施 MFA4、建立權限映射規則確保物理和數字權限對應，建立監控和審計機制基于身份與訪問控制的網絡勒索綜述與防御指南41什么是特權訪問控制特權訪問控制是一種保護組織內部敏感信息和資源的安全策略。通過授權訪問和限制訪問，控制用戶行為，確保他們只能訪問需要的信息和資源。特權訪問控制的意義在于防止未經授權的訪問，確保數據和資源的機密性和完整性，保護敏感信息和資源，減少

87、信息泄露和資源損失的風險。其訪問控制具體流程如下圖所示：步驟內容賬號風險分析評估和分析賬號的安全性，確定風險等級和管理策略。常見風險提示包括僵戶賬號、孤兒賬號、長期未改密、用戶新增、刪除、變更、賬號被鎖定、長期未登錄賬號突然激活等賬號定期改密定期修改賬號密碼，確保符合強密碼規則，滿足法律法規要求賬號訪問話管理管理用戶訪問會話，如訪問時間、訪問目的等，避免暴露真實訪問賬號密碼危險操作阻斷阻斷危險操作，如刪除或修改系統關鍵文件，確保系統完整性和穩定性會話協同管理某些操作需要兩人確認，如外包人員操作需內部管理員陪同監督本地訪問工具管理支持使用本地工具訪問特權資源，如 putty、xshell 等，優

88、化操作體驗，同時進行字符和視頻審計內嵌賬號管理管理中間件、DevOps、RPA 等系統賬號，支持定期改密和不停機服務客戶端操作視頻審計對客戶端操作進行視頻審計，記錄操作過程，方便審計和防止篡改用戶導入/同步賬號發現賬號導入/同步配置推送堡?機對接密碼導出三權分立風險分析定期密碼API獲取會話訪問軟/硬加密安全策略賬號審查定期驗密SDK獲取訪問控制密碼備份.生命周期管理JBDC鏈接?訪問審計.IAMSDPUEBAITDRCQCMDBSOCSIEMXDR用戶管理?展?動賬號掃描賬號管理賬號?訪問管理?險箱?特權訪問管理暴露面收?賬號風險發現最小化權限定期改密高危操作管控安全合規審計場景安全策略可視

89、化圖表容器化部?國產化信創支持操作系統/國產數據庫/國產網絡/安全設備應用系統云平臺IOT設備資產下篇|基于訪問控制的網絡勒索應對策略42派拉軟件特權訪問管理平臺幫助企業主動發現基礎設施資源的賬號分布，識別賬號風險，管理賬號使用與訪問控制，構建特權賬號統一管理、統一調度的平臺，實現特權賬號安全管理與全局監控。其主要功能如下圖所示：未來，正如 Gartner 預測，下一代 PAM 解決方案可能會整合更高級的功能，如行為分析和預測風險評分，從而進一步提高特權賬戶的安全性。隨著 AI 技術的發展，派拉軟件特權訪問管理平臺將持續升級，整合更多新技術能力，進一步提高特權賬號與訪問的安全性。派拉軟件特權訪

90、問管理平臺功能內容賬號統管自動化掃描發現所有資產及其賬號，識別特權賬號，梳理使用方、權限范圍、所屬關系和風險情況，形成特權賬號清單。風險分析識別和分析風險賬號，如僵戶賬號、幽靈賬號、無效賬號、長期未改密賬號和弱密碼賬號，集成200W+弱密碼庫，實時驗證。用戶管理將人員與特權賬號分離，賦予唯一身份，增強身份認證，確保訪問源的可信。密碼管理提供密碼集中管理，設置不同密碼更新流程與策略，實現自動、集中、定期修改系統賬號密碼。權限管理基于最小化權限原則，進行權限分配，實時監控會話并阻斷異常操作，規范化、自動化管理權限全生命周期。安全審計保留特權賬號創建、分配、變更、刪除的全過程信息，提供多樣化會話監控

91、與安全審計，實時檢測和響應異?；顒踊驖撛谕{?；谏矸菖c訪問控制的網絡勒索綜述與防御指南43AI 大模型應用根據 IBM 數據泄露的代價報告，與未使用人工智能和自動化工具的組織相比，全面部署人工智能和自動化工具的組織在每次數據泄露時可減少 305 萬美元的損失，即減少高達 65.2%的漏洞損失。人工智能（AI）作為模擬人類智能的技術，已經成為大勢所趨。2023 年，Chat-GPT 的出現標志著人工智能發展邁入關鍵時期。生成式人工智能的新技術和新應用不斷打破人們對人工智能的固有認知。當人工智能能夠通過人類最嚴格的考試、同時執行多種工作命令、具備一定的推理規劃能力、生成代碼、生成以假亂真的照片并

92、模仿人類聊天而不被發現時，AI 正在代替人類處理越來越多的任務。在身份與訪問控制方面，AI 的應用如何更好地應對網絡勒索攻擊？在數字世界的入口，AI 通過全方位掃描和分析身份及行為，利用無監督學習技術，識別用戶的特定行為（如登錄時間、習慣、設備、生物特征等），判斷合法賬號是否被非法使用。同時，結合圖表征學習與聚類算法，AI 可以精準識別并打擊黑產用戶賬號。AI 基于海量數據形成個人畫像，在用戶進入數字世界入口時，設計出符合個人習慣和特性的獨特身份認證方式，實現基于多因素的自適應身份驗證，甚至是無感化認證。在提升認證準確性和安全性的同時，也極大地改善了用戶的登錄體驗。智能自適應身份認證下篇|基于

93、訪問控制的網絡勒索應對策略44在數字世界中，用戶根據工作需求和權限訪問資源。對于新用戶，如果沒有管理員授權，他們將難以操作；而權限設置過大則會帶來濫用風險。中大型企業的應用系統中權限項可能達到百萬級，手動配置權限既費時又容易出錯。AI 憑借強大的數據收集和深度學習分析能力，結合生成式算法，可以快速學習業務系統的細粒度權限項使用知識，為新用戶智能推薦所需的最小權限。即使在職責或人事變動情況下，AI 也能即時調整并智能推薦相應權限，減少人工干預的錯誤和滯后性，提升系統訪問控制的靈活性、精確性和安全性。智能風險監控從進入數字世界前到全程操作過程中，AI 持續監測用戶行為。針對用戶的有意識或無意識的風

94、險操作，AI 通過統計規則的正態分布規律進行監測，及時識別機器人操作或惡意操作。通過廣泛的數據收集與深度學習，結合不同場景分析用戶和實體行為，AI 能準確檢測用戶操作行為的細微變化，配合專家知識庫，分析潛在的威脅行為（如異常登錄嘗試、大規模數據下載等），并及時、自動化地做出反應，有效防止核心數據泄漏、違規操作和賬號盜用，為安全事件調查提供精準依據。結合 IAM 的四大基礎能力身份、認證、訪問權限管控和風險審計，AI 在用戶進入數字世界的全流程中提供了強大的技術支持。企業可以根據自身在身份和訪問控制管理的薄弱環節，嘗試將 AI 技術融入其中，以提升整體安全水平。然而，我們也不能忽視 AI 可能帶

95、來的潛在安全威脅。例如，AI 模型本身可能存在漏洞，正如 ChatGPT 發布后爆出的各種安全事件所證明的；新技術在安全領域的應用既能賦能防御，也可能被惡意利用以增強攻擊能力；新技術的缺陷可能對其他領域造成影響，導致衍生安全問題。此外，AI 技術依賴大量用戶數據進行學習，數據濫用和隱私問題可能成為安全隱患。智能動態權限管控基于身份與訪問控制的網絡勒索綜述與防御指南45結束語基于上述報告研究分析，我們已然認識到數字化時代，企業面臨的網絡安全威脅日益嚴峻，特別是網絡勒索攻擊呈現出更加復雜和頻繁的趨勢。勒索軟件攻擊不僅導致數據丟失和經濟損失，還可能嚴重影響企業的聲譽和運營能力。隨著攻擊者手段的不斷升

96、級，企業亟需采取更為先進和全面的防御策略，尤其是基于身份與訪問控制的防御策略，顯得尤為迫切和必要。希望本篇白皮書能夠為企業在應對網絡勒索攻擊時提供有價值的參考，助力構建更為穩固的網絡安全防線。未來，我們將繼續關注并探索更多創新技術，以應對不斷變化的網絡安全威脅，共同推動數字化時代的安全發展。網絡安全始終是動態的，沒有百分百的安全防護解決方案。新技術的不斷涌現是網絡空間安全具有動態特征的主要因素之一。我們必須認識到，解決一個安全問題后，新的安全問題還會不斷出現。因此，持續關注并應用AI 技術，提升安全防護能力，是企業面臨的重要挑戰和機遇。下篇|基于訪問控制的網絡勒索應對策略46關于派拉軟件派拉軟

97、件為企業組織提供覆蓋零信任、API、IAM、PAM、數據安全等全產品，構建以“數字身份”為核心的數字化能力底座與安全基石，創造安全、高效、極致體驗的數字世界！零信任|數字化安全新架構傳統網絡安全邊界消失，以“身份”為中心的零信任安全架構成為主流。產品能力國內率先提出以“身份優先”構建零信任安全解決方案，聚焦云原生技術，結合 SDP、IAM、API、UEBA、PAM、數據訪問控制管理等產品技術，打造端到端安全能力全面覆蓋的一體化零信任解決方案。行業領先國內TOP數字身份安全原廠商權威認證國內唯一 IAM 同時收錄5份 Gartner 權威報告持續深耕專注數字身份安全16年自主可控雙研發中心&10

98、0+項自主知識產權資深團隊600+行業專家和技術團隊全國服務20+分子公司服務輻射全國客戶認可2600+行業頭部客戶身份安全|守好數字世界第一道門80%網絡安全攻擊來源于身份攻擊，85%的數據泄露涉及人的因素。產品能力專注數字身份安全 16 年，打造覆蓋人員、設備、IOT、AI 等全域身份 OneID 管理，實現統一門戶、身份管理、規則制定、單點登錄、身份認證、權限管理、風險監測、安全審計、分析管理等身份安全管控。業務安全|做好 API 安全管控是前提Gartner 研究表明，超過 90%web 應用程序遭到的攻擊來自 API。產品能力集 API 安全網關、API 生命周期管理、API 開發編

99、排、API 門戶于一體的 API 管控平臺，實現企業 API 自動發 現、API 規 劃、API 設 計、API 實 施、API 測 試、API 發布、API 授權、API 審批等全生命周期安全管控。數據安全|企業安全防護的終極目標過去三年，17 個行業的數據泄露平均成本飆升 15%，達到 445 萬美元，再創新高。產品能力提供 PAM、數據庫訪問管理平臺、數據治理平臺，結合零信任、IAM、API 等產品，實現數據全生命周期安全防護，保障數據合規、數據可用，避免數據未授權訪問、數據泄露、數據篡改等安全。全國服務熱線：400-6655-745上 海上海市浦東新區高科東路777 弄 8 號陽光天地

100、商業中心寫字樓10層北 京北京市海淀區農大南路 1 號硅谷亮城 5 號樓 607-608廣 州廣東省廣州市黃埔區科學大道 48 號綠地中央廣場 E 棟 1406-1407深 圳廣東省深圳市南山區科興科學園 A2 棟 9 層杭 州浙江省杭州市拱墅區祥園路 108 號 4 號樓 8 樓濟 南山東省自由貿易試驗區濟南片區工業南路 61 號山鋼新天地廣場 8-1013武 漢湖北省武漢市江漢區江興路8號中國電子數字產業總部示范區一期5棟4層403、404成 都四川省成都市武侯區天府大道北段 28 號茂業中心 B 座 3301長 春吉林省長春市南關區南環城路 1655 號中東財富中心10層 1011B、1012合 肥安徽省合肥市合肥經濟技術開發區繁華大道 12167 號中環購物中心一單元 1822西 安陜西省西安市高新區科技三路泰華金貿國際 10 號樓 2601派拉軟件官網派拉軟件訂閱號官方網址：企業郵箱：