摘要：随着时间的推移，勒索软件的威胁在频率、复杂度和有效性上都在不断增加。最初可能只是简单的勒索赎金计划，现在已发展成为成熟的勒索软件即服务(RaaS)提供商生态系统，网络攻击者甚至利用双重甚至三重威胁勒索策略来确保满足他们的勒索要求。

   随着时间的推移，勒索软件的威胁在频率、复杂度和有效性上都在不断增加。最初可能只是简单的勒索赎金计划，现在已发展成为成熟的勒索软件即服务(RaaS)提供商生态系统，网络攻击者甚至利用双重甚至三重威胁勒索策略来确保满足他们的勒索要求。
　　
　　如今，没有任何一家企业是安全的。勒索软件即服务(RaaS)市场使网络犯罪分子能够利用最先进的技术针对特定组织(基于规模、行业、地理位置以及它们是在公共部门还是私营部门)进行攻击。
　　
　　那么应该担心些什么?
　　
　　企业对于勒索软件攻击主要的担忧是，由于数据、应用程序和系统可能被封锁，这使得他们无法开展业务。然后，他们担心网络攻击会付出什么代价;是否需要支付勒索软件费用的问题，因为77%的网络攻击还包括泄露数据的威胁。接下来是收入损失、平均23天的停机时间、补救成本以及对企业声誉的影响等问题。
　　
　　但这些都是网络攻击之后出现的问题，企业首先应该专注于可以采取哪些有效措施来阻止勒索软件攻击。
　　
　　真正关注勒索软件大规模增长的企业正在努力了解网络威胁行为者使用的策略、技术和程序，以制定预防、检测和响应措施，以减轻风险或最大限度地减少网络攻击的影响。此外，企业需要仔细审查他们现有的技术、流程和框架，并询问他们的第三方供应链供应商。最终，他们正在努力确定必须防范勒索软件的最关键系统。
　　
　　但是，这些都不是企业应该主要关注的地方。在这一切的核心中，凭据泄露是勒索软件攻击的主要原因，因为凭据为黑客提供了将企业的系统劫持为人质所需的访问权限。如果企业消除用户名/密码凭证，就消除了它们最容易进入其系统的入口点。
　　
　　关注凭据
　　
　　要了解勒索软件攻击中的凭据问题，必须了解凭据的真正含义。凭证代表用户的身份，通常由用户名和密码组成，企业有时也会采用第二种形式的身份验证(2FA)或多因素身份验证(MFA)。在这种情况下，企业在凭证中的“身份”是密码，大多数安全系统假定它是由其合法所有者使用的。
　　
　　不幸的是，这些凭据可能会被盗、共享、购买或黑客攻击并用于实现初始访问。一旦进入，威胁参与者通常会寻求破坏特权访问凭证以进一步渗透目录服务。
　　
　　一个简单的8个字符的密码可以在1小时内破解，一个12个字符的密码可以在几周内破解。随着计算机处理速度的提高和软件的智能化，破解密码的时间会越来越短，这使用网络攻击者查找和使用凭证变得容易。他们使用Mimikatz和Microsoft的PsExec等合法工具从系统内存中转储凭据，并在远程系统上执行进程。
　　
　　经验较少的威胁行为者可以购买被盗的凭据，他们能够以低至20美元的价格购买低级别凭证，管理员级别帐户的凭证价格从500美元到12万美元不等。
　　
　　既然知道将重点放在何处，那么如何应对风险?
　　
　　为什么用户名和密码不够好?
　　
　　用户名/密码凭证本质上假定谁在访问尝试的另一侧。仅使用用户名和密码，企业实际上永远不会将经过验证的身份附加到凭据中，因为任何人都可以使用它们。即使是双因素身份验证(2FA)、多因素身份验证(MFA)和FaceID和TouchID等生物识别系统也只建立在密码和用户名上——它们当然有助于提升企业的安全性，但并不能解决密码和用户名的核心漏洞。此外，还有无数的一次性密码破解、短信劫持、SIM卡交换等示例。所有这些都表明，如果威胁行为者有意绕过双因素身份验证，他们很可能做到。
　　
　　这并不是说企业不应使用多因素身份验证(MFA)和二级安全来源。对安全系统的验证应该始终不止一层，但要使这些措施真正有效，企业必须建立一个与它们正在验证的凭据相关联的经过验证的身份。
　　
　　如何将身份与凭证相关联
　　
　　首先，用户必须改变其对身份是什么以及它如何在其安全和身份验证中起作用的心态。身份验证依赖于三个要素：知道的东西、拥有的东西和身份。“知道的东西”是最容易受到网络攻击的身份验证形式，因为如果知道这些，那么其他人也可以。然而，它是用户名/密码凭证的核心。为了在认证过程中建立一个可验证的身份，必须消除“知道的东西”，专注于“拥有的东西”和“身份”。
　　
　　随着最近关于改善网络安全的行政命令，身份验证和生物特征认证正在获得动力。在其中，美国总统拜登呼吁美国政府机构为内部部署设施和基于云计算的环境转向零信任架构。零信任基于“永不信任，始终验证”的原则。在凭据的场景中，这意味着企业不相信帐户所有者正在提出访问系统、应用程序或数据的请求，直到它得到绝对验证。
　　
　　遵循零信任验证身份需要将“拥有的东西”(例如驾照或护照)与“身份”(例如活的生物识别特征)相结合。由于最近的技术进步，用户可以将政府部门颁发的文件上传到企业的安全系统，并且在每次登录尝试时都会根据这些文件验证他们的实时生物识别信息。用户现在已经建立并附加了确认的身份到他们的凭证中。
　　
　　因此，在勒索软件的背景下，这意味着企业甚至可以大幅减少经验丰富的勒索软件威胁参与者对其凭据的访问。
　　
　　将何去何从?
　　
　　随着企业努力确定勒索软件攻击的预防策略，答案在于查看威胁行为者更常使用的内容。凭证问题不能通过简单地消除密码和用户名来解决。无密码解决方案无疑是未来的趋势，但如果不首先验证用户的身份，它们就毫无用处。
　　
　　身份验证是企业安全系统中提供访问权限的最重要步骤，在身份建立之前无法进行身份验证。这称为基于身份的身份验证，它是有效安全措施的基础。一旦建立了具有高效率的身份，基于密码的凭证就会过时。最终目标不是无密码解决方案，其目标是基于身份的身份验证，无密码解决方案是实现这一目标的手段。
　　
　　勒索软件攻击的成功取决于给予网络攻击者的机会。采用正确的技术将使企业能够摆脱被动的安全方法，并有效应对日益复杂的网络攻击。
　　
　　编辑：Harris