近日，随着派拓网络《2024年勒索软件回顾：Unit 42泄密网站分析》的发布，有关这个隐秘世界的信息被更多地披露出来。派拓网络大中华区总裁陈文俊和派拓网络大中华区售前总经理董春涛联手对这些信息进行了解读。

　　隐秘世界里到底隐藏着什么

　　2023年对于网络安全来说，可谓是不平静的一年。各类网络攻击与勒索、资料被盗用频繁发生。就连国内最大的银行之一在美国的分公司也不可避免地受到勒索软件LockBit组织的攻击，因系统影响而导致一些交易无法进行。一时之间，引起了业界无数猜测，但更为致命的还在后边，勒索软件开启了无行业差别的攻击。

　　当勒索软件攻击将攻击方向选在了制造业时，制造业企业很快就开始面临更多麻烦。制造业企业以往整个工厂不同环节是完全隔绝的，制造商对其运营技术(OT)系统的可见性通常十分有限，往往缺少对网络的足够监控，有时甚至无法落实最佳安全实践。但工业互联网带来的便利，却让越来越多的工厂连入了网络，而连上网的过程却大大增加了被攻击的可能性。也正是因为这些原因，制造业成为了2023年受勒索软件攻击最严重的行业，排在服务业、法律机构、高科技行业之前。

　　当攻击不断迎面涌来时，重要的就不仅是应对攻击，还需要看清楚攻击的发展态势，以筹划未来可能到来的攻击。

　　《2024年勒索软件回顾：Unit 42泄密网站分析》显示，在2023年，勒索软件泄密网站报告的受害者增加了49%，这背后是勒索软件组织的兴旺。勒索软件泄密网站在2023年发布了3,998个帖子，较2022年的2,679个帖子增长了约49%。2023年还出现了25个新的泄密网站。这些组织至少已推出一个勒索软件即服务(RaaS)产品，并希望成为勒索软件市场中的有力竞争者。此外，勒索软件组织会攻击多个行业的企业，受害者也至少覆盖全球120个国家。勒索软件在2023年呈现出了日益猖獗的发展态势。

派拓网络大中华区总裁陈文俊

　　陈文俊把这些变化归结为三个方面：“网络攻击规模越来越大，攻击速度越来越快，网络安全问题的复杂性也越来越高。这几个因素导致网络攻击造成的影响也越来越大。”

　　软件漏洞成了2023年最大规模攻击活动的“幕后黑手”，软件漏洞同时也成为了攻击者入侵方式的首选，仅仅一个MOVEit漏洞就使得2,730家企业受到了影响。以往的网络入侵会先找出系统里漏洞，隐藏以后等拿到相关数据后再发起攻击，而今天的黑客却可能在找到漏洞的当天就直接发起攻击，这使得网络攻击速度变得越来越快。

　　今天的黑客还由于企业因数据上云开始调用更多开源的库文件，而对开源库和供应链发动令人难以发觉的攻击。同时，生成式AI的流行也让攻击变得越来越容易，迭代速度越来越快。攻击者还可以通过生成式AI自动生成一些代码，然后做出一些变种，再发动攻击。最终随着攻击者更具组织性和专业性，网络安全问题的复杂性因此而变得越来越高。

　　综合性防御的要点

　　当我们面对规模更大、速度更快，同时复杂度更高的网络攻击时，我们就显然需要在某个安全区域内建立一套与安全相关活动的规则，这就是根据组织机构的风险及安全目标制定的安全策略。

　　安全策略依据最小特权原则、最小泄露原则、多级安全策略等实施原则，分为基于身份的安全策略、基于规则的安全策略、基于角色的安全策略，而在越来越复杂的网络安全形势下，我们却需要采用更为综合的安全策略。

派拓网络大中华区售前总经理董春涛

　　董春涛将这个更为综合的安全策略概括为以下几点：“首先要落实深度的防御策略，其次要制定应急的响应计划，接下来还要保障攻击面的完全可见性，再往后是要在全企业范围内落实零信任网络架构。由于企业的很多业务都在云中，所以还要加强对云上所有资源和负载的保护。此外，还要强调身份验证和落实最小权限管理原则。最后，要利用AI和自动化的力量来减轻分析人员过重的工作负担，同时提升防御手段。”

　　其中，深度防御策略指除了传统的防火墙、WAF(Web Application Firewall，Web应用程序防火墙)之外，还要加强防护墙之上，包括高级防御、DNS安全、UR过滤等等一体化安全能力。再在传统终端的防病毒上增加对终端的安全检测，就可以构建起防御层数更加丰富的整体安全防御能力。这也为整体安全策略的实施奠定了基础。

　　接下来，从基于规则的安全策略出发，面对勒索软件攻击的高发态势，需要配合第三方咨询机构和安全专业机构，定制应急响应计划，同时不断审查、更新和测试该计划，以便更好地应对攻击。同时，为了“御敌于国门之外”，还要增加攻击的可见性，从外部对企业在网络攻击中暴露出来的所有服务进行检查。

　　从基于身份的安全策略的出发，就需要在全企业范围内落实零信任网络架构，以SASE(安全访问服务边缘)技术为导向，来代替传统VPN技术的发展方向。与之相对应，还要强调身份验证，将MFA(Multi-Factor Authentication，多因子认证)作为一项技术控制和安全策略，对所有用户强制执行。

　　此外，最小权限管理原则同样是安全策略中的重要一环，为此，企业要在IAM(Identity and Access Management，身份和访问管理)上，对其做更小原则的限制，即允许某些人访问某些资源，更大程度地减少安全事件的影响。

　　当企业的大量业务都在云中展开时，就必须加强对云上所有资源和负载的保护，通过落实云安全计划和平台实现综合全面的云本地安全性，保护云基础设施和应用。

　　最后，从AI的发展角度来看，一方面，企业需要利用AI和自动化的力量实现现代化安全运营并减轻分析人员过重的工作负担。另一方面，生成式AI正在大大降低攻击的技术门槛，同时增加了攻击的隐蔽性，所以企业也必须从人工防御手段过渡到AI主导的自动化防御手段。

　　一以贯之的力量

　　从综合应用的安全策略可以想见，落实到工具层面，同样需要一个统一的安全管理平台，来实现各项防御措施。但目前企业更多还在选用单点防御工具，这样不仅增加了成本，而且要实现统一防御策略，就需要借助于各类安全日志，而如果系统中存在几十种安全防御工具，同时也就意味着要整理几十个日志文件，才能给出统一的安全防御指令。因此在应对日益复杂的网络和信息安全形势时，各管一段的单点式工具存在着天然劣势。

　　与之相反，派拓网络多年以前就开始走上了一条整合之路。陈文俊对此介绍说：“早在五、六年前，我们就开始了转型，因为当时我们看到光做网络安全是不够的，安全防御已经在向云上和端点上扩展。企业因为数字化转型转向了多云环境，传统防御的边界被打破，传统防御的模式自然也就需要转变。于是，派拓网络在云端、端点安全领域，以及安全运营和安全咨询领域展开整合，最终形成一个平台，将安全防御覆盖到硬件、软件和SASE，以及云安全。”

　　此外，陈文俊接着介绍说：“我们还利用统一的安全运营中心，应对零日攻击等因素带来的网络攻击提速。最为重要的，是我们的云端、网络、端点的数据都是关联的，我们可以通过Unit 42安全咨询部门提供的威胁情报，通过连动的方式云应对攻击。当安全事件发生时，我们也能在更短的时间内做出反应，帮助用户从被动变为主动去面对威胁。”

　　当前，包括服务器、网络、数据库、虚拟化、存储在内的局部市场都已经完成了整合，实现了头部公司对于市场的领导。陈文俊认为，类似的整合也将很快地发生了安全领域，未来三到五年，平台化AI驱动主动防御是一个趋势。

　　事实上，派拓网络的统一安全管理平台并非仅仅是简单地拼凑，而是处于不断进化的状态。从AI驱动这一趋势来看，陈文俊表示：“之前的AI基本是通过机器学习，通过算法来做人工智能。去年，生成式AI开始大火，但在安全领域，真正需要的却是精准式AI，我们从十几年前就开始采用精准式AI，到现在通过算法和小模型，我们一直在推动AI在网络安全中的应用。现在生成式AI也已经进入到我们的产品中，这样精准式AI和生成式AI在我们的平台上面都有体现。”

　　如果因为网络安全形势的恶化，促使安全市场在三年内进入整合阶段，那么用户就要面对一场由单点产品向统一安全平台的过渡。关于这个过渡的进程，陈文俊介绍说：“目前很多用户在系统内部会采用30种以上的产品，通过我们平台的整合，数量会降到10种左右。这个整合的进程将是可以循序渐进的。当前很多安全工具都是采用订阅式，或者完成一个生命周期后再去续约，而这个时候我们就可以帮用户实现整合，在降低成本的同时，减少安全运营的平台压力。同时转变传统单点工具无法联防的弊病，简化管理流程。”

　　从用户的视角来看，用户的核心业务正在与IT系统更为紧密地捆绑在一起，而以勒索软件攻击为代表的网络威胁却正在让网络安全形势变得更为严峻，与之相对应，让用户武装到牙齿的安全策略也在变得日益复杂。因此，在有限的IT预算和运营人员短缺等限制条件面前，用户必须通过统一安全平台完成降本增能的过程。这同时也会让安全市场更快地进入整合阶段。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。