1、前言近年来，各类网络安全事件频发。其中，勒索软件迅速发展成为最严重的网络安全威胁之一，成为网络犯罪的主要形式。据统计，2023 年，全球有十分之一的机构遭遇勒索软件攻击尝试，比 2022 年激增了 33%；全球每个机构平均每周遭受 1158 次网络攻击。与 2022 年相比，网络攻击次数明显增加。预计到 2031 年，每两秒钟就会发生一次勒索软件攻击，每年造成的损失将达到 2650 亿美元。数据源自CheckPoint的大数据情报引擎ThreatCloudAI尽管网络勒索在行业、地区等方面存在些许差异，但总体来看，从政府网络到关键信息基础设施，从个人到企业，从电脑设备到移动设备和服务器，勒索软

2、件攻击正在无差别地影响全球各个行业和领域、各类网络用户以及各种设备类型，给社会带来严重的不利影响。随着技术的不断发展，特别是以 AI 为代表的新技术不断完善，勒索软件攻击也在不断变化形式与手段。正如网络专家所言，勒索软件攻击事件会不断持续并升级，这已是不可避免的事实。这意味着国家、企业组织，甚至个人都亟需全面了解勒索软件的攻击手法，了解使用电脑设备时的注意事项，并采取行之有效的安全防护软件和应对措施，以应对随时可能发生的勒索攻击事件。因此，本报告重点为大家详细综述勒索软件，帮助全面了解勒索软件的定义、发展与演变、常见类型、工作原理和主要攻击方式等内容；并基于访问控制的角度，分析 2023 年的

3、网络勒索态势。最后，结合派拉软件最擅长的技术领域身份与访问控制管理，从访问控制的角度详细阐述如何应对网络勒索。希望该报告能够协助个人、企业和政府机构从身份认证与访问控制角度更加有效地制定安全规划，降低遭受勒索攻击的风险。F o r e w o r d20021202220234%7%5%8%7%10%Ransomware lmpact on OrganizationsReaching All-time High in 2023(*global%of organizations targeted with ransomware attacks)04 前言网络勒索与发展05

4、勒索软件是什么05 网络勒索发展与演变08 常见的勒索软件类型勒索软件工作与攻击方式10 勒索软件工作原理11 勒索软件主要攻击方式2023 勒索软件态势分析14 2023 勒索软件攻击态势持续升级15 身份与访问控制仍是勒索软件攻击的首选16 80%数据泄露事件与失窃的特权身份有关16 网络勒索攻击持续增长原因分析上篇|网络勒索与态势分析Part 1Part 2 Part 3目录C o n t e n t s基于身份与访问控制的网络勒索综述与防御指南零信任是骨架21 零信任核心理念22 身份管理和访问控制24 资源隐藏和敲门技术25 网络安全和隔离26 端点安全Part 4身份安全是基石27

5、 企业身份治理31 身份威胁识别与风险管控访问控制是核心35 身份认证37 权限治理40 特权访问管理AI 大模型应用43 智能自适应身份认证44 智能动态权限管控44 智能风险监控45 结束语46 关于派拉软件下篇|基于访问控制的网络勒索应对策略Part 5Part 6Part 7上篇|网络勒索与态势分析4随着技术的发展和全球数字互联的日益紧密，网络勒索正在不断演变和发展。本篇章派拉软件将立足当下，回顾过去并展望未来，详细综述网络勒索，及其发展演变与工作原理，并基于身份与访问控制维度分析 2023 年网络勒索态势分析。网络勒索与态势分析上篇基于身份与访问控制的网络勒索综述与防御指南5网络勒索

6、与发展网络勒索是一种网络犯罪活动，攻击者通过勒索软件对企业进行网络攻击，对目标数据进行高强度加密，以此要挟受害者支付赎金以换取数据解密。勒索软件，又称勒索病毒，是一种恶意软件，常被归类为“阻断访问攻击”（denial-of-accessattack）。其工作方式与计算机病毒类似，但在攻击手法和处置方式上有所不同。勒索软件通常是对数据、文件和操作系统进行加密锁定，然后要求受害者支付赎金，否则不予解密或威胁将数据公开、销毁，甚至向相关监管部门投诉。勒索软件的主要传播方式包括钓鱼邮件、网页挂马、漏洞利用、远程登录入侵、供应链攻击和移动介质传播等。勒索软件并非新生事物，从第一个已知的勒索软件出现至今，

7、已有35年的历史。然而，近年来勒索软件的发展迅猛，破坏性和影响力前所未有，引起了全球的广泛关注。网络勒索发展与演变勒索软件攻击作为一种特殊的恶意软件攻击形式，自出现以来不断变化演进，技术也在持续迭代，数量和质量都在不断提升。从最初的恶作剧、炫技和个人牟利的攻击，迅速演变为专业化、团队化的安全威胁，成为全球性的重大安全问题。在初级阶段，网络勒索主要针对个人电脑，赎金仅为几百美元。从 2015 年起，美国联邦调查局陆续接到企业网络系统遭攻击的报案，赎金迅速上涨至几千美元。如今，勒索软件影响已扩展至社会各个阶层。近年来，勒索软件已经成为一个新兴的“产业”，并且呈现出攻防极度不对等的局面。攻击手法的演

8、进速度远超企业安全防护措施的提升速度。特别是随着加密货币（如比特币）的出现，赎金支付方式变得更加灵活，同时勒索团队的触角也逐步扩展，从局部勒索演变为全球性威胁。勒索软件是什么上篇|网络勒索与态势分析6企业一旦遭受勒索软件攻击，影响会迅速蔓延至整个公司，降低工作效率，导致业务中断数小时甚至数天。2017 年的 WannaCry 攻击感染了 150 多个国家的 30 多万台计算机，其中包括英国国家健康体系（NHS），导致超过 60 家医院和诊所受到影响，信息系统无法正常运转，医生无法查看病患病历，救护车无法正常接收服务请求，大量患者被迫延误或取消就诊。网络勒索的早期形式20 世纪 80 年代末至

9、90 年代，网络勒索的概念可以追溯到早期计算机病毒和木马的出现。1989 年，哈佛大学学生编写的艾滋病木马（PCCyborg病毒）被认为是第一个已知的勒索病毒，它对受感染系统上的文件名进行加密，并要求付费才能恢复。勒索软件的出现2000 年初，“勒索软件”一词开始普及，但与今天相比，当时仍处于初级阶段，多用于描述黑客恐吓或操作可逆的情况。比如 Gpcode 木马，虽然加密文件，但支付赎金后可轻易解密。勒索软件的复杂性与传播2010 年，随着比特币等加密货币的出现，勒索软件变得更加复杂。比特币提供了一种安全且匿名的接收赎金方式。著名的例子有 CryptoLocker 和WannaCry，它们在全

10、球范围内产生了广泛的影响。勒索手段多样化2010 年中期开始，网络犯罪分子的勒索策略变得更加多样化。除了加密数据，他们还威胁在线泄露敏感数据。这种策略被称为“doxware”或“leakware”，从单纯的经济勒索转向数据价值的进一步挖掘，使受害者不仅要考虑赎金支付，还需担心企业数据泄露导致的名誉受损、研发停滞、核心机密外泄等问题。这些变化表明，网络犯罪分子已经意识到，威胁公开勒索数据可能带来更高的回报。CL0P、BianLian、Avos、BlackCat、HuntersInternational 和 Rhysida等勒索组织正朝这个方向发展，利用数据机密性和法律法规要求来强迫受害者支付赎金

11、，以避免罚款或声誉受损。2023 年，ALPHV/BlackCat 勒索软件团伙更是将敲诈勒索提升到新高度，向美国证券交易委员会提交投诉，指控其一名受害者未遵守披露网络攻击的规定。基于身份与访问控制的网络勒索综述与防御指南7有针对性的勒索软件攻击越来越多的网络勒索者进行更有针对性的攻击，称为“大型游戏狩猎”，重点针对有能力支付更高赎金的大型组织和关键基础设施。这种方法需要更复杂的社会工程和网络渗透技术。与国家资助的活动相结合网络犯罪集团和国家资助的行为者之间存在明显重叠，用于网络勒索的技术和工具也被用于地缘政治网络行动，这模糊了犯罪活动和国家支持的网络活动之间的界限。勒索服务产业化勒索软件市场

12、的不断扩大催生了新的盈利模式勒索软件即服务（RaaS）。在这种模式下，勒索软件进入产业化发展阶段，在暗网市场中交易整套勒索软件服务。任何人都可以利用 RaaS 平台提供的现成解决方案，降低网络犯罪的门槛，即便是新手攻击者也能成功入侵分散的安全基础设施。根据反病毒服务提供商 CarbonBlack2017 年 10 月的调查报告，全球有超过6300 个暗网平台提供勒索软件交易，销售总额从 2016 年的 25 万美元增长至2017 年的 620 万美元，增长了约 25 倍。团体运作模式提升了专业化程度，助长了易用、定制工具的出现，开发人员专注某一环节或技术即可执行针对性的攻击，成功概率更高，影响

13、更严重。黑产市场的繁荣进一步推动勒索软件向更广范围蔓延。上篇|网络勒索与态势分析8以下是几种常见且值得注意的勒索软件类型：常见的勒索软件类型加密勒索软件CryptoRansomware加密勒索软件是最常见的勒索软件类型。它通过计算机或网络持续不断地搜索，专门用于发现具有一定价值的重要数据（如文档、照片和视频），并对这些数据进行加密，从而阻止用户访问。用户必须支付赎金才能获得解密密钥。通常，计算机内的其他文件不会受到影响，用户仍可正常使用计算机。然而，被加密的数据文件将无法访问，除非支付指定的赎金才能解锁。CryptoWall、WannaCry和Locky是一些知名的加密型勒索软件实例。锁定型勒

14、索软件LockerRansomware与加密型勒索软件不同，锁定型勒索软件不加密个人文件，而是锁定整个设备，使用户无法访问其操作系统、应用程序或任何文件。通常，锁定型勒索软件在启动时显示一个消息，要求支付赎金来解锁设备。Reveton和Petya是此类勒索软件的典型例子。由于这种形式的勒索软件通常不涉及加密，一旦受害者重新获得设备访问权限，所有敏感文件和数据都会被保留。假冒警告勒索软件Scareware假冒警告勒索软件通常伪装成安全警告或技术支持警告，声称检测到了非法软件或病毒，并要求支付赎金来“清除”这些不存在的威胁。尽管这类软件可能不会锁定或加密文件，但它们通过制造恐慌来诱使用户支付赎金。

15、在支付赎金前，受害者将无法关闭该消息窗口，也不能正常使用计算机。FakeAV是典型的假冒警告勒索软件。勒索软件即服务RansomwareasaService,RaaSRaaS是一种将勒索软件的创建和分发外包给第三方的模式，使得即使没有高级编程技能的攻击者也能轻松发起勒索软件攻击。攻击者通常需要支付一定比例的赎金给服务提供者。Cerber和GandCrab是两个知名的RaaS平台。01020304基于身份与访问控制的网络勒索综述与防御指南9双重勒索软件DoubleExtortionRansomware双重勒索软件不仅加密受害者的文件，还窃取数据，并威胁要公开这些数据，以迫使受害者支付赎金。这种类

16、型的勒索软件利用数据泄露的威胁作为额外的筹码，增加赎金支付的压力。Maze和DoppelPaymer是采用双重勒索策略的勒索软件实例。随着智能手机和平板电脑的广泛使用，移动勒索软件也越来越普遍。这种类型的勒索软件专门针对Android和iOS等移动操作系统，锁定设备或加密设备上的文件，并要求赎金。SimpLocker和Fusob是两种常见的移动勒索软件。移动勒索软件MobileRansomware泄露软件Doxware泄露软件是一种特殊形式的勒索软件，不仅删除或限制受害者对数据文件的访问或使用，如果未及时支付赎金，该软件会通过网络传播敏感信息，如私密照片或视频、个人身份信息和财产信息。有些网络

17、犯罪分子甚至会在暗网上售卖这些数据。这种以受害者个人声誉为威胁的犯罪行为危害尤为严重。对于商业和个人用户而言，Doxware的威胁是极为严重的。050607随着技术不断进步，勒索软件的类型和攻击手法还在持续演变。以 AI 技术为代表的新型勒索软件带来了各种新的攻击手段，使用 AI 进行深度伪造诈骗、诽谤、敲诈勒索等新型违法行为屡见不鲜，且日益增多。在生成式 AI 浪潮下，黑客们将生成式 AI 作为“勒索攻击武器”，频繁发起复杂的网络攻击，并将其扩大甚至自动化。上篇|网络勒索与态势分析10勒索软件工作与攻击方式勒索软件可以通过任何数字手段进行分发，包括电子邮件、网站附件、业务应用程序、社交媒体和

18、 USB 硬件等多种数字传输机制。其中，电子邮件仍然是最主要的传输载体，且网络犯罪分子更倾向于使用链接文件，其次是附件。下图展示了勒索软件的常见分发手段。勒索软件工作原理以电子邮件为例，网络钓鱼邮件常伪装成通知或虚假软件更新请求发送给用户。当用户点击链接或附件时，其他恶意组件通常会在后台透明下载，并使用RSA2048位私钥对文件进行加密，使用户几乎无法解密文件。在其他情况下，勒索软件可能嵌入在网站上，一旦下载并安装，便会发起攻击。勒索软件的整体生命周期可大致分为以下六个环节，如下图所示：31%电子邮件链接28%电子邮件附件24%网站附件9%末知来源4%社交?体1%业务应用?主?件?3 远程密?

19、2 勒索软件?意链接传播?索要?特定?件加密基于身份与访问控制的网络勒索综述与防御指南11?利用代码下载、邮件附件或驱动下载将恶意软件引入受害者的设备；?恶意程序植入主机并收集记录主机信息；?勒索软件联系其指挥与控制（C&C）服务器获取加密密钥；?勒索软件开始搜索具有特定扩展名的用户文件，如pdf、docx、xlsx、pptx和jpg等；?将目标文件移动并进行加密；?向受害者发送包含赎金要求的声明。了解了勒索软件的工作原理后，我们需要进一步探讨其主要攻击方式。通过了解这些攻击方式，可以帮助企业更好地防御网络勒索攻击。分析市场上公开的网络勒索事件及其原因发现，大多数勒索病毒攻击在攻击早期会暴露出

20、明显的“攻击信号”，如弱口令暴力破解、非法外联、远程登录、漏洞扫描等。这些攻击信号通常没有经过高级伪装，许多安全厂商都有成熟的安全产品或解决方案，能够实时监控相关攻击活动，及时发现并产生告警。勒索软件主要攻击方式总体来说，网络勒索攻击者主要通过暴力破解、钓鱼邮件、漏洞扫描与利用、远程桌面入侵等方式发起攻击，并植入勒索病毒实施勒索行为。以下是具体常见的攻击方式介绍：暴力破解暴力破解是最简单直接的入侵方式，通过系统地尝试所有可能的密码，直到找到正确的密码。攻击者使用工具扫描暴露在互联网上的高危端口，然后通过暴力破解、字典攻击、混合攻击等方式入侵，主要针对需要密码验证的系统，包括但不限于网络服务、数

21、据库、个人账户等。通常使用自动化工具生成并尝试密码，这些工具能够在短时间内尝试成千上万的密码组合。若系统存在弱口令，则极易被暴力破解渗透。勒索软件最常用的传播方式之一就是针对RDP远程桌面服务的暴力破解。钓鱼邮件钓鱼邮件是勒索软件传播的主要形式之一。攻击者通常采用社会工程学的伪装手法，精心构造邮件主题、内容及附件名称，使其极具欺骗性和迷惑性。受害用户通常无法直接分辨这些钓鱼邮件的可信度，许多人因此上当受骗。上篇|网络勒索与态势分析12例如，攻击者会伪装成合法机构、企业或受害者的联系人，在邮件中添加伪装成合法文件的恶意附件，或在邮件正文中提供恶意 URL 链接。攻击者诱导收件人打开恶意附件或访问

22、恶意链接。一旦受害者打开恶意附件或点击恶意链接后，勒索软件即被下载并开始加密用户设备上的文件。违规操作违规操作指的是系统运营者或合法使用者出于工作便利或特殊原因，对系统进行的违规操作，从而导致系统防御失效并被攻击者入侵。严格来说，违规操作本身不是一种攻击方式，而是一种诱发攻击的原因。攻击者通常利用内部人员的违规操作，通过打开的映射端口或通道进入内网，并结合其他攻击手法获取系统控制权，实现恶意外联，对系统进行远程控制和监控。据权威报告显示，绝大多数违规操作都是因为系统存在“非法外联”行为，在溯源过程中被发现。攻击者利用内网人员的违规操作进入内网，并进一步获取系统的控制权。漏洞扫描与利用漏洞是操作

23、系统或应用程序中的编码错误，是计算机系统在研发过程中存在的缺陷或问题。攻击者利用软件中未修复的安全漏洞来传播勒索软件。通常，攻击者会使用漏洞攻击包（ExploitKit）检测设备操作系统或应用程序中是否存在安全漏洞。这种攻击方式不需要用户交互，因此对于未及时更新软件的系统来说风险特别高。基于身份与访问控制的网络勒索综述与防御指南13攻击者通过感染软件供应链中的某个环节（如第三方服务提供商或软件更新）间接感染目标用户或企业。攻击者入侵软件供应商的服务器设备，利用软件供应链的分发、更新等机制，在合法软件传播和升级过程中劫持或篡改软件，从而规避用户的网络安全防护机制，传播勒索病毒。远程登录许多公司主

24、机因业务需求启用远程维护功能，因此远程访问端口通常开放。攻击者通过猜测、弱口令或暴力破解等方式获取远程桌面服务的登录凭据（用户名和密码），然后通过远程桌面协议（RDP）登录服务器直接投放勒索软件。攻击者一旦成功登录服务器，便可利用服务器作为攻击跳板，在内部网络横向传播勒索病毒。软件供应链攻击最典型的案例是 2017 年 WannaCry 事件。永恒之蓝利用 Windows 系统的 SMB 协议漏洞获取系统最高权限，从而控制被入侵的计算机。永恒之蓝于2017 年 4 月 14 日爆发，不法分子在 2017 年 5 月 12 日完成对永恒之蓝的改造，使其成为 WannaCry 勒索软件，导致全球范

25、围内大规模感染。据统计，仅 2017 年 5 月 12 日一天就有超过 90 万台主机被感染。此后，利用漏洞进行扩散的勒索软件开始频繁出现。上篇|网络勒索与态势分析142023 勒索软件态势分析2023 年，全球勒索软件攻击的频率自第二季度开始大幅上升。勒索攻击通过加密数据使业务系统无法正常运转，迫使企业支付赎金。这导致企业在停工停产造成的经济损失和支付赎金之间做出选择。大多数企业选择支付赎金以迅速恢复业务。据 Check Point 发布的 2023 年全球网络安全报告显示，2023 年网络威胁持续升级。全球每个机构平均每周遭受 1,158 次网络攻击。与2022年相比，网络攻击次数明显增加

26、，这表明数字威胁形势依然严峻。2023 勒索软件攻击态势持续升级2023 年，网络威胁形势不断演变，特别是勒索软件威胁的实施方式。勒索软件继续构成重大风险，尤其是对规模较小、防御能力较弱的企业。攻击者开始重点进行数据窃取和纯粹的勒索活动。MOVEit 和 GoAnywhere 的两起大规模攻击活动体现了这种战术上的变化。这些攻击并没有使用传统的基于加密的勒索软件，而是通过威胁泄露被盗数据来索要赎金。据 360 最新报告显示，2023 年，在国际安全领域，新出现的勒索软件如ESXiArgs、Akira、INCRansom 与 HuntersInternational 展示了其破坏性能力。这些恶意

27、软件利用安全漏洞和管理不善，侵入了众多大型企业的内部网络，导致关键设备损坏和重要数据被盗。在这些事件中，INCRansom 专门针对主要机械制造工厂进行精准打击；HuntersInternational 则将攻击焦点集中在医疗和制药行业，甚至对美国海军的一个承包商实施了攻击；Akira 的挑衅行为尤为突出，其攻击了德国南威斯特法伦州的一家关键系统供应商，造成了该州 72 个市政府业务的大面积中断。在国内，多家大型能源企业、金融企业和制造业企业先后遭到勒索软件的侵袭。尽管这些事件主要影响分支部门，并未直接影响整个集团，但其带来的业务损失和数据泄露的间接影响不可小觑。此外，下半年针对中小企业服务器

28、的攻击也层出不穷。11582023年网络威胁持续升级。全球每个机构平均每周遭受1，158 次网络攻击。当前流行的主要勒索软件家族将更多攻击重点转移到了大型超大型集团企业。基于身份与访问控制的网络勒索综述与防御指南15总体来看，2023 年国内勒索软件攻击事件量相对平稳，但这并非由于勒索软件攻势放缓。当前流行的主要勒索软件家族将更多攻击重点转移到大型和超大型集团企业，勒索团伙通过较少的攻击次数获取巨大的回报。同时，更明确的攻击目标和更低的攻击频率便于攻击者制定更具针对性的策略，从而提高每次攻击的成功率。身份与访问控制仍是勒索软件攻击的首选派拉软件团队在 2023 年观察到，针对身份的网络威胁明显

29、增加。攻击者倾向于选择阻力最小的途径实现其目标，焦点已从传统的漏洞利用转向登录凭证获取。这种转变不仅反映了攻击者适应性强、策略灵活的特点，也凸显了身份与访问控制在当今网络安全中的关键地位。另一项研究显示，网络勒索攻击者正转向更快、更有效的手段，如身份攻击（包括网络钓鱼、社会工程和访问代理）及漏洞利用。这一趋势在过去五年中尤为明显，与身份攻击和访问代理的成功密切相关。网络钓鱼和社会工程攻击通过诱骗用户泄露敏感信息或执行恶意操作，利用了人性的弱点和心理漏洞，使得攻击成功率大大提高。访问代理是威胁行为者获取组织访问权限并提供或出售给其他行为者的手段，包括勒索软件运营商。这些代理通过各种手段获取组织的

30、访问权限，然后在地下市场上出售给出价最高的买家。2023 年，这些对手继续通过向各种电子犯罪参与者提供初始访问权限获利，与 2022 年相比，公布的访问数量增加了近20%。这种趋势表明，访问代理已经成为网络犯罪生态系统中的一个重要组成部分，其影响力和危害性不容小觑。当今复杂的网络攻击只需几分钟即可成功。攻击者使用“交互式入侵”技术模仿预期的用户和管理员的行为，使防御者难以区分合法用户活动和网络攻击。这种技术手段的进步，使得攻击者能够在不引起警觉的情况下迅速实现其目的。为了加快攻击速度，攻击者通过各种方式获取合法的登录账号和密码，包括从初始访问代理人处购买凭据。这种购买行为不仅加快了攻击速度，还

31、增加了攻击的隐蔽性和复杂性。因此，到 2024 年，企业组织必须优先考虑保护身份安全。派拉软件团队于2023年观察到的最大变化是，针对身份的网络威胁在明显激增。上篇|网络勒索与态势分析16据统计，80%的黑客攻击中涉及的数据泄漏事件与失窃的特权身份有关。特权身份凭证几乎是每次严重攻击的共同因素。攻击者需要通过窃取特权身份凭证来获得访问企业最关键资产信息的权限。特权身份凭证是访问网络关键基础设施和窃取数据的必要前提。2023 年，所有重大安全事件几乎都始于高权限（特权）账号泄漏。例如，2023 年 1 月，黑客团伙 Lapsus$使用“superuser”账户入侵 Okta，并发布了据称获取自内

32、部系统的屏幕截图，影响 366 名 Okta 客户。5 月，美国德克萨斯州达拉斯市因 Royal 勒索软件攻击被迫关闭所有 IT 系统，攻击始于域服务器账号被盗，导致 Royal 团队获得市网络访问权限，并最终导致 1.169TB 的敏感数据泄漏。8 月，MGM 国际酒店集团遭遇勒索软件攻击，攻击始于 Okta 中的高权限账号失窃，导致数百台 ESXi 服务器被加密，造成每天高达 840 万美元的损失。数字化时代，企业面临越来越复杂的网络安全威胁。特权访问是组织最有价值资产的入口，也是每次重大安全漏洞的核心。因此，企业必须制定完整的策略来管理和监控特权访问，并在需要时及时检测和应对威胁，以减轻

33、黑客攻击的风险。80%数据泄露事件与失窃的特权身份有关网络勒索攻击持续增长原因分析勒索软件攻击日益复杂，从单纯的数据加密转变为数据盗窃和泄露。这一策略的改变反映了网络犯罪分子认识到，威胁释放被盗数据可能比持有数据获取赎金带来更高的回报。另一个关键趋势是勒索软件团体的崛起，其复杂程度越来越高，从通用性安全攻击团队转向专业化勒索团队。由于勒索攻击带来的巨大经济利益，犯罪团伙寻找在网络保险、合规和立法等领域拥有先进技能和专业知识的个人。勒索软件组织之间的竞争格局预计将加剧。人工智能（AI）融入网络犯罪活动也日益受到关注。恶意行为者利用人工智能技术（包括生成式人工智能）创建更具说服力的虚假内容。在重大

34、全球事件的背景下，这一点尤为令人担忧。失窃的特权身份是几乎每次严重攻击的共同因素。基于身份与访问控制的网络勒索综述与防御指南17从内外部分析，网络勒索持续增长的原因包括：安全措施不足许多组织缺乏强大的网络安全防御，容易成为网络勒索者的目标。薄弱的安全协议、过时的系统和未修补的漏洞为攻击者提供了轻松的入口。缺乏员工意识员工缺乏网络安全最佳实践的培训，容易受到网络钓鱼攻击、社会工程和敏感信息的无意泄露。数据管理不足数据管理不善和敏感数据缺乏加密或定期备份策略可能导致网络犯罪分子轻松访问并利用这些数据作为勒索的杠杆。有限的事件响应计划没有明确事件响应计划的组织在应对网络勒索攻击时准备不足，导致响应延

35、迟或无效。勒索软件即服务（RaaS）的兴起RaaS 在暗网的可用性降低了网络犯罪分子的进入门槛，使得技术技能有限的人也能发起勒索软件攻击。这种模式提升了专业化程度，助长了易用、定制工具的出现，犯罪分子只需专注某一环节或某一技术即可执行有针对性的攻击。加密货币的使用勒索攻击活动猖獗的一部分原因是比特币等匿名支付手段的恶意利用。比特币的去中心化特点使其成为网络勒索的主要支付形式，隐匿了攻击者的身份，从而鼓励更多犯罪分子从事网络勒索。数字依赖性增加随着企业数字化转型深入，企业和个人对数字服务的依赖程度增加，网络攻击的潜在影响也随之增加，使得网络勒索变得更加有利可图。上篇|网络勒索与态势分析18攻击的

36、复杂性网络犯罪分子不断发展技术，使用更复杂的方法逃避检测并提高攻击成功率。法律和司法挑战网络犯罪的跨境性质给执法和起诉带来了重大挑战，使许多网络勒索者能够逍遥法外。这些内部和外部因素的融合为网络勒索的增长创造了肥沃的土壤。为了应对这一日益严重的威胁，组织必须加强内部防御，培养网络安全意识文化，并与外部合作伙伴和执法部门合作，增强抵御网络勒索的能力。全球连接性互联网的全球性使得来自世界任何地方的攻击者都可以瞄准远方的受害者，增加了潜在目标的数量。基于身份与访问控制的网络勒索综述与防御指南19无论是从 2023 年网络勒索攻击的现状分析，还是从勒索软件传播手段（如远程桌面协议 RDP、弱口令和数据

37、库弱口令依然是最主要的入侵途径）来看，身份访问控制都是企业组织应对网络勒索攻击的必要且关键的技术手段。基于访问控制的网络勒索应对策略下篇下篇|基于访问控制的网络勒索应对策略20国家互联网应急中心（CNCERT）发布的勒索软件防范指南中，提出了防范勒索软件的“九要与四不要”：在这些防范措施中，我们也可以看到身份与访问控制安全的重要性。当然，要更加有效地应对网络勒索，企业组织需要采取多层次、多维度的策略方法来防范，并确保在成为目标时能够迅速有效地做出反应。整个防范策略涉及技术防御、员工培训和明确的事件响应协议的结合。市面上已有很多关于此类防范策略的白皮书。基于此，本章节将换个视角，重点从派拉软件最

38、擅长的身份认证与访问控制技术着手，探讨如何通过完善企业人员、网络、应用和数据的访问控制，有效防御网络勒索。类别措施 九要资产梳理进行资产梳理与分级分类管理数据备份备份重要数据和系统密码设置设置复杂密码并保密安全评估定期进行安全风险评估病毒防护经常进行病毒扫描、关闭不必要的端口身份验证做好身份验证和权限管理访问控制严格执行访问控制策略安全意识提高员工的安全意识应急预案制定应急响应预案四不要邮件点击不点击来源不明的邮件网站访问不打开来源不可靠的网站软件安装不安装来源不明的软件存储介质不使用来历不明的存储介质基于身份与访问控制的网络勒索综述与防御指南21零信任是骨架零信任安全模型建立在“从不信任，始

39、终验证”的原则之上。采用 NIST 的零信任框架可以防止网络攻击者利用权限过多和缺乏网络分段来实施攻击，从而降低遭受网络攻击的风险。据调查显示，在某些情况下，实施零信任安全策略可以获得 92%的投资回报率，半年内回本。零信任还可以将数据泄露的概率降低 50%。最重要的是，零信任不仅仅是一种产品，而是一个过程和方法。许多组织将其网络看作是被护城河包围的城堡，保护网络边界的防御措施（如防火墙和入侵防御系统 IPS）将攻击者拒之门外，类似于护城河将入侵部队挡在中世纪的城堡外。然而，这种“城堡加护城河”的安全方法非常容易受到勒索软件的攻击。事实是，攻击者经常能够突破“护城河”，一旦进入，他们就可以自由

40、地感染和加密整个网络。零信任核心理念基于此，行业提出了一种新的假设：假定“城堡”内外都存在威胁。这种理念被称为零信任。零信任模型维持严格的访问控制，默认不信任任何人或计算机，即使是网络边界内的用户和设备。它是一种不依赖于物理或逻辑位置来决定安全措施的新型网络安全架构。零信任架构的优势在于它基于风险管理的原则，采用自适应、个性化、统一、自动化的安全控制技术，为组织提供更高的安全性和灵活性。随着组织对网络安全需求的不断增长，零信任架构已成为当下及未来网络安全的重要趋势。下篇|基于访问控制的网络勒索应对策略22零信任网关数据库网关防数据泄露防数据误删权限控制高危控制API网关API网关API管理AP

41、I安全服务治理特权网关特权访问特权账号密码管理运行时访问?e?网关统一会话表单代?密码管理细粒度权限APP领导门户WEB新?门户PC工作门户PAD?门户?毒SDP/VPN补丁VDI/RDPMDM?箱安全策略DLP端点网关?业务?数据载体数据本体数据处理风险?查数据梳理数据保护监控预警身份治理风险?查数据梳理数据保护监控预警ERPCRMWebOAIMHRMAPIEMaileHRMESSCMPMS在网络勒索应对中，零信任持续监控并基于会话重新验证用户和设备，一旦检测到感染，它可以通过缩小甚至取消网络和应用程序访问权限来阻止勒索软件的进一步传播。在系统检测到入侵者时立即锁上门。即使攻击者窃取了密码，

42、他们仍然无法访问，因为没有授权设备。零信任还遵循“最小权限”原则，使勒索软件难以提升权限并控制网络。零信任模型主要通过四大核心内容对企业网络安全进行保障，即身份管理和访问控制、资源隐藏和敲门技术、网络安全和隔离、端点安全。身份管理和访问控制零信任模型作为一种新型网络安全架构，旨在消除传统安全模型中的“信任边界”，实现对用户、设备和应用程序的全方位监控和管理。在零信任模型中，身份和访问管理是关键组成部分，因为每个访问请求都需要进行身份验证和权限确认，以保证系统的安全性和稳定性。身份验证是指确定用户的真实身份，而权限确认则是根据用户的身份和访问需求，确定其是否有权访问特定资源。在零信任模型中，常用

43、的身份验证技术包括用户名和密码、多因素认证（MFA）和生物识别技术等。多因素认证可以增加用户身份的可信度，提高系统的安全性；而单点登录（SSO）可以简化用户的登录流程，提高用户满意度和使用体验。基于身份与访问控制的网络勒索综述与防御指南23除了身份验证，访问控制也是身份和访问管理的重要组成部分。访问控制根据用户的身份和访问需求，确定其可以访问的资源和权限级别。在零信任模型中，访问控制通常采用基于策略的访问控制（PBAC）或基于属性的访问控制（ABAC）等技术。为了实现有效的身份和访问管理，需要结合技术和管理措施，建立一个完整的安全体系。技术方面包括身份验证技术、访问控制技术和多因素认证技术等；

44、管理方面则包括身份管理、访问管理和风险管理等。在身份管理方面，需要建立一个完整的流程，包括身份注册、身份验证、身份授权和身份撤销等。在访问管理方面，需要建立完整的流程，包括访问审批、访问监控和访问日志等。在风险管理方面，需要建立完整的流程，包括风险评估、风险应对和风险监控等。基于不同用户的动态风险因子采集基于用户动态风险?，控制用户?录认证方式、?止高?访问、或?定?常?单点登?API规?结?录访问统一认证入口IAM应用管理员应用?浏览器常用设备操作系统授权设备.操作习惯登录频率登录时间访问历史?信?风险?身份数据?信?行为分析身份属性用户权限?特权账号用户级别IP地址.网络环境地理环境数据转

45、换聚合分类特权账号认证方式（?持单?展）（?持?认证）（?持应用内重要?程?认证）数据建模风险告警风险控制?认证?Face ID.风险通知数据处理风险分析数据?配风险计算风险服务风险情报风险?法模型访问设备频繁切换IP/账号/时间黑白名单短时间内位置变化算法策略非常用时间段/设备/IP.用户OTP在零信任模型中，身份和访问管理是非常重要的组成部分。只有建立一个完整的身份和访问管理体系，结合多种技术和管理措施，才能保证系统的安全性和稳定性，提高用户满意度和使用体验。在后续章节中，我们将详细介绍身份和访问管理的具体内容。在零信任模型中，身份和访问管理是非常关键的组成部分，因为每个访问请求都需要进行

46、身份验证和权限确认，以保证系统的安全性和稳定性。下篇|基于访问控制的网络勒索应对策略24资源隐藏和敲门技术在零信任环境中，资产保护能力至关重要。其中，通过 UDP 的敲门技术可以实现对资产的有效保护。UDP 是一种无连接的协议，其端口可以用于接收数据包而不返回任何数据包，从而使外部扫描器无法获取端口是否开放的信息。在零信任的敲门技术中，采用 UDP 接收外部的敲门数据包，并通过数据包中的认证数据（通常是基于 OTP 的动态口令）进行认证。认证成功后，通过防火墙技术动态开放 TCP 端口，用于后续的用户认证和隧道连接。因此，利用 UDP和 TCP 的敲门技术可以实现对资产的保护。具体来说，单包授

47、权（SPA）通过对连接服务器的所有数据包进行认证授权，服务器认证通过后才响应连接请求，从而实现企业业务的服务隐身，使其无法从网络上连接和扫描。在 UDP 端口敲门和 TCP 服务隐身模式下，设备默认隐藏所有需保护的端口，仅开放 UDP 敲门端口。正常用户在访问前需要发送含有身份凭证的 UDPSPA敲门包，验证成功后更新本地防火墙规则，临时开放指定源 IP 对 443 端口的访问权限。后续连接建立过程中遵循第二代 TCPSPA 流程完成 TLS 会议协商，再开放 TCP 保护端口，并进行 SPA 校验。在零信任环境中，通过 UDP 的敲门技术，可以有效地保护企业的资产安全，提高安全防护能力。基于

48、身份与访问控制的网络勒索综述与防御指南25与传统网络隔离方案相比，微隔离技术具有以下优势：实现微隔离技术需要一些特殊的访问控制设备，如 VPN 隧道设备、网关设备等，这些设备对网络流量进行访问控制和隔离，确保只有授权流量才能进入或离开微隔离网段。此外，还需要对网络应用和服务进行安全配置，避免潜在安全风险。网络安全和隔离微隔离技术是零信任网络安全策略中的关键组成部分，是基于网络安全原则的新型隔离方案。通过对网络流量的访问控制和隔离，将网络划分为多个逻辑上的微小网段，以实现更安全和高效的网络管理。每个安全区域都有独立的访问控制和安全策略，防止攻击者一旦入侵就能访问整个网络。微隔离优势描述高效性快速

49、实现网络隔离，简单配置访问控制设备，易于故障排查和问题解决安全性隔离不同网络应用和服务，防止安全威胁扩散，如隔离金融交易和 Web 服务器可管理性网络流量隔离于多个逻辑网段，每网段有独立管理策略，便于扩展和管理主动?光分析探索攻击基线系统系统隔离、安全加固零信任网络的微隔离转移攻击者预防风险检测风险确认风险等级处理事故设计/模式变更调查取证预测修复、调整响应防御检测策略合规?行持续监测和自适应调整监控下篇|基于访问控制的网络勒索应对策略26端点安全在零信任模型中，保护各种设备（无论是移动设备还是物联网设备）至关重要。这些设备通常没有经过充分的安全测试和认证，容易成为网络攻击的目标。因此，必须采

50、取一系列措施确保这些设备的安全性和保密性。企业可以通过下述步骤，建立完善的端点设备安全管理和监控体系，确保设备的安全性和可靠性。企业组织在实施微隔离技术时需综合考虑网络规模、安全需求和访问控制策略等多个因素，确保微隔离网段的安全、高效和可管理性。微隔离主要通过以下几种方式提高网络安全性：微隔离是零信任网络安全策略中的重要组成部分，能实时感知企业资产的网络状态，以发现异常访问，对网络安全进行实时监控，并在威胁发生时，及时阻断，减少威胁爆炸半径，有助于保护敏感信息和资源，提高网络的安全性和可靠性。随着技术的发展，微隔离的实现方式也在不断改进和创新，未来将发挥更重要的作用。微隔离策略功能描述实现方式

51、分离访问控制通过在不同的安全区域中设置不同的访问控制规则，限制每个区域的访问权限。通过定义详细的安全策略和访问控制规则。安全隔离在不同安全区域之间设置物理或逻辑隔离，防止跨区域访问。通过硬件隔离或软件隔离技术实现。多层安全防御在不同安全区域中应用多种安全措施，如网络和应用安全设备。采用层层递进的安全防御措施。步骤描述具体措施1设备调研与信息采集建立设备的安全基线，确保软硬件系统符合最新安全标准2监控软硬件系统状态监控补丁、漏洞、软件版本、系统配置、安全软件安装和软件策略执行3身份验证与授权确保只有授权用户能访问设备，使用多因素认证、访问控制列表和访问令牌4保护通信安全使用虚拟专用网络（VPN）

52、和安全套接字层（SSL）技术5定期更新软件固件通过定期漏洞扫描和安全测试，及时应对安全漏洞和攻击6设备监控与安全事件响应使用设备监控和安全事件响应工具，及时检测和应对安全事件7物理与环境监控采集设备信息和来源 IP 地址，分析物理位置，确保设备安全和完整8数据保护使用设备加密技术保护设备的数据和通信9建立安全管理与监控体系建立安全管理团队，实施安全审计和监控，记录和监控设备的安全事件基于身份与访问控制的网络勒索综述与防御指南27身份安全是基石许多勒索软件攻击始于网络钓鱼活动，通过获取用户凭据（用户名和密码）进入网络并在网络内移动。攻击者还会尝试使用已知的默认凭据，直到找到使用这些凭据的服务器或

53、网络，从而获得访问权限。因此，应对企业网络勒索需要从身份管理入手。实际调查显示：大多数企业在人员、系统和设备的身份管理上存在诸多问题。为全面保障企业人员、供应商、伙伴、设备和物联网设备的全域身份安全管控，企业亟需展开全面的身份治理行动。企业身份治理在数字化转型过程中，企业数字化应用持续增多，账号管理成本和难度直线上升。各系统内账号和权限的治理以及应用数据安全的重要性愈发突出。做好企业身份治理至关重要。企业身份治理是指通过管理企业身份数据和身份源来保障信息安全和合规性。身份数据通常指与个人身份相关的信息，如姓名、出生日期、地址、联系方式、职务等；身份源则是产生这些身份数据的实体，包括内部人员、合

54、作伙伴、供应商、客户、临时工等。?数据核心资产企业数据外防数据?用户企业内?用户程?数据?数据?数据?数据泄露缺?准?风控?计?成?违权用户?法身份身份?冒身份?权限?权限?内?作?漏洞网络应用主机数据库文件设备下篇|基于访问控制的网络勒索应对策略28为实现身份数据和身份源的管理，企业通常采用身份管理系统集中管理身份数据和身份源，并为不同应用系统提供统一的身份认证和访问控制服务。身份管理系统可以根据企业的需求设计不同的身份认证流程和权限管理规则，实现自动化管理。技术?业务安全A?I安全账号安全数据?安全?管理?员制度?程组织架构职能分工人员能力策略方针管理制度流程规范操作表单意识?意识引导培训

55、?能力认证数据分类分级与分级保护数据传输共享合规数据安全评估数据跨境合规合作方数据安全管理数据安全监管审计数据权限管控数据?敏管理接口安全管理数据安全销毁管理安全活动权限治理?治理IPDRR识别身份数据资产梳理身份数据分级分类身份数据安全评估检测身份数据流转监测异常行为检测身份数据建模分析响应身份安全事件处置身份风险事件溯源身份数据安全评估?复?备数据恢复身份数据采集身份数据传输身份数据存储路由配置Cookie配置网关代?DDoS防护?载均衡访问代理证书管理API资产管理数据整合数据积?数据处理数据标准数据建模数据服务数据?库业务模型构建业务场景建模数据算法挖掘数据资产共享数据主题域数据?敏数

56、据权属定义API安全监测API行为审计API权限管控API调用审计API策略配置报表分析特权账号审计密码策略管理授权管理用户组织管理健康检查访问控制操作审计S?L?法解析对象提取访问权限控制数据静/动态?敏数据分级分类敏感数据识别 运维安全客户端数据?能业务数据资产?现身份数据使用身份数据交换身份数据销毁身份治理风险治理数据?离?多源业务系统集合形成权威身份数据源，IAM建设自动化同步(1)IAM调用下游系统接口(2)IAM提供接口(1)提供接口OASAPEHRDRP.员工创建接口(2)调用接口员工变更接口APIAPIAPIAPIAPI员工离职接口权限新增接口权限删除接口权限变更接口.员工IT

57、IAM新员工录入新增部门岗位维护员工信息变更删除部门权限维护离职账号停用部门信息变更员工信息加密?敏数据?步方式数据?步方式下?应用?下?供接?IA?行?用特点：数据同步实时性高，下游提供仅需提供标准接口，IAM进行开发，适用对数据变化实时要求较高的场景通过接口实现：账号自动开通信息自动变更账号自动停用权限自动新增权限自动变更权限自动删除?2?IA?供接?下?行?用特点：IAM提供标准接口，下游系统执行定期全量或增量等数据同步策略，适用于对数据实时性不高的场景基于身份与访问控制的网络勒索综述与防御指南29例如，内部人员的身份数据和访问权限由 HR 系统管理；合作伙伴和供应商的身份数据和访问权限

58、由经销商系统或客户关系管理系统管理；客户的身份数据和访问权限由会员系统管理；临时身份数据和访问权限则由身份管理系统管理，并根据有效期进行回收处理。组织架构数据源也是身份治理的重要组成部分，包括企业的员工组织结构、部门分类、职位级别等信息。企业使用 HR 系统或人力资源管理软件管理组织架构数据源，并根据这些数据生成相应的用户和权限管理规则。对于集团性公司，机构之间的人员和用户权限可能重叠，需统一考虑，并对跨机构工作的人员进行特殊处理，符合身份治理规范。除了一些应用系统本身的身份账号外，还需要重点关注特权账号。特权账号通常分为机用账号和人用账号。机用账号如 RPA 系统中的 Bots 账号；第三方

59、服务账号如短信平台和邮件平台的账号。人用账号又分为个人使用和共享使用。个人使用账号如OA管理员的账号，权限较大；共享使用账号如Windows的Administrator账号、Linux/Unix 的 root 账号等。?团员工?身份?心?认证?心?权?心?分析?心?计?心多?管理服务?心分?司员工供应?用户用户?数字身份平台应用?规?准用户管理认证管理移动?移动?移动?用户信息账号管理组织管理网络防泄漏OAERPCRMHRM统一身份管理规范统一身份认证规范统一账号管理规范统一应用接入规范统一入口、规则多因素认证认证配置认证策略认证链权限信息权限管理权限?定权限大?用户画像UEBA决策大屏告警外

60、发身份审计行为审计权限审计报表配置下篇|基于访问控制的网络勒索应对策略30这些账号权限较大，影响面广，需采用特权账号管理方式。特权账号管理分为以下几大功能模块：在身份使用过程中，会有账号异常使用情况，需通过异常识别和风险管理进行处理。常见的账号风险有以下几种：上述账号治理的风险提示需定期生成报告，供管理员查看，以便分析趋势，发现潜在安全风险，并及时处理。功能模块关键活动目的与实现方法账号识别和管理扫描发现特权账号，回收重置密码防止未授权访问，保障账号安全账号风险分析定期扫描，识别账号状态变化和风险及时处理新建账号、权限变更、僵户账号等风险账号定期改密定期更新密码，通知使用者，确保更新生效减少密

61、码泄露风险，符合安全标准账号使用会话管理审计特权账号使用，拦截或审批高风险操作通过视频、字符和文件审计增强操作安全账号访问授权管理根据角色分配权限，及时回收避免权限滥用，确保访问控制符合“三权分立”原则密码保管箱管理特权账号密码，确保密码的可用性和安全性通过多级缓存、备份和加密保护密码安全平台逃生机制保证特权账号在 IT 系统停机时可用通过缓存和定期密码信封打印确保账号在系统恢复时可用账号风险类型描述管理策略僵户账号长期未登录的账号，使用者可能已离职或不再需要使用定期清理，通常设置为 6 个月未登录则考虑清理弱密码账号登录密码较弱，如使用常见或默认密码识别后立即通知更改为强密码，要求下次登录时

62、更改过期账号临时账号未及时回收，如供应商或 VIP 访客账号使用后立即回收，避免滞留产生安全风险长期锁定账号账号因密码猜测行为被自动锁定，长期未解锁监控持续的登录尝试，疑似攻击时进行安全检查账号突然激活使用频率低的账号在长期未登录后突然活跃对突然激活的账号进行二次认证，确认登录行为合法基于身份与访问控制的网络勒索综述与防御指南31身份威胁识别与风险管控身份使用过程中，会有异常使用情况，需通过异常识别和风险管理进行处理。随着移动互联网的发展，身份平台的访问入口一般开放至公网，易受攻击。身份治理中的异常识别通常采用基于 AI 算法的 UEBA（用户实体行为分析）检测方案，监视和分析用户和实体的活动

63、，包括登录时间、浏览器类型和版本号、操作系统类型和版本号、访问来源 IP、地理位置等，以及基于这些数据计算出的访问频率和时间段等；建立基线行为模型，识别异常行为模式，帮助组织识别潜在威胁、数据泄露和其他安全问题。在企业实际安全管理过程中，主要应用于以下四大场景中：用户注册用户注册场景主要针对 CIAM（客户身份与访问管理）。系统用户为公司的客户，可自行注册以使用企业系统和服务。由于注册功能对外开放，企业常有市场活动和优惠政策，如优惠券，恶意用户通过批量注册方式获取这些优惠。批量注册可通过限流策略防护，但攻击者可能通过代理绕过限流。通过 UEBA（用户与实体行为分析）进行多维度分析和识别，可更全

64、面地防护，保护企业资产，避免经济损失。?SIEMSOARIAM?PAMAPI弱口令用户名&密码爆破邮件钓鱼协议劫持票据伪造票据劫持Cookie窃取Session窃取用户注册用户登录二次认证单点认证权限接口风险类型风险等级处理建议明文密码泄露C端?恶意注册权限扩大?信?检测识别响应?下篇|基于访问控制的网络勒索应对策略32基于导入的弱密码库，对现有资产已经存在的弱密码进行扫描，支持扫描AD、LDAP等弱密码。扫描完成后，系统生成弱密码扫描报告，定位弱密码账号，为安全护网提供可靠预防。?富的个性化密码策略定义。包括密码长度要求、必须包含的字符类型、码过期规则、键?连续字符等。提供弱密码重置功能，支

65、持API对接，可针对不同用户个性化引入密码策略，并在密码修改中进行强度验证及提示。?检测?支持企业或行业个性化、或国内外常用弱密码库导入，覆盖高频惯用弱密码。密?策略?密?重?密?告?密?扫描?密?弱密码发现到治理一体化管理用户登录用户登录场景是 UEBA 在身份治理中应用最广泛和最有价值的场景，也是用户每日使用的场景。登录过程面临诸多威胁，如账号名枚举、密码暴力攻击、密码明文传输、弱密码爆破、二次认证绕过、OAuth2.0 授权码泄露等。领导账号可能被恶意锁定，管理员账号可能被盗用。弱密码扫描可以定期扫描现有账号，发现弱密码，并通知用户在下次登录时更改为强密码。针对 AD 和 IAM 系统的

66、弱密码扫描已经成熟，弱密码库还可根据企业需求自定义，以提高识别率。人机识别通过采集鼠标点击和移动指针数据，如点击次数、坐标、移动起始点和速度等，判断是否有机器人在进行登录操作，发现异常及时拦截，要求人机验证，保护后台应用。设备唯一标识是另一个重要指标，用于检测设备访问场景，并根据设备信息进行策略控制。如常用设备信任度高，可降低检测级别；用户在不同设备上进行同一账号的猜测密码操作，也可通过设备标识判断。设备指纹采集常见技术如下图所示：基于身份与访问控制的网络勒索综述与防御指南33实际使用中，可结合多种设备指纹技术，优先采用精准的，确保设备指纹采集的准确性和平衡用户体验。单点协议单点协议用于防护黑

67、客绕过 IAM 平台直接登录应用系统，或攻破应用系统后攻击 IAM 系统。OAuth2.0 协议的授权码易被重定向请求截获，黑客可通过授权码获取 token 和用户信息。通过单点协议接口采集调用数据，如来源 IP、会话信息、Token 信息等，进行画像分析，阻断非法请求，增强协议安全性。应用系统被攻破后，token 票据易泄露，黑客可通过泄露的票据获取用户敏感信息。OIDC 协议中的 JWT 票据易伪造，导致攻击。通过分析票据和接口请求的画像，识别非法使用票据的行为，进行攻击阻断。技术类别描述准确度注意事项终端安全软件根据设备硬件信息计算高需安装插件或软件浏览器canvasAPI读取屏幕分辨率

68、和硬件信息尚可更换浏览器后设备指纹可能会变化浏览器cookie/storage利用本地数据随机生成指标并加密高更换浏览器或清理浏览器数据后可能产生多个标识?A?登录?多?可?应用特定主?重要应用单点?认证邮箱?假?业务?Ra?i?服务应用?企业员工?身份认证登录?a?t?2.0服务?AS 服务SA?服务?I?服务?服务?A 服务?单?服务内?主?软件SS?认证?成服务单点协议应用?件认证协议150+SSOSSOSSOSSO?认证?A?主?邮箱?假?R?业务?程SA?A?服务?acac?服务下篇|基于访问控制的网络勒索应对策略34用户访问行为分析通过采集点击和访问数据，识别用户访问习惯。如用户习

69、惯早上 10 点查看邮件，下午 4 点处理待办事项。采集一段时间后可识别用户访问模式。当用户访问模式异常，如中午 12 点访问邮箱，UEBA 平台可识别异常访问，提示用户进行二次认证。如果认证通过，可通知用户账号可能被盗用。UEBA平台识别异常行为后，可与IAM平台集成进行处理，如告警通知相关人员，阻止用户访问会话并锁定账号。异常数据和访问数据可送入 SIEM 平台，收集安全日志数据，进行分析和报告，通过与安全防护系统联动，阻止检测到的攻击。采集和处理登录访问行为数据，是实现身份数据安全的重要手段。通过多种数据的采集和分析，可识别和发现多种身份攻击行为。安全系统集成进一步增强身份数据的安全性，

70、预防身份盗窃、恶意登录和账户泄露等安全威胁，为用户数据和隐私提供全面保障。因此，这些措施已成为现代互联网安全的重要趋势。用户访问行为?监?权限?用?权访问身份?用钓鱼攻击?e?应用?攻击A?攻击.异地登录、异常位移；访问?化：异常设备登陆、非常用设备登录；网络?化：未知IP访问、指定IP白名单范围；I?化：个人常用IP、IP白名单、IP黑?名单；?用?段访问：个人常用时段、时段黑白名单；?R?基于AI算法模型，结合用户行为习惯及上下文环境分析用户潜在风险等级。访问?点?：?告警认证?访问?基于身份与访问控制的网络勒索综述与防御指南35访问控制是核心数字身份治理的首要任务是建立科学合理的身份治理

71、机制，这有助于企业对用户权限进行全面、精准、可控的管理。其目标是确保用户身份的真实性和有效性，保障数据的安全性和保密性，防范恶意行为，保护企业利益。在完成身份治理基础工作后，还需进一步加强访问控制，通过有效的身份认证和权限管理，保障企业业务正常运转，提高数据的安全性和可信度，为企业发展提供强有力的支持。根据 2024 年最新权威报告，网络犯罪分子正在设法规避或利用身份验证、核实和认证过程中的弱点进行欺诈等非法活动，利用用户身份信息攻击全球企业，身份信息相关的网络攻击激增了 71%。面对这一现状，企业应如何加强身份认证和权限管理？身份认证身份认证，又称“鉴权”，是通过技术手段确认用户身份的过程，

72、旨在验证用户所声称的身份是否属实。其基本原理是通过验证被认证对象的属性来确认其真实性和有效性。目前，身份认证主要通过三种方式进行，也可以综合利用这三种方式来进行多因素认证：常见的身份认证方法包括：认证类型描述示例知识型认证基于用户所知的信息密码、安全问题答案拥有型认证基于用户持有的物品智能卡、令牌生物特征认证基于用户的独特生物特征指纹、面部识别认证方法描述示例口令认证使用静态或动态口令账号密码、一次性密码智能卡和令牌内置芯片保存用户数据智能卡、安全令牌数字证书利用第三方证明用户身份SSL 证书生物特征认证基于人体独特的生物特征指纹、面部识别组合因子认证结合多种认证技术的多因素认证使用口令与智能

73、卡组合认证2024 年，网络犯罪分子正在想方设法规避或利用身份验证、核实和认证过程中的弱点来进行欺诈等非法活动，利用身份信息形成的网络攻击激增 71%。下篇|基于访问控制的网络勒索应对策略36企业应确保用户除用户名和密码外，还能通过其他方式证明身份，以增强安全性。例如，采用生物识别或基于智能手机的无密码身份认证。这种方式不仅提高了安全性，还增强了用户便利性。目前，国内外政府和企业组织正积极实施多因素身份认证（MFA）以改善身份验证安全。虽然任何一种认证方式都并非万无一失，但多重保障能显著降低安全风险。随着派拉软件在产品技术和 AI 技术方面的持续研究，身份认证技术和服务能力不断升级。派拉软件提

74、出了基于风险的智能强认证解决方案，以应对合成身份欺诈和深度伪造等安全挑战。该方案基于用户实体行为分析（UEBA）能力，结合 AI 大模型与大数据、算法算力等技术，以用户行为为依据进行安全认证，并对常见身份安全场景进行监测设置：安全场景描述检测逻辑与方法机器人访问检测防止机器人访问通过 15 大维度进行检测批量注册和虚假注册防护解决批量注册和虚假注册的风险通过 5 种检测逻辑进行防护多种安全场景检测撞库、非常态登录、代理登录、身份凭证盗取、异常违规操作等提供近实时、实时和离线检测方法；管理员可开启对应规则二次确认打击?身份?操作?行为?位置信息时间信息浏览器版本浏览器插件屏幕分辨率网络提供商浏览

75、器?好浏览器行为操作系统信息CPU信息应用安全列表正版化验证网络连接信息 设备整机信息 外设接口信息 移动介质信息登陆频率登陆时间操作行为访问历史停留时长机器人识别防控敏感信息泄露设备唯一性防空敏感权限使用欺诈检测账号风险检测防范?密丢失被盗异常操作检测访问?好行为画像操作时间段身份盗用身份伪造风险识别鼠标点击离散度基于密度的?类?法风险评估模型四分位?稳健统计基于四分?的离?法风险评估模型实体异常登录时间检测基于核密度?计?法风险评估模型异常事件预期基线基于?模型对异常序列进行检测评分机制权重分配风险评分二次认证权限回收风险打击异常访问动态优化全程审计注册登陆应用系统业务功能阻止?用告警口令

76、OTP二维码认证指纹FaceID应用管理员?策?用户画像用户级别用户权限账号信息用户类型身份属性用户组织身份习惯基于身份与访问控制的网络勒索综述与防御指南37随着移动边缘设备的增长和机器身份的增加，基于区块链的去中心化认证技术将成为下一热点。派拉软件正在探索如何让用户控制自己的数字身份，在保护身份安全的同时，加强个人隐私保护。权限治理权限治理需要企业梳理各岗位的角色和岗位角色模型，并借助常见的权限模型进行权限管控，再通过权限梳理、权限合规检查、数字空间权限映射三大关键步骤进行完整的权限治理工作。权限模型在实际项目中，通常需要混合使用几种权限模型。常见的权限模型包括 ACL、ABAC、RBAC。

77、实际应用中，以 RBAC 为主，覆盖大部分应用需求和场景；ABAC 用于特殊应用系统的权限控制；ACL 用于临时权限分配和授权。通过综合应用这些模型，可以实现全面、灵活、高效的权限治理。下面详细介绍这 3 大模型：内?工分?司?工供应?方访客?IAM?应?基?权限?件A?I接?数据?权限治理账号应用账号账号新增 账号删除账号查?角色新增角色删除角色查?单访问功能访问API访问数据访问数据访问应用角色应用资源应用组账号角色角色资源组织岗位配置策略 多因素申请?定分配权限管理模块?解权限下发权限决策、数据过?权限回收风险运营 UEBA日志报表合规身份管理认证管理权限管理分析管理?计管理权限合规?计

78、?件权限互斥权限合规权限审计权限?关?A?I接?账号接?岗位新增 岗位删除岗位查?接?接?任务分配任务终止任务查?读取数据库表 配置数据库表 删除数据库表任务接?资?接?数据?用接?下篇|基于访问控制的网络勒索应对策略38RBACRBAC（Role-BasedAccessControl）是最常见的权限模型，其基本思想是通过角色集合在用户和权限之间建立关联。每种角色对应一组权限，用户被分配角色后，便拥有该角色的所有操作权限。RBAC 简化了权限管理，减少系统开销。RBAC 是一种有效的权限管理模型，尤其适用于相对稳定的组织结构和权限需求。在更动态和复杂的环境中，可以考虑其他访问控制模型如 ABA

79、C和 ACL 来补充 RBAC 的不足。ABACABAC（Attribute-BasedAccessControl）模型是基于用户、资源和环境的属性来做出访问决策。这意味着访问权限的授予取决于各种属性，如用户的角色、位置、时间等。ABAC 模型在灵活性和精细的访问控制方面具有优势，特别适用于动态环境和复杂权限需求的场景。然而，它可能需要更多的管理和配置工作，而且可能引入一些性能开销。选择 RBAC 还是 ABAC 取决于组织的具体需求和环境。ACLACL（AccessControlList）是一种基于列表的访问控制模型，通过列出每个资源和用户或角色之间的权限来管理访问。每个资源都有一个 ACL

80、，包含可访问该资源的用户或角色的列表。ACL在小规模系统或需要简单直接的访问控制时非常有用，但在大规模、动态或复杂系统中可能不够灵活和难以维护。以上三大权限模型都存在各自的优点与缺点，详细对比内容如下图所示：访问控制模型优点缺点ACL1.简单直观：易于理解和实施。1.缺乏灵活性：基于静态列表，需手动更新。2.高效：访问控制决策直接且高效。2.维护困难：在大规模系统中管理复杂。3.适用于小规模系统：适合快速实施。3.不适用于复杂策略：不适合多属性的复杂访问控制需求。ABAC 1.精细的访问控制：多属性准确授权。1.复杂性：配置和管理涉及多属性和策略，维护需更多工作。2.动态性：适应属性变化的动态

81、环境。2.性能开销：决策过程复杂，可能导致较大性能开销。3.上下文感知：考虑时间、位置等信息。3.策略管理：需要技术和资源来管理属性和策略。4.灵活性：易于扩展和调整，不受角色限制。RBAC1.灵活性：根据角色变化灵活管理权限。1.角色定义刚性：难以适应角色频繁变化。2.简化管理：权限集中在角色上，提高维护性。2.复杂性：大型组织中角色和权限管理复杂。3.安全性：确保访问仅限必需资源。3.角色爆炸：需创建多角色以满足不同权限需求。4.缺乏上下文：不考虑用户上下文信息。5.难以应对动态环境：需要频繁更新和维护。010203基于身份与访问控制的网络勒索综述与防御指南39权限治理权限梳理在权限治理全

82、过程中，权限梳理是至关重要的一环，也是耗时耗力的一环。通过收集现有权限数据，这些数据通常存储在各个应用系统中。身份数据不清晰可能会影响后续权限数据的梳理，因此必须先进行身份治理。权限梳理详细步骤与关键内容如下图所示：权限合规检查权限数据统一治理后，进行定期合规检查，确保权限数据的合规性，帮助组织降低安全风险，满足法规要求，提高数据和系统的安全性。合规检查项内容如下图所示：数字空间权限映射步骤活动描述策略收集权限数据身份治理确保身份数据清晰准确采用清晰的身份数据管理系统数据收集收集存储在各应用系统的权限数据大数据量处理，多自定义项管理使用自动化工具采用权限治理系统提供的功能和接口避免手动梳理的困

83、难和风险集中管理将数据回收到身份认证平台支持 RBAC 和 ACL 等模型管理和分析权限数据数据分析对用户权限数据进行岗位、组织维度的分析总结每个岗位和组织所需权限定义权限模型在 IAM 系统中定义岗位和组织的权限模型确保权限模型准确反映实际需求算法辅助使用算法和统计分析工具快速梳理权限模型提高分析效率和准确性沟通协调与企业内部管理团队沟通确保权限定义合理且符合业务需求权限规则管理定义互斥规则防止权限滥用如资金审批与支付权限互斥定义依赖规则确保权限配置合理、安全如某些管理权限依赖于更高级别的审核权限检查项内容权限审计日志记录权限分配、撤销、访问等操作，包含操作人、操作时间、操作对象等信息最小权

84、限原则（PoLP）用户或实体仅被授予完成工作所需的最低权限权限变更和撤销程序管理权限的变更和撤销，确保权限一致性、安全性和合规性多因素认证(MFA)提供多个身份验证因素，增强身份验证安全性权限分配审计流程审计和监控权限分配，确保权限管理和访问控制机制有效执行下篇|基于访问控制的网络勒索应对策略40数字空间权限映射最后，实现物理空间和数字空间权限映射，确保一致的访问控制，减少风险，提高合规性，简化用户体验，有效监控和管理资源。实现步骤如下：权限治理是确保系统安全和合规的关键，通过科学合理的权限梳理和合规检查，可以有效降低安全风险，提高系统可控性和数据安全性。在数字化时代，实现物理空间和数字空间的

85、权限映射，更是保护企业资产和数据安全的关键策略。特权访问管理在 CyberArk 实验室的一项研究中，发现删除本地管理员权限并实施应用程序控制策略，可以 100%阻止勒索软件加密文件。基于这一发现，CyberArk 团队重申了删除本地管理员权限和控制应用程序的重要性。然而，在完全取消用户的本地管理员权限之前，组织应评估环境，以了解这一举措可能带来的生产效率挑战。一些业务应用程序和任务需要管理员权限才能正常运行，立即删除这些权限可能会导致生产力下降。因此，组织应实施严格的访问控制和最小权限原则，确保员工仅拥有履行职责所需的访问权限，并定期审查和审核用户权限，以防止滥用并最大限度地减少内部威胁的潜

86、在损害。步骤内容1、明确定义权限需求确定物理和数字资源的权限需求，基于用户身份和业务需求2、建立身份验证和访问控制系统验证用户身份，制定授权策略，维护资源完整性和保密性3、权限分配与控制基于角色、职位、部门等分配权限，遵循最小权限原则，实施 MFA4、建立权限映射规则确保物理和数字权限对应，建立监控和审计机制基于身份与访问控制的网络勒索综述与防御指南41什么是特权访问控制特权访问控制是一种保护组织内部敏感信息和资源的安全策略。通过授权访问和限制访问，控制用户行为，确保他们只能访问需要的信息和资源。特权访问控制的意义在于防止未经授权的访问，确保数据和资源的机密性和完整性，保护敏感信息和资源，减少

87、信息泄露和资源损失的风险。其访问控制具体流程如下图所示：步骤内容账号风险分析评估和分析账号的安全性，确定风险等级和管理策略。常见风险提示包括僵户账号、孤儿账号、长期未改密、用户新增、删除、变更、账号被锁定、长期未登录账号突然激活等账号定期改密定期修改账号密码，确保符合强密码规则，满足法律法规要求账号访问话管理管理用户访问会话，如访问时间、访问目的等，避免暴露真实访问账号密码危险操作阻断阻断危险操作，如删除或修改系统关键文件，确保系统完整性和稳定性会话协同管理某些操作需要两人确认，如外包人员操作需内部管理员陪同监督本地访问工具管理支持使用本地工具访问特权资源，如 putty、xshell 等，优

88、化操作体验，同时进行字符和视频审计内嵌账号管理管理中间件、DevOps、RPA 等系统账号，支持定期改密和不停机服务客户端操作视频审计对客户端操作进行视频审计，记录操作过程，方便审计和防止篡改用户导入/同步账号发现账号导入/同步配置推送堡?机对接密码导出三权分立风险分析定期密码API获取会话访问软/硬加密安全策略账号审查定期验密SDK获取访问控制密码备份.生命周期管理JBDC链接?访问审计.IAMSDPUEBAITDRCQCMDBSOCSIEMXDR用户管理?展?动账号扫描账号管理账号?访问管理?险箱?特权访问管理暴露面收?账号风险发现最小化权限定期改密高危操作管控安全合规审计场景安全策略可视

89、化图表容器化部?国产化信创支持操作系统/国产数据库/国产网络/安全设备应用系统云平台IOT设备资产下篇|基于访问控制的网络勒索应对策略42派拉软件特权访问管理平台帮助企业主动发现基础设施资源的账号分布，识别账号风险，管理账号使用与访问控制，构建特权账号统一管理、统一调度的平台，实现特权账号安全管理与全局监控。其主要功能如下图所示：未来，正如 Gartner 预测，下一代 PAM 解决方案可能会整合更高级的功能，如行为分析和预测风险评分，从而进一步提高特权账户的安全性。随着 AI 技术的发展，派拉软件特权访问管理平台将持续升级，整合更多新技术能力，进一步提高特权账号与访问的安全性。派拉软件特权访

90、问管理平台功能内容账号统管自动化扫描发现所有资产及其账号，识别特权账号，梳理使用方、权限范围、所属关系和风险情况，形成特权账号清单。风险分析识别和分析风险账号，如僵户账号、幽灵账号、无效账号、长期未改密账号和弱密码账号，集成200W+弱密码库，实时验证。用户管理将人员与特权账号分离，赋予唯一身份，增强身份认证，确保访问源的可信。密码管理提供密码集中管理，设置不同密码更新流程与策略，实现自动、集中、定期修改系统账号密码。权限管理基于最小化权限原则，进行权限分配，实时监控会话并阻断异常操作，规范化、自动化管理权限全生命周期。安全审计保留特权账号创建、分配、变更、删除的全过程信息，提供多样化会话监控

91、与安全审计，实时检测和响应异常活动或潜在威胁。基于身份与访问控制的网络勒索综述与防御指南43AI 大模型应用根据 IBM 数据泄露的代价报告，与未使用人工智能和自动化工具的组织相比，全面部署人工智能和自动化工具的组织在每次数据泄露时可减少 305 万美元的损失，即减少高达 65.2%的漏洞损失。人工智能（AI）作为模拟人类智能的技术，已经成为大势所趋。2023 年，Chat-GPT 的出现标志着人工智能发展迈入关键时期。生成式人工智能的新技术和新应用不断打破人们对人工智能的固有认知。当人工智能能够通过人类最严格的考试、同时执行多种工作命令、具备一定的推理规划能力、生成代码、生成以假乱真的照片并

92、模仿人类聊天而不被发现时，AI 正在代替人类处理越来越多的任务。在身份与访问控制方面，AI 的应用如何更好地应对网络勒索攻击？在数字世界的入口，AI 通过全方位扫描和分析身份及行为，利用无监督学习技术，识别用户的特定行为（如登录时间、习惯、设备、生物特征等），判断合法账号是否被非法使用。同时，结合图表征学习与聚类算法，AI 可以精准识别并打击黑产用户账号。AI 基于海量数据形成个人画像，在用户进入数字世界入口时，设计出符合个人习惯和特性的独特身份认证方式，实现基于多因素的自适应身份验证，甚至是无感化认证。在提升认证准确性和安全性的同时，也极大地改善了用户的登录体验。智能自适应身份认证下篇|基于

93、访问控制的网络勒索应对策略44在数字世界中，用户根据工作需求和权限访问资源。对于新用户，如果没有管理员授权，他们将难以操作；而权限设置过大则会带来滥用风险。中大型企业的应用系统中权限项可能达到百万级，手动配置权限既费时又容易出错。AI 凭借强大的数据收集和深度学习分析能力，结合生成式算法，可以快速学习业务系统的细粒度权限项使用知识，为新用户智能推荐所需的最小权限。即使在职责或人事变动情况下，AI 也能即时调整并智能推荐相应权限，减少人工干预的错误和滞后性，提升系统访问控制的灵活性、精确性和安全性。智能风险监控从进入数字世界前到全程操作过程中，AI 持续监测用户行为。针对用户的有意识或无意识的风

94、险操作，AI 通过统计规则的正态分布规律进行监测，及时识别机器人操作或恶意操作。通过广泛的数据收集与深度学习，结合不同场景分析用户和实体行为，AI 能准确检测用户操作行为的细微变化，配合专家知识库，分析潜在的威胁行为（如异常登录尝试、大规模数据下载等），并及时、自动化地做出反应，有效防止核心数据泄漏、违规操作和账号盗用，为安全事件调查提供精准依据。结合 IAM 的四大基础能力身份、认证、访问权限管控和风险审计，AI 在用户进入数字世界的全流程中提供了强大的技术支持。企业可以根据自身在身份和访问控制管理的薄弱环节，尝试将 AI 技术融入其中，以提升整体安全水平。然而，我们也不能忽视 AI 可能带

95、来的潜在安全威胁。例如，AI 模型本身可能存在漏洞，正如 ChatGPT 发布后爆出的各种安全事件所证明的；新技术在安全领域的应用既能赋能防御，也可能被恶意利用以增强攻击能力；新技术的缺陷可能对其他领域造成影响，导致衍生安全问题。此外，AI 技术依赖大量用户数据进行学习，数据滥用和隐私问题可能成为安全隐患。智能动态权限管控基于身份与访问控制的网络勒索综述与防御指南45结束语基于上述报告研究分析，我们已然认识到数字化时代，企业面临的网络安全威胁日益严峻，特别是网络勒索攻击呈现出更加复杂和频繁的趋势。勒索软件攻击不仅导致数据丢失和经济损失，还可能严重影响企业的声誉和运营能力。随着攻击者手段的不断升

96、级，企业亟需采取更为先进和全面的防御策略，尤其是基于身份与访问控制的防御策略，显得尤为迫切和必要。希望本篇白皮书能够为企业在应对网络勒索攻击时提供有价值的参考，助力构建更为稳固的网络安全防线。未来，我们将继续关注并探索更多创新技术，以应对不断变化的网络安全威胁，共同推动数字化时代的安全发展。网络安全始终是动态的，没有百分百的安全防护解决方案。新技术的不断涌现是网络空间安全具有动态特征的主要因素之一。我们必须认识到，解决一个安全问题后，新的安全问题还会不断出现。因此，持续关注并应用AI 技术，提升安全防护能力，是企业面临的重要挑战和机遇。下篇|基于访问控制的网络勒索应对策略46关于派拉软件派拉软

97、件为企业组织提供覆盖零信任、API、IAM、PAM、数据安全等全产品，构建以“数字身份”为核心的数字化能力底座与安全基石，创造安全、高效、极致体验的数字世界！零信任|数字化安全新架构传统网络安全边界消失，以“身份”为中心的零信任安全架构成为主流。产品能力国内率先提出以“身份优先”构建零信任安全解决方案，聚焦云原生技术，结合 SDP、IAM、API、UEBA、PAM、数据访问控制管理等产品技术，打造端到端安全能力全面覆盖的一体化零信任解决方案。行业领先国内TOP数字身份安全原厂商权威认证国内唯一 IAM 同时收录5份 Gartner 权威报告持续深耕专注数字身份安全16年自主可控双研发中心&10

98、0+项自主知识产权资深团队600+行业专家和技术团队全国服务20+分子公司服务辐射全国客户认可2600+行业头部客户身份安全|守好数字世界第一道门80%网络安全攻击来源于身份攻击，85%的数据泄露涉及人的因素。产品能力专注数字身份安全 16 年，打造覆盖人员、设备、IOT、AI 等全域身份 OneID 管理，实现统一门户、身份管理、规则制定、单点登录、身份认证、权限管理、风险监测、安全审计、分析管理等身份安全管控。业务安全|做好 API 安全管控是前提Gartner 研究表明，超过 90%web 应用程序遭到的攻击来自 API。产品能力集 API 安全网关、API 生命周期管理、API 开发编

99、排、API 门户于一体的 API 管控平台，实现企业 API 自动发 现、API 规 划、API 设 计、API 实 施、API 测 试、API 发布、API 授权、API 审批等全生命周期安全管控。数据安全|企业安全防护的终极目标过去三年，17 个行业的数据泄露平均成本飙升 15%，达到 445 万美元，再创新高。产品能力提供 PAM、数据库访问管理平台、数据治理平台，结合零信任、IAM、API 等产品，实现数据全生命周期安全防护，保障数据合规、数据可用，避免数据未授权访问、数据泄露、数据篡改等安全。全国服务热线：400-6655-745上 海上海市浦东新区高科东路777 弄 8 号阳光天地

100、商业中心写字楼10层北 京北京市海淀区农大南路 1 号硅谷亮城 5 号楼 607-608广 州广东省广州市黄埔区科学大道 48 号绿地中央广场 E 栋 1406-1407深 圳广东省深圳市南山区科兴科学园 A2 栋 9 层杭 州浙江省杭州市拱墅区祥园路 108 号 4 号楼 8 楼济 南山东省自由贸易试验区济南片区工业南路 61 号山钢新天地广场 8-1013武 汉湖北省武汉市江汉区江兴路8号中国电子数字产业总部示范区一期5栋4层403、404成 都四川省成都市武侯区天府大道北段 28 号茂业中心 B 座 3301长 春吉林省长春市南关区南环城路 1655 号中东财富中心10层 1011B、1012合 肥安徽省合肥市合肥经济技术开发区繁华大道 12167 号中环购物中心一单元 1822西 安陕西省西安市高新区科技三路泰华金贸国际 10 号楼 2601派拉软件官网派拉软件订阅号官方网址：企业邮箱：