大多数 ransomware playbooks 未涉及机器凭证,攻击者对此了如指掌。
I’m happy to translate the article for you, but I’ll need the text you’d like translated. Could you please paste the content you want converted to Simplified Chinese?
勒索软件威胁与防御之间的差距正在扩大
Ivanti的 2026 State of Cybersecurity Report 发现,针对该公司跟踪的每个威胁类别,准备度差距平均每年扩大 10 分。
- 勒索软件 的差距最大:63 % 的安全专业人员将其评为高或关键威胁,但只有 30 % 表示他们“非常准备”来防御——差距为 33 点,高于一年前的 29 点。
CyberArk的 2025 Identity Security Landscape 给出了问题的数字:
- 全球组织中,每位人类对应 82 个机器身份。
- 其中 42 % 的机器身份拥有特权或敏感访问权限。
最权威的应急手册框架也有同样的盲点
Gartner 的勒索软件防御指南(2024 年4月的研究报告《如何为勒索软件攻击做准备》)是大多数企业安全团队在制定事件响应流程时参考的标准。
- 报告 指出在遏制阶段需要重置“受影响的用户/主机凭证”。
- 随附的 Ransomware Playbook Toolkit 引导团队完成四个阶段:遏制、分析、修复和恢复。
- 凭证重置步骤 指示团队确保所有受影响的 用户和设备账户 都被重置。
缺失了什么?
- 服务账户
- API 密钥、令牌和证书
最广泛使用的手册框架仅止步于 人类和设备凭证。遵循该框架的组织会在不自知的情况下继承这一盲点。
同一份研究报告指出了问题,却没有将其与解决方案关联起来:
“糟糕的身份与访问管理(IAM)实践仍是勒索软件攻击的主要起点,” Gartner 警告道。
“先前被泄露的凭证被用于通过初始访问经纪人和暗网数据转储获取访问权限。”
在 恢复 部分,指南明确指出:
“更新或删除受损的凭证至关重要,因为如果不执行此步骤,攻击者将重新获得入口。”
机器身份即 IAM。受损的服务账户也是凭证。但手册的遏制程序既未涉及机器身份,也未涉及服务账户。
Gartner 用少有的措辞强调了紧迫性:
“勒索软件不同于其他任何安全事件。它让受影响的组织进入倒计时。决策过程的任何延迟都会带来额外风险。”
同样的指南强调 恢复成本可能高达勒索金的 10 倍,并且 在超过 50% 的案件中,勒索软件在获得初始访问权限后一天内即被部署。时间已经在流逝,但遏制程序并未匹配这种紧迫感——尤其是当增长最快的凭证类别被忽视时。
准备不足的缺口比任何单一调查更深
Ivanti的报告跟踪每个主要威胁类别的准备差距:勒索软件、网络钓鱼、软件漏洞、API 相关漏洞、供应链攻击,甚至加密不足。每一项都在逐年扩大。
“虽然防御者对 AI 在网络安全中的前景持乐观态度,Ivanti 的调查结果也显示,公司在应对各种威胁的准备程度上正日益落后,” Daniel Spicer,Ivanti 首席安全官 说。
“这就是我所说的 ‘网络安全准备不足缺口’,一种在组织防御其数据、人员和网络免受不断演变的威胁环境影响的能力上,年复一年持续扩大的不平衡。”
行业特定发现(CrowdStrike 2025 勒索软件状态调查)
| 行业 | % “非常充分准备” | % 24 小时内恢复 | % 重大中断 |
|---|---|---|---|
| 制造业 | 12 % | 12 % | 40 % |
| 公共部门 | — | 12 % | — |
- 在 所有行业 中,只有 38 % 的遭受勒索软件攻击的组织 修复了导致攻击者入侵的具体问题。其余组织仅投入一般安全改进,却未封堵实际的入口点。
- 54 % 的组织表示,如果今天遭受勒索软件攻击(2026 年报告),他们会——或可能会——支付赎金,尽管 FBI 建议不要支付。这种支付意愿反映出根本缺乏遏制手段,正是 机器身份程序 本可以提供的。
Source: …
机器身份剧本的不足之处
五个遏制步骤定义了当今大多数勒索软件响应流程。每一步都缺少机器身份的考虑。
1. 凭证重置并非为机器设计
在事件发生后为所有员工重置密码是标准做法,但 这并不能阻止通过受损的服务账户进行横向移动。Gartner 自己的剧本模板清晰地展示了这一盲点。
勒索软件剧本示例 – 遏制表(凭证重置步骤)
1. Force logout of all affected user accounts via Active Directory.
2. Force password change on all affected user accounts via Active Directory.
3. Reset the device account via Active Directory.三个步骤,全部是 Active Directory,零非人工凭证。没有服务账户、没有 API 密钥、没有令牌、没有证书。
机器凭证需要它们自己的指挥链。
2. 没有人在事件前盘点机器身份
你无法重置你根本不知道存在的凭证。服务账户、API 密钥和令牌需要 在事件前就映射好所有权分配。在 breach 期间才发现它们会耗费数天时间。
- 只有 51 % 的组织拥有 网络安全暴露评分(Ivanti),这意味着近一半的组织如果明天被要求向董事会说明机器身份暴露情况,根本说不出来。
- 尽管 64 % 的组织在进行暴露管理投资,但只有 27 % 的组织将其 风险暴露评估 评级为“优秀”。
投资与执行之间的差距正是机器身份消失的地方。
3. 网络隔离流程忽视机器身份流量
(原文内容已截断。)
要点
最常被引用的勒索软件应急手册 忽视机器身份,留下攻击者可利用的关键盲点。要弥补 网络安全准备不足,需要:
- 全面清点 所有机器身份(服务账户、API 密钥、令牌、证书)。
- 在遏制阶段为非人类凭证 专门设置重置/轮换流程。
- 将 机器身份控制 融入勒索软件响应生命周期的每个阶段(遏制、分析、修复、恢复)。
只有将这些步骤纳入手册,组织才能真正缩小准备差距,降低勒索软件攻击的高成本、时间敏感性影响。
机器身份不受网络边界约束
将机器从网络中拔除并不会撤销它向下游系统颁发的 API 密钥。仅在网络边界止步的遏制假设信任受限于拓扑结构,但 机器身份跨越该边界进行身份验证。
- Gartner 警告称,攻击者可能花费数天至数月的时间横向渗透,收集凭证以实现持久化,然后再部署勒索软件。
- 在此“渗透”阶段,服务账户和 API 令牌 是最容易被收集且不会触发警报的凭证。
- CrowdStrike 报告称,76 % 的组织担心勒索软件通过 SMB 网络共享从未受管理的主机传播。
安全领袖需要: 绘制出哪些系统信任每个机器身份,以便他们能够 在整个链路上撤销访问权限,而不仅仅是受损的终端。
检测逻辑并非为机器行为而设计
异常的机器身份行为不会像受损的用户账户那样触发警报。
- 异常的 API 调用量
- 令牌在自动化窗口之外使用
- 服务账户从新地点进行身份验证
这些都需要大多数 SOC 尚未编写的检测规则。
- CrowdStrike 调查: 85 % 的安全团队表示传统检测方法无法跟上现代威胁的速度。
- 只有 53 % 实施了 AI 驱动的威胁检测。
结果: 能够捕捉机器身份滥用的检测逻辑在大多数环境中 几乎不存在。
过期的服务账户仍是最容易的入口点
- Gartner 建议对“特权用户,例如数据库和基础设施管理员以及服务账户”实施强身份验证,但该建议被放在 prevention(预防)章节,而不是在活动事件中需要的 containment(遏制)手册中。
- 孤儿账户审计和轮换计划应属于 pre‑incident preparation(事前准备),而不是事后泄露时的紧急抢救。
经济形势使此事变得紧迫
Agentic AI 将放大问题
- 87 % 的安全专业人员表示,将 Agentic AI 融入是优先事项。
- 77 % 的人对允许自主 AI 在没有人工监督的情况下行动感到满意(Ivanti 报告)。
- 只有 55 % 使用正式的防护措施。
每个自主代理都会创建 新的机器身份,这些身份进行身份验证、做出决策并独立行动。如果组织今天无法治理机器身份,未来将面临 数量级的风险增加。
勒索软件恢复成本
- Gartner 估计,总恢复成本是勒索金额的 10 倍。
- CrowdStrike:平均勒索软件停机成本 = 170 万美元 每起事件(公共部门 = 250 万美元)。
- 93 % 的付费组织仍然被窃取数据;83 % 再次受到攻击。
- 接近 40 % 无法从备份中完全恢复数据。
对手组织现在通过未受管理的系统远程加密 SMB 共享上的文件,且从不将勒索软件二进制文件传输到受管理的终端。
领导者现在应该做的事
- 建立机器身份清单 并保持最新。
- 创建检测规则 用于异常机器行为(API 量激增、非工作时间使用、新地点)。
- 制定遏制程序,撤销整个身份链的信任,而不仅仅是受损主机。
- 将这些控制措施整合到作业手册 中,并在桌面演练中进行测试。
如果这些补充在下一次桌面演练中经受住考验,它们在真实事件中更有可能发挥作用——弥补攻击者今天利用的漏洞,并使组织能够管理明日到来的自主身份。