Pansin note

切换主题

全球勒索软件威胁深度分析与战略应对(2025)

字数
8229 字
阅读时间
32 分钟

1. 引言:警钟长鸣——勒索软件已成全球商业“流行病”

1.1. 《经济学人》视角下的新常态

正如《经济学人》对近期捷豹路虎(JLR)、玛莎百货(M&S)等重大事件的报道所揭示的,勒索软件已不再是单纯的技术问题,而是演变为足以瘫痪全球供应链、蒸发巨额市值的严峻商业和经济风险。

2025年见证了勒索软件攻击的爆炸性增长,仅2月份的攻击数量就同比激增126%。这一趋势表明,勒索软件攻击的规模、复杂性和破坏力达到了前所未有的高度,勒索软件已成为一种高度普遍且破坏力惊人的“商业流行病”,任何组织都可能成为下一个目标。

1.2. 威胁演变的核心特征

现代勒索软件攻击已进化为高度复杂和多维度的威胁模式:

  • 双重勒索(Double Extortion):攻击者不仅加密企业数据,还窃取数据并威胁公开泄露,以此向受害者施加双重压力,逼迫其支付赎金。
  • 供应链攻击:攻击不再局限于单一目标,而是通过渗透第三方服务商(如Salesforce事件中涉及的Salesloft)发起攻击,利用信任关系制造连锁反应,扩大攻击范围和影响。
  • 勒索软件即服务(RaaS):网络犯罪的门槛急剧降低。专业的黑客团伙开发并出租勒索软件工具,使得技术能力较弱的犯罪分子也能发起大规模攻击,导致攻击频率和数量显著增加。
  • AI赋能攻击:生成式AI正被攻击者用于制作高度逼真和个性化的钓鱼邮件,甚至模仿高管声音进行语音钓鱼(Vishing),极大地提高了社会工程攻击的成功率。

攻击者不再仅仅是利用软件漏洞,他们正娴熟地利用技术缺陷、人性的弱点和组织流程的空白,发起多维度、复合式的攻击。面对这一“新常态”,企业必须摒弃“银弹”思维,转向构建一个更具韧性的整体防御体系。

本报告旨在通过引入并详述**“技术-人-组织”(Technology-People-Organization, TPO)三位一体的防御模型**,深入剖析现代勒索软件的攻击模式,并为企业提供一套体系化、可落地的解决方案,从而在与勒索软件的持久战中掌握主动。

TPO三位一体防御模型

TPO三位一体防御模型旨在将网络安全视为一个由三个核心支柱支撑的有机整体:

  • 技术 (Technology): 构成防御的硬实力,是检测、预防和响应攻击的工具与平台。
  • 人 (People): 网络安全的第一道防线,其安全意识和行为习惯直接决定了技术防御的有效性。
  • 组织 (Organization): 提供战略指导、流程规范和治理框架,是连接技术与人的制度基石。

2. 核心案例深度剖析:四大事件的警示

通过对2025年四起标志性网络攻击事件的结构化分析,我们可以清晰地看到现代勒索攻击的关键模式、破坏性后果以及企业在应对中的得失。

勒索软件攻击生命周期

维度捷豹路虎 (JLR)朝日啤酒 (Asahi)玛莎百货 (M&S)Salesforce (数据盗窃)
攻击时间2025年8月底 - 10月初2025年9月底 - 10月2025年2月入侵,4月攻击2024年底开始,2025年8月升级
攻击者Scattered Lapsus$ Hunters (与Scattered Spider关联)Qilin (麒麟) RaaS组织Scattered Spider (与DragonForce合作)Scattered Lapsus$ Hunters (融合多个团伙战术,如ShinyHunters)
攻击类型系统瘫痪型网络攻击,伴随数据盗窃双重勒索 (数据加密与泄露)双重勒索 (服务器加密与数据泄露)数据盗窃与勒索 (非加密,纯数据泄露威胁)
利用漏洞/路径- 第三方软件漏洞 (SAP Netweaver)
- 窃取的员工凭证		- 服务器漏洞 (具体未明)
- 未经授权的数据传输		- 社会工程 (人为错误)
- 窃取 NTDS.dit 文件获取密码哈希
- 部署DragonForce加密器		- 社会工程 (语音钓鱼)
- 供应链攻击:滥用第三方应用(Salesloft Drift)的OAuth令牌
过程与影响- 全球IT系统关闭,主要工厂停产超过37天
- 每日损失约1000辆汽车产量,影响全球供应链。
- 数据被盗,已通知英国信息专员办公室(ICO)。		- 订单、发货、客服系统瘫痪。
- 旗舰产品“Super Dry”啤酒短缺,需向零售商支付罚款。
- Qilin泄露27GB内部数据。		- 在线业务中断数月,支付系统失灵。
- 客户个人信息泄露。
- CEO承认源于“人为错误”。		- 影响谷歌、澳航、迪士尼等数百家知名企业。
- 攻击者声称窃取近10亿条记录。
- 澳航承认570万客户数据泄露。
最终结果- 经济损失预估**£5000万-£1.2亿**。
- 市值蒸发超过**£15亿**。
- 英国政府提供贷款担保以支持供应商。
- 10月初逐步复产。		- 运营严重受阻,被迫采用纸笔、电话等手动方式处理订单。
- 财务损失仍在评估中。
- 品牌声誉受损。		- 利润损失预计高达**£3亿**。
- 公司市值蒸发约**£10亿**。
- 拒绝支付赎金。		- Salesforce拒绝支付赎金
- 暴露了CRM生态系统和第三方集成的巨大风险。
- FBI介入并查封了部分泄露网站。

3. 勒索病毒风险发现与防范:构建纵深防御体系

既然攻击无孔不入,企业应如何从被动挨打转向主动防御?

答案在于构建一个集风险发现、技术加固和管理文化于一体的纵深防御体系。

全面的勒索软件防御框架

3.1. 风险识别:像攻击者一样思考

3.1.1全景解析:基于ATT&CK框架的勒索软件攻击生命周期

MITRE ATT&CK框架为我们提供了一种标准化的语言来描述和分析攻击者的行为。通过将勒索软件的复杂攻击链映射到此框架,我们可以清晰地洞察其完整的“杀伤链”,并识别出关键的防御和检测节点。

3.1.2 勒索软件攻击生命周期与MITRE ATT&CK战术对应关系

下图直观地展示了勒索软件攻击从初始入侵到最终造成影响的典型阶段,并将其与ATT&CK框架中的核心战术一一对应。

勒索软件攻击生命周期与MITRE ATT&CK战术对应关系

3.1.3 勒索软件攻击战术与技术深度剖析

下表结合2025年重大案例(如JLR、Asahi、M&S、Salesforce事件)及典型勒索软件家族(如Qilin、Scattered Spider、DragonForce),详细剖析了在各个攻击阶段所使用的具体ATT&CK技术。

ATT&CK 战术 (Tactic)战术目标常用技术 (Technique) & 子技术 (Sub-technique)典型案例与行为分析
TA0001: 初始访问 (Initial Access)获取进入企业网络的立足点T1566: 钓鱼攻击 (Phishing)
T1190: 利用面向公众应用的漏洞 (Exploit Public-Facing Application)
T1078: 有效账户 (Valid Accounts)		- Salesforce 数据窃取事件: 攻击者(UNC6040)通过语音钓鱼(Vishing)等社会工程手段,诱骗员工授权恶意的OAuth应用,窃取访问令牌。
- JLR 攻击事件: 存在对暴露在外的SAP Netweaver设备(CVE-2025-31324)漏洞利用的猜测。
- M&S 攻击事件: "Scattered Spider"组织擅长利用社会工程、MFA疲劳轰炸和SIM卡交换来获取初始凭证。
TA0002: 执行 (Execution)在目标系统上运行恶意代码T1059: 命令与脚本解释器 (Command and Scripting Interpreter),特别是T1059.001: PowerShellT1059.003: Windows Command Shell- 通用勒索软件行为: 攻击者普遍使用PowerShell执行无文件攻击、下载后续载荷、禁用安全防护(如Black Basta关闭Windows Defender)。
TA0003: 持久化 (Persistence)维持对系统的长期访问权限T1547: 启动或登录时自动执行 (Boot or Logon Autostart Execution)
T1136: 创建账户 (Create Account)		- M&S 攻击事件: 攻击者在2025年2月首次入侵后,可能利用窃取的凭证在网络中潜伏了数月之久,直至4月发起最终攻击。
TA0004: 权限提升 (Privilege Escalation)从普通用户权限提升至管理员或系统权限T1484: 组策略修改 (Group Policy Modification)
T1055: 进程注入 (Process Injection)		- 通用勒索软件行为: 利用系统漏洞或滥用高权限进程(如lsass.exe)来获取更高权限,为禁用安全软件、删除备份等破坏性操作做准备。
TA0005: 防御规避 (Defense Evasion)绕过安全检测和防御机制T1562.001: 禁用或修改安全工具
T1490: 阻止系统恢复 (Inhibit System Recovery)
T1070: 指示器移除 (Indicator Removal)		- Akira, Ryuk 等: 普遍通过执行vssadmin.exe delete shadows /all /quiet命令删除卷影副本(VSS),阻止系统快速恢复。
- Akira 勒索软件: 创新地劫持网络摄像头以绕过安全监控,并在未受监控的Linux设备上作为跳板,加密网络文件。
- 通用勒索软件行为: 清除事件日志以掩盖其活动踪迹。
TA0006: 凭证访问 (Credential Access)窃取账户名和密码T1003: OS凭证转储 (OS Credential Dumping),特别是T1003.003: NTDS- M&S 攻击事件: 攻击者在2月份入侵后,成功窃取了包含域内所有账户密码哈希值的NTDS.dit文件,为其在网络中的横向移动提供了关键凭证。
TA0007: 发现 (Discovery)侦察目标环境,了解网络拓扑和高价值资产T1082: 系统信息发现 (System Information Discovery)
T1016: 系统网络连接发现 (System Network Connections Discovery)		- 通用勒索软件行为: 扫描网络以发现文件服务器、数据库、备份服务器和虚拟化平台(如VMware ESXi),为横向移动和数据收集做准备。
TA0008: 横向移动 (Lateral Movement)在网络内部从一台主机移动到另一台T1021: 远程服务 (Remote Services)
T1219: 远程支持软件 (Remote Support Software)		- M&S 攻击事件: 攻击者利用从NTDS.dit中获取的凭证,在内网中自由移动,最终部署DragonForce勒索软件到VMware ESXi主机。
TA0009: 收集 (Collection)搜集对攻击目标有价值的数据T1119: 自动收集 (Automated Collection)
T1560: 数据归档 (Archive Collected Data)		- Asahi 攻击事件: Qilin组织声称窃取了27GB的数据,包含财务文件、员工信息和机密合同,并公开部分截图作为威胁筹码。
- 双重勒索模式: 这是现代勒索攻击的核心环节,在加密前窃取敏感数据,作为后续公开泄露威胁的依据。
TA0011: 命令与控制 (C2)与受控系统建立通信渠道T1071: 应用层协议 (Application Layer Protocol),如HTTPS
T1105: 入侵工具传输 (Ingress Tool Transfer)		- 通用勒索软件行为: 利用Cobalt Strike等商业攻击框架,通过伪装成正常网络流量(如HTTPS)的信标(Beacon)与C2服务器进行隐蔽通信。
TA0010: 渗出 (Exfiltration)将窃取的数据传输出企业网络T1041: 通过C2通道渗出数据 (Exfiltration Over C2 Channel)
T1567: 通过备用协议渗出 (Exfiltration Over Alternative Protocol)		- Salesforce & Asahi 事件: 攻击者将被盗数据上传至其控制的云存储或服务器,为在暗网泄露数据或直接勒索做准备。
TA0040: 影响 (Impact)破坏、中断或摧毁系统与数据以达成勒索目的T1486: 数据加密以产生影响 (Data Encrypted for Impact)
T1489: 服务停止 (Service Stop)		- JLR & Asahi: 核心生产和订单系统被加密或关停,导致工厂停产、供应链中断,造成数亿英镑的直接和间接经济损失。
- M&S 攻击事件: DragonForce勒索软件被部署到ESXi主机,加密了大量虚拟机,导致在线业务和支付系统瘫痪数月。

3.2. 技术防范策略:加固数字堡垒

3.2.1通用技术防御体系

  • 实施零信任架构 (Zero Trust):核心思想是“从不信任,始终验证”。默认不信任网络内外的任何用户和设备,对所有访问请求进行严格的身份验证和授权。
  • 强化身份与访问管理 (IAM)
    • 强制推行多因素认证 (MFA),并对员工进行培训,以警惕和防范“MFA疲劳轰炸”等绕过手段。
    • 遵循最小权限原则,确保员工和系统账户只拥有完成其工作所必需的最小权限。
    • 保护NTDS.dit等关键凭据文件,防止攻击者通过窃取密码哈希值进行横向移动。
  • 端点检测与响应 (EDR/XDR):部署高级端点安全解决方案,利用行为分析来检测和阻止异常活动,例如Akira勒索软件通过劫持摄像头等非常规手段绕过传统防护的行为。
  • 数据备份与隔离:严格执行“3-2-1”备份规则(3个数据副本,2种不同存储介质,1个异地离线备份),并确保离线备份在物理或逻辑上完全隔离,以防被勒索软件一并加密。
  • 网络分段:将企业网络划分为多个隔离的区域,限制关键业务系统(IT)与生产运营网络(OT)之间的互联互通,从而在攻击发生时阻止威胁的横向移动。

3.2.2 基于ATT&CK的防御体系

理解攻击者的行为模式是构建有效防御的前提。防御策略应从被动响应转向主动狩猎,并针对攻击生命周期的每个阶段进行布防。

ATT&CK 战术风险发现方法主动防范策略
初始访问- 监控面向公众应用的异常登录和漏洞扫描。
- 分析邮件网关日志,识别钓鱼企图。
- 审计OAuth应用授权的风险和权限。		- 强化边界安全: 及时修补已知漏洞(特别是VPN, RDP, Exchange等),严格限制不必要的公网暴露。
- 加强员工安全意识: 定期进行反钓鱼(特别是Vishing)和安全意识培训。
- 强制多因素认证(MFA): 对所有关键系统、VPN和云服务强制启用MFA,并警惕MFA疲劳攻击。
执行 & 持久化- 监控PowerShell、cmd.exe等进程的异常活动,特别是无文件执行和可疑脚本块。
- 审计注册表启动项、计划任务和新建服务。		- 应用控制/白名单: 使用AppLocker等工具,限制仅允许受信任的应用程序和脚本执行。
- 强化端点日志: 启用并集中收集PowerShell脚本块日志和命令行审计日志。
- 部署EDR/XDR: 采用能够检测恶意行为、内存攻击和横向移动的端点检测与响应方案。
防御规避- 监控安全工具(AV/EDR)的进程是否被终止或服务被禁用。
- 审计系统日志和防火墙规则的变更。
- 告警卷影副本删除命令的执行。		- 权限最小化原则: 确保普通用户账户没有禁用安全工具或修改系统配置的权限。
- 日志与备份的完整性: 将关键日志实时转发至安全的、不可篡改的日志管理平台(SIEM)。采用3-2-1备份原则,并确保至少一份备份是离线的或不可变的。
凭证访问- 监控对NTDS.dit文件或lsass.exe进程的异常访问。
- 使用蜜罐凭证检测凭证盗用行为。		- 凭证隔离与保护: 实施严格的权限分级,避免管理员账户在非管理任务中使用。启用Windows Defender Credential Guard。
- 密码策略强化: 强制使用强密码,并定期轮换关键账户凭证。部署本地管理员密码解决方案(LAPS)。
横向移动 & 发现- 监控内网中异常的RDP/SMB连接。
- 利用网络流量分析(NTA)工具发现异常扫描和通信模式。		- 网络分段与微隔离: 将网络划分为不同安全区域(VLANs),限制攻击的横向扩散。在关键资产间实施更精细的隔离策略。
收集 & 渗出- 监控文件服务器、数据库和云存储的大量非正常读取操作。
- 监控异常的出站网络流量,特别是到未知IP或非标准端口的大流量。		- 数据丢失防护(DLP): 部署DLP策略,监控和阻止敏感数据的非授权外传。
- 流量加密与检测: 对出站流量进行解密和深度包检测,识别隐蔽的数据传输通道。
影响- 监控文件的大规模重命名或修改操作(加密行为特征)。
- 监控针对虚拟化平台(如ESXi)的管理命令。		- 定期恢复演练: 定期测试备份数据的可用性和恢复流程的有效性,确保在紧急情况下能够快速恢复业务。
- 制定并演练事件响应计划: 确保所有相关人员都清楚在攻击发生时的职责和行动步骤。

3.3. 管理防范策略:建立安全文化

3.3.1 人 (People) —— 将最薄弱环节转变为最强防线**

研究表明,高达95%的网络安全漏洞都涉及人为错误。在玛莎百货Salesforce的攻击中,社交工程和人为失误是导致攻击成功的关键因素。

技术工具固然重要,但操作它们、并最终做出决策的是人。如果员工缺乏安全意识,再强大的技术防线也可能形同虚设。因此,对“人”的投入是构建现代安全体系回报率最高的投资之一。

3.3.1.1新一代员工安全意识培训体系**

传统的年度合规培训已无法应对复杂的社交工程攻击。新一代培训体系应遵循以下原则:

  • 持续赋能而非一次性任务:

    • 用简短、高频的微学习模块(如5分钟视频、互动测验)取代冗长的年度课程,保持安全意识的“新鲜度”。

  • 内容革新与精准触达:

    • 核心内容: 重点讲解如何识别钓鱼邮件、语音钓鱼(Vishing)、短信钓鱼(Smishing),以及强密码策略、多因素认证(MFA)的重要性和敏感数据的处理规范。
    • 定制化: 根据员工的角色提供针对性内容。例如,为财务部门定制防范商业邮件欺诈(BEC)的培训,为IT人员提供高级威胁识别的培训。

  • 方法创新与互动参与:

    • 采用游戏化学习、真实案例分析、情景模拟等方式,激发员工的学习兴趣,将枯燥的规则转化为易于理解的场景。

3.3.1.2实战演练:将意识转化为肌肉记忆

  • 定期模拟攻击:

    • 持续开展模拟钓鱼邮件演练,并根据员工的点击率和报告率来衡量培训效果,动态调整培训内容。
    • 模拟演练不应以惩罚为目的,而应作为一次宝贵的学习机会。

  • 建立积极的报告文化:

    • 设立简单、便捷的渠道(如“一键报告”按钮),鼓励员工主动上报任何可疑的邮件或活动。
    • 关键在于建立“无责备”文化:当员工报告错误或疑似被骗时,应予以鼓励而非惩罚,让他们感到自己是解决方案的一部分,而不是问题本身。

3.3.1.3培育安全文化:“安全是每个人的责任”

  • 领导力驱动: 高层管理人员必须公开承诺并以身作则,将网络安全视为业务的基石。
  • 设立安全冠军: 在各业务部门中培养安全倡导者,由他们将安全理念传递到团队的每个角落。
  • 正向激励: 公开表彰和奖励那些成功识别并报告潜在威胁的员工,营造全员参与的积极氛围。

3.2组织 (Organization) —— 奠定安全韧性的制度基石

技术和人员的有效性,最终依赖于健全的组织治理、清晰的流程和明确的权责。捷豹路虎朝日在攻击后业务陷入混乱,不得不依赖纸笔进行操作,这凸显了组织层面在业务连续性和事件响应规划上的不足。

3.2.1 顶层设计:建立清晰的治理框架

  • 明确权责: 设立首席信息安全官(CISO)或同等职位,并赋予其足够的权力和资源来推动跨部门的安全策略。
  • 制定并推行安全策略: 制定覆盖数据分类、访问控制、供应商管理、可接受使用等方面的综合安全策略,并确保所有员工理解并遵守。
  • 融入企业风险管理 (ERM): 将网络安全风险视为核心业务风险,定期向董事会报告安全态势、风险敞口和投资回报。

3.2 .2流程管理:强化事件响应与供应链安全

  • 完善事件响应 (IR) 计划:

    • 框架: 参照NIST或SANS等成熟框架,制定覆盖准备、检测、遏制、根除、恢复、总结六个阶段的详细计划。
    • 团队: 组建跨职能的事件响应团队,成员应包括IT、安全、法务、公关和高层决策者。
    • 业务连续性 (BCP): IR计划必须与BCP紧密结合,确保在系统中断时,核心业务能以预定的方式(而非混乱地回归纸笔)继续运转。

  • 加强供应链风险管理:

    • Salesforce事件的教训: 企业的安全边界已延伸至其所有供应商。
    • 尽职调查: 在引入新的第三方服务或软件前,进行严格的安全评估和合同审查。
    • 持续监控: 定期审计供应商的安全状况,并要求其提供安全合规证明。

3.2.3持续改进:通过演练与审计闭合循环

  • 桌面推演与实战演练: 定期组织关键人员进行事件响应的桌面推演,模拟勒索软件攻击等真实场景,检验并优化响应流程。
  • 引入第三方审计: 定期聘请独立的第三方机构进行渗透测试和安全审计,以发现内部团队可能忽略的盲点。
  • 事后复盘 (Post-Mortem): 每次安全事件(无论大小)后,都应进行深入的根本原因分析,并将经验教训制度化,以驱动防御体系的持续改进。

4. 事件响应与处置:攻击发生后的黄金72小时

当防御被突破时,快速、有序的应急响应是控制损失、恢复运营的关键。

4.1. 应急响应核心流程 (IRP)

  1. 识别与确认 (Identification):一旦检测到文件被加密、收到勒索信或发现其他异常行为,立即触发应急响应预案。
  2. 遏制与隔离 (Containment)这是最关键的第一步。 迅速将受感染的设备、服务器和网络分段从网络中隔离,切断勒索软件的传播路径。
  3. 根除 (Eradication):在法医取证后,彻底清除系统中的恶意软件、后门以及攻击者留下的所有痕迹。
  4. 恢复 (Recovery):从经过验证的干净备份中恢复数据和系统。切勿在未彻底根除威胁前直接恢复,否则可能导致系统再次被感染。
  5. 事后分析 (Post-Mortem):对整个事件进行深入复盘,分析攻击路径、根本原因和防御缺口,总结经验教训,并据此改进和优化未来的安全策略。

4.2. 关键处置建议

  • 不轻易支付赎金:支付赎金不仅无法保证数据能够被成功恢复,还会为网络犯罪分子提供资金,助长其继续作恶。Salesforce和玛莎百货拒绝支付赎金的强硬立场,是行业应效仿的战略选择。
  • 立即寻求专业援助:第一时间联系专业的网络安全应急响应公司(如CrowdStrike, Mandiant)和法律顾问,获取专业的取证、清除和法律支持。
  • 及时通报:根据GDPR等相关法规要求,在规定时间内向监管机构(如ICO)和受影响的数据主体通报数据泄露情况,以履行法律义务并管理声誉风险。
  • 保留所有证据:妥善保护所有日志文件、勒索信、恶意软件样本和受感染的系统镜像,为后续的调查、取证和可能的法律诉讼提供依据。

5. 未来趋势与应对建议:道高一尺,魔高一丈

5.1. AI的双刃剑效应

网络安全的战场正在进入AI时代,攻防双方的军备竞赛日趋激烈。

AI在网络军备竞赛中的作用

  • AI用于攻击 (魔高一丈):攻击者利用AI生成大规模、高度个性化的钓鱼内容,模仿高管声音进行语音钓鱼,并自动化地发现和利用系统漏洞,使攻击更加精准和难以防范。
  • AI用于防御 (道高一尺):防御方同样可以利用AI进行大规模的异常行为分析、智能威胁情报关联和自动化的事件响应,从而更快地检测未知威胁并缩短处置时间。

5.2. 宏观层面的应对策略

  • 企业层面:从“防御”到“韧性”
    • 核心理念转变:接受“攻击无法100%避免”的现实。安全战略的重心应从“竭力防止入侵”转向“确保业务在遭受攻击后能够快速恢复”,即构建强大的网络弹性(Cyber Resilience)
    • 加强演练:定期进行业务连续性计划(BCP)和灾难恢复(DR)演练,确保在真实攻击发生时,恢复流程能够顺利执行。
  • 政府层面:加强监管与执法
    • 出台针对关键基础设施的强制性网络安全法案,设定最低安全标准,并对不合规企业进行处罚。
    • 与金融机构合作,加强对加密货币洗钱渠道的打击,提高攻击者的变现难度和风险。
  • 国际合作:打破犯罪避风港
    • 建立跨国联合执法机制,共同对RaaS平台、托管服务商和黑客组织进行打击和取缔。
    • 推动全球范围内的威胁情报共享,形成一个快速、协同的全球防御网络。

6. 结论:让网络犯罪无利可图

2025年的一系列重大事件雄辩地证明,勒索软件攻击已经从单一的技术对抗演变为一场涉及技术、人性和组织管理的全面战争。2025年的惨痛教训表明,任何短板都可能导致整个防御体系的崩溃。

构建一个基于**“技术-人-组织”(TPO)三位一体模型**的弹性安全体系,不再是一种选择,而是企业在数字时代生存和发展的必需。通过将基于ATT&CK框架的主动技术防御、以人为本的安全文化建设以及健全的组织治理流程深度融合,企业才能真正构建起一道能够抵御未来未知威胁的坚固防线,将安全从被动的成本中心转变为保障业务持续发展的核心竞争力。

未来的最终战略目标必须是**“让网络犯罪无利可图” (Making Cybercrime Unprofitable)**。这需要企业构建强大的网络韧性以降低攻击的破坏力,行业间无缝共享威胁情报以提升集体防御能力,政府加强监管与执法以增加犯罪成本,国际社会通力合作以挤压犯罪分子的生存空间。

在这个战略框架下,拒绝支付赎金虽然是一个短期内可能带来巨大痛苦的战术选择,但当它与强大的业务恢复能力相结合时,将成为从根本上削弱勒索经济模式、赢得这场持久战的唯一途径。

参考文献

  • https://vertexaisearch.cloud.google.com/grounding-api-redirect/AUZIYQH6RF3OAsyPm_wwFri5i9HR223qECy1qs0vH9Q4ceE7N4VMnN45jS7CvhA9Z0vTaCcsxvHEGx0kc4JUoWrpS2YIjohe6xjg5fraOksuDMFFQUnDv_1_48TZCiBZr3ysPPoU
  • https://vertexaisearch.cloud.google.com/grounding-api-redirect/AUZIYQHGjvq1XBSUDIhr3OU60PpgekgX3ON68VlfGn1sn9-ABwK0t0tG0stcrpFFC-uS7ecRiIbFuRFygRq8yaMBQcqAx-B3xn1ggeu-9r7S3Pc0wPGrTRcgS-JwpqvsWkbp7g==
  • https://vertexaisearch.cloud.google.com/grounding-api-redirect/AUZIYQFXBRjU-m05CX5PzK4JDgevzyGd1MbOwsyUZMrhdXyjXtZMjDjnAR4kntMD4XhsKOV-u1W11uZveKk6ewLSLoAlv6CX8K5zHhcTr84hWKuMElRs4oMHn6XMkt4Ftuq1jg==
  • https://vertexaisearch.cloud.google.com/grounding-api-redirect/AUZIYQGYa9GUQlAbJH-Ggyr4y1jT541yuJGGxVrxTbqe26rghpknxrpRSHZsRr5FgBfd9R8IS2rUhMyPEkCyn4-O4XXi1CXJ0P2-sQcsAOSrtJfkINDzv7gOTHW2eYErCp7BcwnQzF8WLoOUCC6xWVkqG7h87AECkzT0PredyIzLmJTO2JasdPO-tJnv3ow=
  • https://vertexaisearch.cloud.google.com/grounding-api-redirect/AUZIYQGT4ud8mxL9_14E8dmngQDSfbfODEca28JHS-_5xXSmQsq4ZdfxnREz0dQpm5UWdbRnipJA_BDY-8xUI6XylVWqDB758XqKA8FsSsjEOXXWxDoIjWQoBw9PigUIJisdooHg1ufhTa0KFPxEOg==
  • https://vertexaisearch.cloud.google.com/grounding-api-redirect/AUZIYQE-UxQxo5DBwAGAk3TZSskJ8YQgbKBGYX6vJWLnxWz59bFxLDE1u5KUn7Wueq7PSAXV-gc8p5MmBjufLnwTG0TyGyYVCwLVNAaBG7JnO_byTVwbepxhNII6KZYiFBXbvYtqL6c4Ft1ZUWMzUtVttj_HSWdWTKEzWg==
  • https://vertexaisearch.cloud.google.com/grounding-api-redirect/AUZIYQGhnSSqySm7yfUIBIrOoUgnbX7gU2JYbSPSweybAhEEpvqY3UuHno7lM0ee6q0n4lK4uoXFeixQ8ak3ORLyGmsl4W_dUg2Atxq1XIVxsnesaGdCfpEvKatnT23_IYvs0qd_N_MeNIVL6QI=
  • https://weforum.org/publications/global-cybersecurity-outlook-2025/
  • https://vertexaisearch.cloud.google.com/grounding-api-redirect/AUZIYQFFfNPDU2TPTn1kecbqI-9Ti0XlKX2RQcyIe3nEQ1hE3zSrewD4UES1IKYjtH6Xs7UFxn2T0uoPM4YwzGtAInsBmXAkQHtoRhC3yDNLPbhqKAQuhBlD4EB6QdH0cMBWQNPXRjIsMRMTKCRlDwKwFELw6gQ=
  • https://vertexaisearch.cloud.google.com/grounding-api-redirect/AUZIYQEWROJedIWya1598Zb0B85GPKWe5dg7WxdEylgoljmf8nult-A374nrbr6LJQv0NNdXuvW6SmsKGPlkDkwJEDPb6YH3zMEiPl67yYOmBcq1cSErvjdDzoi9kGiyCnJKYIQkciCNw4gqzy_27MZb3sre3duFT8GvJb5J2ByPpEHZnwI2XHoPcJfH6mEAMLo8kjODlIye0RCSM_PLDuefKKb_2jl_k-_aiw2B9rU6-JGBT4BlQacwOXxmbHdz7Dno9kpk3_OWTeBVapbV-c29dpDOfMFyo2-11DjHNmEw9FgAxYrEmY3f4To1jCQK2cnQBCrEWG_nr81thKdlnO5Lp5GrTkyhmoDA1kIr3JshTQ==

贡献者

The avatar of contributor named as pansin pansin

文件历史

撰写

CC BY-SA 4.0 © 2022-PRESENT Nólëbase 的创作者们