勒索软件防御差距扩大:企业安全手册普遍忽视机器身份凭证
根据Ivanti 2026年网络安全报告,勒索软件威胁与防御之间的差距正在恶化,63%的安全专业人士认为勒索软件是高或关键威胁,但仅30%表示“准备充分”,差距达33个百分点。CyberArk 2025年身份安全报告指出,全球组织中机器身份数量是人类身份的82倍,其中42%拥有特权或敏感访问权限。然而,包括Gartner在内的权威勒索软件准备指南,在事件响应流程中主要关注用户和主机凭证重置,却普遍忽视了服务账户、API密钥、令牌和证书等机器身份凭证,这成为企业安全防御的盲点,为勒索软件攻击提供了可乘之机。
勒索软件威胁与防御之间的差距正在持续扩大。Ivanti发布的2026年网络安全报告显示,在所有追踪的威胁类别中,准备差距每年平均扩大10个百分点。其中,勒索软件的差距最为显著:63%的安全专业人士将其评为高或关键威胁,但只有30%的人表示他们“准备充分”来抵御勒索软件,这一差距高达33个百分点,高于去年同期的29个百分点。
CyberArk的2025年身份安全报告进一步揭示了问题的严重性:全球组织中,机器身份的数量是人类身份的82倍。更令人担忧的是,这些机器身份中有42%拥有特权或敏感访问权限。
然而,即使是最权威的勒索软件防御框架也存在相同的盲点。Gartner在2024年4月发布的题为“如何准备勒索软件攻击”的研究报告,是企业安全团队制定事件响应程序的重要参考。该报告明确指出,在遏制阶段需要重置“受影响的用户/主机凭证”。随附的勒索软件应对手册工具包指导团队完成四个阶段:遏制、分析、补救和恢复。其中,凭证重置步骤指示团队确保所有受影响的用户和设备账户都已重置。
但值得注意的是,服务账户、API密钥、令牌和证书等机器身份凭证却被忽略了。企业安全领域最广泛使用的应对手册框架仅限于人类和设备凭证。遵循这些指南的组织在不知不觉中继承了这一盲点。
Gartner的同一份研究报告在指出问题时,并未将其与解决方案联系起来。该报告警告称,“糟糕的身份和访问管理(IAM)实践”仍然是勒索软件攻击的主要起点,并且之前被泄露的凭证正被用于通过初始访问代理和暗网数据转储获取访问权限。在恢复部分,指南明确指出:更新或删除被泄露的凭证至关重要。