勒索攻击致运输巨头KNP破产、高乐氏损失3.8亿美元，加强口令安全刻不容缓！

两起勒索灾难：安全防线的致命缺口

1. 高乐氏：一次密码重置引发3.8亿美元危机

7月22日，美国清洁用品制造商高乐氏（Clorox）起诉其 IT 服务商 Cognizant 因重大过失引发勒索攻击事件，要求赔偿高乐氏全部损失——3.8亿美元。据悉，攻击者伪装成忘记账号密码的内部员工，向 Cognizant 服务台索要密码，Cognizant 在缺乏任何有效身份核验的情况下，为冒充员工的攻击者重置了账户密码，并连续批准了多个高权限账号的更改请求，使对方绕过防御机制，直接进入企业核心网络。最终导致高乐氏生产系统瘫痪、产品供应中断、客户订单延迟，遭受重大损失。

攻击者与Cognizant对话录音/图片来自bleeping

2. 百年运输巨头KNP：一个弱密码摧毁158年基业

7月23日，英国百年运输巨头 KNP 公司因遭遇勒索软件攻击宣告破产。时间起因是某员工使用的弱密码被黑客轻易破解，攻击者入侵后迅速加密了公司所有关键数据（服务器、备份和终端系统），并索要500万英镑（约4850万人民币）赎金，公司无力支付，整个业务运营陷入瘫痪，企业破产，700人失业。

为何一次密码重置、一个弱密码就能摧毁整个企业？

当我们对勒索软件攻击还停留在依赖高级入侵技术或复杂的漏洞链条认知时，很多时候，一次密码重置请求、一个常见的弱密码，就给了黑客可乘之机，为其攻击入侵提供了绝佳的缺口。

企业未建立安全有效的防御体系

1. 弱密码管理：企业未强制开启密码管理策略，如设置密码复杂度、密码长度及弱密码库，“123456”、“admin”等弱密码仍被广泛使用。KNP 案例证明，80%的勒索攻击始于弱密码或密码复用。

2. 未启用MFA多因素认证：过度依赖单一认证因素（静态密码），若开启 MFA，即使黑客手握员工账号密码，获取不到动态口令仍旧无法轻易登录。

3. 未引入零信任安全架构：基于永不信任、持续验证理念，对访问者身份持续验证和动态授权，可防范黑客入侵后进行横向移动。

4. 特权账号管理存漏洞：权限过度集中，且仅使用弱密码保护，缺乏基于角色的权限划分（RBAC）和未实施最小权限原则（PoLP）。

5. 未建立有效的灾备机制：容灾备份是数据安全的最后防线，备份未隔离，导致黑客同时加密备份数据。

如何避免成为勒索攻击的下一个受害者？

加强身份认证安全：筑牢第一道防线

1. 强制实施多因素认证(MFA)

在所有关键系统（邮件、VPN、云服务、业务系统等）部署MFA多因素认证，并结合 AI 监测和自定义设置条件策略，禁止高风险、异常登录账号登录，对特权账号进行严格管理，从而加强身份鉴别能力。即使账号密码泄露，攻击者也无法仅凭密码登录系统。MFA 是杜绝弱密码隐患的最佳安全措施之一，投入小、见效快。

2. 严格密码管理政策

强制执行密码管理策略，要求员工在设置密码时满足密码复杂度（含大小写字母、数字和符号）、密码长度，禁止密码复用，并通过设置弱密码库等，彻底杜绝弱密码。在启用多因素认证（MFA）后，可不再规定密码定期更换。若未使用 MFA，则建议执行密码定期更换制度。

提升数据保护与恢复能力

1. 数据分级分类加密保护

识别敏感数据，按重要性分级管理，明确用户访问权限。同时对敏感数据的存储和传输全程加密，通过RBAC管理权限、多因素认证（MFA）限制访问。

2. 建立可靠的备份与恢复方案

备份策略遵循“3-2-1原则”，即至少3份备份，存储在2种不同介质，异地存放1份。采用全备份+增量/差异备份组合，定期备份关键数据。存储介质结合本地存储、异地数据中心、云存储，形成多级备份体系，确保灾难场景下可恢复。制定标准化恢复步骤，包括故障定位、备份验证、数据恢复及业务测试，定期演练确保流程有效性。

加强员工安全意识教育

定期组织安全培训，重点识别钓鱼邮件和社交工程攻击，培训应包括实际案例和互动练习。模拟钓鱼邮件测试员工安全意识，并逐步提高测试的复杂程度，长期演练以提升整体安全意识水平。

宁盾多因素认证：为企业构筑身份安全防线

宁盾多因素认证（MFA）始于2009年，历经16年市场检验，累计服务过3000余家企业客户。在苹果、安卓等应用商店中，宁盾令牌APP下载量遥遥领先。

宁盾令牌APP在苹果、华为、小米应用市场中的下载情况

宁盾 MFA 核心优势

1. 全场景覆盖：宁盾多因素认证支持在网络边界入口（VPN、云桌面、Portal认证等）、业务系统登录入口（邮箱、O365、云应用等）、网络设备（堡垒机、服务器、防火墙等）、计算机终端（Windows、Linux、麒麟、统信等）等全场景启用。

2. 令牌形式丰富：OTP（动态口令）形式有硬件Token、APP令牌、小程序令牌、短信令牌、H5令牌、邮件令牌、PUSH推送认证等，满足不同企业不同场景的动态令牌需求。

3. AI智能风控：系统内接入AI智能预测服务，对异常登录频率、异常登录时间、异地登录、异常设备登录及弱密码登录的用户/终端开启预警提示，结合多因素认证策略多层级防范。

4. 国密/商密资质：支持国密算法，多因素认证系统和动态令牌均持有商用密码产品认证证书，助力企业在等保测评、密评等背景下满足合规要求。

成功案例

1. 助力富士康、立讯精密满足苹果代工厂供应链合规要求

富士康、立讯精密等企业内一些终端保存着苹果等甲方的重要图纸及项目信息，为防止重要数据泄露，同时避免弱口令、账号密码泄露等安全隐患，宁盾为企业设计了多终端多因素认证防护方案。

在Windows、macOS、Linux等多类型终端上开启多因素认证动态口令保护，采用本地部署方式，仅与内网终端通信，切断在外部环境下的访问途径，以防止终端被带出企业。此外，为终端提供批量部署插件，动态令牌的派发支持批量、增量或自动派发，员工在离职后解绑动态令牌，即无法再凭借账号密码登录终端，匹配工厂员工流动率高的特性，降低运维成本。

2. 某国有银行为Cisco VPN开启二次身份认证

银行员工在外网办公环境下借助Cisco（思科）VPN访问各种应用资源，宁盾多因素认证系统对接AD域账号，员工使用域账号密码及短信动态密码认证登录，加强身份鉴别。

应用效果：

（1）AD账户联动确保了用户的账户登录的一致性体验； 

（2）提升VPN用户登录安全，消除弱身份鉴别带来的潜在信息泄露风险； 

（3）减小静态密码遗忘或定期强制更改登录密码给员工与IT管理人员带来的开销，节约企业管理成本； 

（4）用户登录有留存，信息资产使用状况更明确。

在勒索攻击日益工业化、低门槛化的今天，多因素认证（MFA）早已不是“可选项”，而是企业生存的“生命线”。宁盾以16年技术沉淀，为企业提供坚不可摧的身份安全护盾——因为真正的安全，从不让攻击者有第二次机会。