在网络安全的战场上,“零信任”已从前瞻概念演变为实战准则。我们花费巨资构建网络、身份和应用层的层层防线,却往往忽视了最核心、最致命的弱点——存储层。
这不是危言耸听。每一次重大勒索攻击的复盘,都指向同一个残酷现实:攻击者们深知,摧毁备份就等于掐断了企业的生命线。2024年,Change Healthcare事件的惨痛教训,正是对这种盲区最血淋淋的警示。攻击者系统性地破坏了未受保护的备份,导致数月的业务瘫痪和数十亿的损失。这并非个案,诸如Qilin、Dire Wolf等新型勒索软件,已明确将“摧毁恢复点”作为其核心攻击目标。
在勒索攻击日益工业化、平台化的今天,我们必须重新审视:为什么存储,这个本应最坚固的堡垒,却成了我们防御体系中最致命的阿喀琉斯之踵?
三大认知偏差,铸就了存储安全困境
长期以来,我们对存储的认知存在着严重的偏差,这直接导致了其在零信任架构中的缺位:
“隐形”的战术目标:我们习惯将存储视为后台的被动基础设施,认为它只是一个“数据仓库”。然而,攻击者们的视角截然不同。他们将存储视为主动的攻击面,并利用MITRE ATT&CK框架中的数据销毁(T1485)和抑制系统恢复(T1490)等技术,精准打击企业的恢复能力。当我们还把存储当背景板时,攻击者早已将其视为攻击的头号目标。
复杂性带来的“治理瘫痪”:现代企业的IT环境复杂,云服务、本地存储、多区域部署犬牙交错。要在如此复杂的环境下,建立统一、细粒度的安全策略,其难度之大,足以让大多数安全团队望而却步。
过时的信任假设:传统的安全模型基于“信任边界”——只要应用或用户通过了认证,其对数据的访问就被默认为安全。这种假设在勒索攻击面前不堪一击。一旦攻击者绕过应用层,直接通过存储API进行攻击,整个安全防线将瞬间崩溃。
零信任存储:构建数据韧性的三大核心原则
要扭转这种被动局面,必须将零信任原则彻底延伸至存储层,从根源上重塑安全架构:
边界控制:从网络防火墙到策略边界
传统的基于IP的防火墙已无法适应云环境。零信任存储要求建立细粒度的策略边界,确保只有来自可信网络和环境的请求才能调用存储API。这需要通过软件定义的方式,实现默认拒绝(deny by default),将每一次访问请求都视为一次风险决策。在多租户云环境中,通过严格的网络隔离策略,可有效防止攻击者进行横向渗透。
身份与访问:从静态授权到动态赋能
存储的访问控制必须超越传统的静态权限分配。核心在于实施最小权限原则(least privilege)、职责分离(separation of duties)和即时访问(just-in-time access)。权限应仅在需要时、为特定任务、在限定时间内授予,并在任务完成后自动撤销。这种动态授权模式虽然会增加管理复杂性,但能从根本上消除因静态高权限账户泄露而带来的风险。
数据韧性:从备份到不可变性
不可变性(immutability)已不再仅仅是法规合规的要求,而是对抗勒索攻击的终极防线。通过实施WORM(一次写入多次读取)策略,确保受保护的数据在设定时间内无法被修改或删除,即使是拥有最高权限的管理员也无能为力。这种机制为企业提供了对抗勒索攻击的最后一道屏障,确保在主系统被攻陷后,仍有可信的恢复源。
实战启示录:用血泪换来的教训
每一次安全事件,都是一份昂贵的“教育”。从马士基(2017)因偶然停电而幸存的备份,到JBS Foods(2021)因恢复速度过慢而被迫支付赎金,再到Miljödata(2025)和DaVita(2025)所面临的双重勒索困境,这些案例无一不揭示:攻击者对恢复点的攻击,其凶猛程度不亚于对主系统的攻击。
构建零信任存储,并非一蹴而就。它需要技术、流程和文化的全面变革。这其中包括:
以自动化应对复杂性:通过策略即代码(Policy as Code)等方式,实现安全策略的自动化部署和管理,降低人工干预的风险。
以模拟演练验证实战能力:将存储恢复测试纳入常规的勒索攻击演练,确保备份在最严苛的条件下依然可用。
以风险语言赢得支持:将存储安全与业务连续性、合规要求和财务风险直接挂钩,赢得CFO等高层管理者的支持。
最后,向所有负责企业网络韧性的安全从业者提出一个尖锐的问题:如果现在,攻击者已经拥有了你的最高管理权限,他们能成功破坏你的所有恢复点吗?
如果你无法给出肯定的“否”定答案,那么,你的零信任战略就是不完整的。在攻击者步步紧逼的今天,将存储纳入零信任架构,不再是可选项,而是关乎企业生死存亡的必选项。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
