内华达州勒索软件敲响警钟：特权访问管理的重要启示

内华达州州长技术办公室（GTO）近日发布了一份《事后报告》，回顾了 2025 年 8 月持续近一个月、导致全州系统大范围中断的勒索软件攻击事件。 报告不仅详述了事件经过，还记录了 GTO、技术供应商以及地方、州和联邦执法机构之间的协同应急响应。 这起全州范围的网络攻击凸显了实施特权访问管理（PAM）的迫切性，以有效管理并保护对高度敏感系统和数据的访问。

内华达州勒索软件攻击期间究竟发生了什么？

内华达州于 2025 年 8 月 24 日首次发现安全入侵事件，当时多台虚拟机下线，致使 60 个州政府机构的网站、电话系统和在线平台运行中断。 包括内华达州卫生局在内的多家机构系统被迫下线，员工不得不采取临时替代方案，重新采用纸质办公流程。 其他受影响机构还包括内华达机动车管理局、公共安全部以及州高速公路巡警部门。 州级主门户网站 NV.gov 以及州长办公室的相关系统同样被下线或出现性能下降。

调查最终将此次入侵追溯至 2025 年 5 月的一起社会工程攻击：一名州政府雇员在搜索系统管理工具时，无意中点击了恶意广告。 该操作导致员工从仿冒网站下载了恶意软件，该软件安装了后门程序，并与攻击者的基础设施建立连接，从而实现未经授权的远程访问。 尽管赛门铁克端点防护（SEP）于 2025 年 6 月 26 日检测并隔离了该恶意软件，但为时已晚，攻击者已成功提升权限，并在州政府网络中进行横向移动。

该报告指出：

在 8 月 16 日至 24 日期间，威胁行为者（TA）通过 RDP 在多台关键服务器之间横向移动，访问多个目录、文件和服务器——包括密码保险库服务器——并获取了 26 个账户的密码。 威胁行为者持续清除事件日志，以掩盖其活动痕迹。

2025 年 8 月 24 日，攻击者删除了敏感数据的备份，并在全州虚拟基础设施中大规模部署勒索软件。 内华达州最终未支付赎金，并成功恢复了约 90% 用于恢复受影响服务的关键数据。 然而，除州政府员工为恢复服务而产生的加班费用外，州政府还为外部供应商支持额外支出了逾 100 万美元。 目前，被盗数据的具体范围仍在进一步调查之中。 内华达州首席信息官 Timothy Galluzi 在新闻发布会上表示，部分州政府数据在未经授权的情况下被外泄，但目前尚无法确认被窃取的数据类型。

系统恢复后，GTO 采取了多项措施，进一步强化该州的网络安全防御能力。 相关团队优先加固最敏感的系统，并严格将访问权限限定在必要人员范围内。 团队还全面审查了系统规则与权限配置，以防止未来再次发生未经授权的访问——这是特权访问管理（PAM）的核心要素之一。

KeeperPAM 本可如何有效限制此次攻击的影响范围

网络犯罪分子刻意将 IT 员工作为攻击目标，试图借此获取对州政府网络的更高权限，因为他们深知这些人员往往拥有特权访问权限。 尽管 PAM 解决方案无法阻止用户点击指向仿冒网站的链接，但它能够阻止恶意工具的安装，并在攻击者首次入侵后，通过限制横向移动以及对密码库和服务器的访问，有效缩小攻击影响范围。 以下是 KeeperPAM 本可发挥作用的几个关键方面：

1. 遏制端点权限提升

当恶意软件被安装到内部工作站后，它通过绕过本地端点防护机制获取了管理员级控制权限。 当用户拥有过度权限或能够安装未经批准的软件时，这类权限提升行为尤为常见。

Keeper Endpoint Privilege Manager（EPM）在设计之初便强制执行“最小权限原则”。 用户默认以标准用户身份运行，任何需要提升权限的应用程序都必须经过明确审批。 相关策略可阻止不受信任的安装程序，限制 PowerShell 与脚本的滥用，并对特权操作实施严格的审批流程。 配合审计日志与告警机制，安全团队能够全面掌握每一次权限提升请求的情况。 如果没有经过审批，这款引发内华达州安全事件的虚假 IT 工具根本无法在最初阶段被安装。

2. 消除常驻特权权限

KeeperPAM 有效消除了长期存在的管理员特权所带来的安全风险。 借助即时访问（Just-in-Time，JIT）机制，KeeperPAM 确保管理凭证只在必要时启用，且仅在所需时间内有效。 用户默认以标准权限运行，仅在确有需要时才会被临时授予更高权限，并在任务完成后自动失效。

KeeperPAM 还支持自动凭证轮换，持续更新管理员账户和服务账户的密码。 即便网络犯罪分子设法获取了凭证，这些凭证也会在数分钟内迅速失效。 在内华达州的案例中，恶意代码将无法收集或重复利用缓存的管理员凭据，从而无法在服务器之间进行横向移动。

3. 防止横向移动

一旦攻击者成功入侵，其下一步几乎必然是横向移动，通过 RDP 在多台机器之间跳转，直至触达域控制器或数据库服务器等高价值目标。 在内华达州事件中，KeeperPAM 本可大幅限制，甚至彻底阻止攻击者的横向移动，因为其无法再通过 RDP 在系统之间穿行。

作为 KeeperPAM 核心组件之一，Keeper Connection Manager 对服务器和数据库强制实施零信任访问控制。 KCM 不再在网络中直接暴露 RDP 或 SSH 端口，而是通过安全网关对每一次会话进行统一代理。 凭证直接从加密的凭证保管库中安全注入。 用户全程无需接触或查看凭证，所有会话均可被审计并完整记录。 如果攻击者试图利用被盗凭据通过 RDP 或 SSH 进行横向移动，其连接将直接失败。

4. 全面保护凭证

近一半的安全事件都与凭证被窃取或泄露有关。 一旦进入网络，攻击者往往会收集缓存的密码、令牌或本地管理员凭证，以便在网络内部横向扩散。 KeeperPAM 采用零信任与零知识架构，所有加密与解密操作均在用户设备本地完成。 Keeper 并非简单存储凭证，而是通过隔离、加密、轮换和安全注入等机制，使凭证被盗在实际操作中几乎不可能发生。

• 所有机密信息均在本地加密，除用户本人外任何人均无法读取
• 凭证不会在端点设备上显示、存储或被重复使用
• 管理员权限仅为临时授予，并受到严格管控
• 密码与密钥均自动进行轮换更新
• 完整的审计日志机制确保操作可追责、可追溯

即便攻击者成功访问密码管理服务器，也无法解密或导出任何明文凭证。

5. 实时监测与快速遏制

KeeperPAM 为特权活动提供全面的可视化监控与精细化控制能力。

• 所有特权会话都会被完整记录并留存日志，用于审计与取证分析
• 实时会话监控功能使管理员能够即时观察并中断可疑连接
• KeeperAI 可自动分析用户行为，评估风险等级，并在发现可疑活动时立即终止会话
• 通过一次操作即可即时完成凭证轮换与撤销，迅速锁定已受威胁的账户
• 通过与安全信息与事件管理（SIEM）及安全编排、自动化与响应（SOAR）平台集成，可实现自动化告警与响应流程

如果当时已部署这些控制措施，内华达州的安全团队本可迅速识别未经授权的会话、轮换凭证，并在数据外泄发生前成功遏制入侵，甚至可借助 RBI 和 EPM 在源头彻底阻止恶意软件下载。

FedRAMP 和 GovRAMP 已获得公共部门授权。

Keeper Security Government Cloud (KSGC) 是托管在 Amazon Web Services (AWS) GovCloud 中的 KeeperPAM® 版本，符合 FedRAMP 安全性和合规性要求。 AWS GovCloud 旨在托管敏感数据和受监管的工作负载，支持严格的美国政府合规性标准。

借助 KSGC，政府机构可获得一个可扩展的零信任 PAM 解决方案，该方案能够持续验证每一次访问尝试，无论访问位置或设备如何。 基于角色的访问控制 (RBAC) 和实时监控可强制执行最小权限原则，并对所有特权活动提供全面可见性。

准备好进一步了解 Keeper 如何帮助贵组织防御勒索软件攻击，并满足零信任安全要求了吗？立即申请 KSGC 演示。