
攻击态势:频率增加、速度加快
企业网络遭受攻击的频率越来越高,现代企业网络分布广泛,可通过软件即服务(SaaS)将任务交给合作伙伴。坏人采用“分工”模式,一组人用低影响技术进入网络,再交给另一组人实际操作。
Mandiant 报告显示,2022 年“交接时间”超 8 小时,2025 年因自动化平均交接时间仅 22 秒。利用零日漏洞攻击系统的窗口期急剧缩短,在供应商发布补丁前,利用漏洞平均时间降至 7 天。
攻击者画像:两类群体,策略不同
受攻击企业网络中“实际操作”的攻击者大多分两类,策略和节奏不同:网络犯罪分子追求经济利益,用勒索软件等工具;间谍组织追求长期、隐蔽访问。
网络犯罪集团追求即时影响,故意阻止恢复;复杂网络间谍组织和内部威胁追求高持久性,利用未受监控边缘设备和原生网络功能逃避检测。“潜伏时间”平均 14 天,网络间谍事件中位潜伏时间 122 天。Mandiant 确定超 16 个受攻击行业领域,高科技行业(17%)和金融行业(14.6%)居前。
入侵来源:漏洞利用与社会工程为主
近三分之一已检测到的入侵来自漏洞利用,第二常见攻击途径是“高度交互式、基于语音的社会工程”,攻击组织针对 IT 帮助台,绕过多因素认证(MFA)进入 SaaS 环境。
越来越多人用人工智能工具进行侦察、社会工程和恶意软件开发。攻击者进入网络后将 AI 武器化,如 QUIETVAULT 凭证窃取程序会检查目标机器有无 AI [命令行] 工具,执行预定义提示,搜索配置文件并收集 GitHub 和 NPM 令牌。但 AI 仍处次要地位,2025 年安全漏洞并非由 AI 直接导致,多数成功入侵源于人类基本失误和系统故障。
破坏升级:数据恢复能力受威胁
网络犯罪分子借鉴马克·扎克伯格对 Facebook 工程师“快速行动,打破常规”的要求,勒索软件攻击同时针对支持备份工具的虚拟基础设施效果更好。
勒索软件组织不仅加密数据,还破坏数据恢复能力,从云存储删除备份对象,攻击虚拟化存储层或加密虚拟机管理程序数据存储,使相关虚拟机无法运行。好消息是,各组织提高内部可见性,2025 年 52%的情况下组织先在内部检测到恶意活动迹象,高于 2024 年的 43%,发现越早恢复越早。
反击策略:人员培训与设施变革
随着攻击者更复杂持久,IT 人员需提高应对能力。Mandiant 建议对员工和帮助台工作人员进行高级培训,识别现代攻击途径,如基于语音工具和消息应用程序的社会工程攻击、未经授权的 MFA 重置请求。
还有五种网络基础设施变革防御策略:将虚拟化和管理平台视为零级资产,实施最严格访问限制;将备份环境与企业 Active Directory 域分离,用不可变存储;在生态系统部署高级威胁检测,延长日志保留政策超 90 天;定期审计 SaaS 集成,将 SaaS 应用程序通过中央身份验证提供商(IdP)路由;实施基于行为的检测模型,标记异常活动和与既定基线的偏差。Mandiant 研究人员指出“身份是新的边界”,加强身份控制并转向持续身份验证,尤其与第三方供应商的身份验证很重要。
其他安全提醒
你的安卓手机最强大的安全功能默认关闭且隐藏,尽快开启;随着勒索软件减少,一种更危险的新数字威胁正在兴起;你电脑的关键安全证书可能即将过期,要知道如何检查;还可了解如何将你的 iPhone 完全锁定,甚至连 FBI 都无法进入。

被折叠的 条评论
为什么被折叠?



