網(wǎng)絡(luò)安全公司Mandiant發(fā)布了《M-Trends 2025》報告，基于其2024年參與的事件響應(yīng)工作，梳理了全球網(wǎng)絡(luò)攻擊趨勢。

核心趨勢與洞察

2024年，Mandiant處理的金融行業(yè)安全事件占比最高，達(dá)17.4%。其他主要攻擊目標(biāo)包括商業(yè)和專業(yè)服務(wù)公司（11.1%）、高科技企業(yè)（10.6%）、政府部門（9.5%）以及醫(yī)療機(jī)構(gòu)（9.3%）。

漏洞利用仍是最常見的初始感染途徑（33%），其次是憑證竊?。?6%）、釣魚郵件（14%）和網(wǎng)絡(luò)入侵（9%）。值得注意的是，在Mandiant處理的2024年入侵事件中，有34%無法確定攻擊者的初始入侵手段。該公司表示："雖然未知入侵途徑可能涉及多種因素，但如此高的比例反映出企業(yè)在日志記錄和檢測能力方面存在明顯不足。"

與往年相同，攻擊者使用了多種惡意軟件，但2024年的顯著特點(diǎn)是信息竊取程序（info-stealer）的卷土重來，這直接導(dǎo)致利用竊取憑證作為初始訪問手段的案例增加。

初始感染途徑，2022-2024年（來源：Mandiant）

2024年攻擊者最常利用的漏洞集中在Palo Alto Networks、Ivanti和Fortinet等廠商的邊緣安全設(shè)備（防火墻、VPN、網(wǎng)絡(luò)訪問控制解決方案等）中。

另一個值得關(guān)注的現(xiàn)象是"內(nèi)部威脅"作為初始感染途徑的上升趨勢，這主要源于朝鮮IT工作者通過虛假身份獲取職位后，利用其網(wǎng)絡(luò)訪問權(quán)限實(shí)施進(jìn)一步入侵和勒索的行為激增。

在勒索軟件相關(guān)入侵中，最常見的初始感染途徑是暴力破解（密碼噴灑、使用默認(rèn)憑證、大量RDP登錄嘗試）——占比26%，其次是憑證竊取（21%）、漏洞利用（21%）、前期入侵（15%）和第三方入侵（10%）。

企業(yè)的云資產(chǎn)最常通過釣魚郵件（39%）和憑證竊?。?5%）遭到入侵。Mandiant指出："2024年，我們響應(yīng)了有史以來最多涉及云組件的安全事件。調(diào)查顯示，威脅行為者在云環(huán)境中得手主要?dú)w因于三個因素：身份解決方案缺乏足夠的安全控制；本地集成配置不當(dāng)；以及對擴(kuò)展云攻擊面的可見性不足。"

"綜合來看，這些因素表明企業(yè)需要采取一種彌合本地與云環(huán)境安全差距的整體防護(hù)策略，同時認(rèn)識到云攻擊面并非孤立存在，而是需要主動集成防御的互聯(lián)生態(tài)系統(tǒng)的一部分。"

Mandiant還特別指出，其紅隊(duì)經(jīng)常在公開可訪問的存儲庫中發(fā)現(xiàn)敏感數(shù)據(jù)，這意味著攻擊者同樣可以獲取這些信息。"網(wǎng)絡(luò)文件共享、SharePoint站點(diǎn)、Jira實(shí)例、Confluence空間和GitHub倉庫通常包含大量有價值信息（如憑證、私鑰、財務(wù)文件、個人身份信息PII和知識產(chǎn)權(quán)）。這些通常對擁有標(biāo)準(zhǔn)權(quán)限的員工開放的數(shù)據(jù)，構(gòu)成了許多企業(yè)尚未意識到的重大安全風(fēng)險。"

企業(yè)防御建議

基于報告發(fā)現(xiàn)，Mandiant提出以下核心安全建議：

• 部署符合FIDO2標(biāo)準(zhǔn)的多因素認(rèn)證（MFA）：防范憑證竊取導(dǎo)致的入侵
• 審計(jì)并加固暴露在互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施：特別是針對使用默認(rèn)或弱憑證的VPN和遠(yuǎn)程桌面協(xié)議（RDP）接口的暴力破解攻擊
• 阻斷端點(diǎn)腳本并實(shí)施內(nèi)容過濾：降低SEO投毒和惡意廣告等網(wǎng)絡(luò)入侵風(fēng)險
• 制定嚴(yán)格的瀏覽器憑證存儲策略：減少信息竊取惡意軟件的危害
• 定期為所有系統(tǒng)和軟件打補(bǔ)?。嚎s短新披露漏洞的可利用時間窗口
• 通過嚴(yán)格的數(shù)據(jù)驗(yàn)證、招聘流程額外審查及入職后監(jiān)控，防范包括欺詐性雇傭在內(nèi)的內(nèi)部威脅
• 實(shí)施網(wǎng)絡(luò)分段并監(jiān)控橫向移動
• 加強(qiáng)內(nèi)部檢測和日志記錄能力：縮短駐留時間并減少對外部通知的依賴
• 監(jiān)控云身份和訪問活動：防止單點(diǎn)登錄（SSO）系統(tǒng)被濫用
• 運(yùn)用威脅情報優(yōu)先防御常見攻擊技術(shù)：根據(jù)MITRE ATT&CK框架中觀察到的技術(shù)（如命令和腳本執(zhí)行T1059、數(shù)據(jù)加密影響T1486）調(diào)整防御措施