近日,FortiGuard Labs發布了《2025 年全球威脅形勢報告》,報告揭示了網絡攻擊在規模和復雜性上急劇升級,攻擊者正在利用自動化、商業化工具和人工智能系統地侵蝕防御者的傳統優勢,行業正在面臨不容樂觀的發展境遇,現將部分觀點摘錄如下,以供參考。
攻擊者們正在大力投資自動化、偵察和可擴展操作,他們追求速度、隱蔽性和可伸縮性,以極快的速度進行尋找系統中可以攻擊到的漏洞。2024年,網絡空間中的主動掃描量全球增長了16.7%,FortiGuard Labs每月觀察到數十億次 掃描嘗試,相當于每秒36,000次掃描,這些掃描旨在發現明顯的漏洞,并探索關鍵基礎設施,以確定哪些資產可以以最小的努力被利用。這也表明攻擊者對暴露的數字基礎設施進行了復雜而大規模的信息收集,涉及電信、工業、OT/ICS和金融服務等關鍵領域,其中SIP(VoIP)在檢測到的掃描中占49%以上。
雖然2024年新披露的漏洞的平均利用時間相對穩定,但利用嘗試規模激增,FortiGuard Labs記錄了超過970億次利用嘗試,反映出自動化程度提高和跨行業的廣泛攻擊。這也表明網絡犯罪分子正在持續探測暴露的系統,那么接下來的問題不再是組織是否會成為攻擊目標,而是何時以及以多快的速度成為目標。Ivanti產品中的命令注入漏洞,在披露后僅六天就被利用。
攻擊者不再需要手動識別漏洞,而是利用自動掃描、機器學習和精心打包的漏洞利用工具包將新披露的安全漏洞武器化。
Windows SMB信息泄露漏洞(CVE-2017-0147)仍然是攻擊者通過服務器消息塊(SMB)協議滲透企業網絡時最青睞的目標之一,在2024年的攻擊嘗試中占比26.7%。而Netcore Netis硬編碼密碼(CVE-2019 -18935) 這個物聯網漏洞占所有攻擊嘗試的8%。
Telegram仍然是共享漏洞利用和基礎設施的主要協調中心,為原本分散的威脅團體提供了一層操作上的統一性。
超過20%的記錄在案的攻擊企圖針對物聯網設備,這突顯出許多組織未能像對待傳統IT資產那樣嚴格對待物聯網安全。 攻擊者利用默認憑證、過時的固件和暴露的管理接口來獲得持久性,并將這些設備作為跳板,實施更大規模的攻擊,這些物聯網設備也經常作為僵尸網絡的安全港。
最易受攻擊的物聯網設備是路由器、攝像頭和網絡硬件,其中路由器占比最高,其次是監控攝像頭。
云為企業提供了必要的敏捷性和可擴展性,但同時也是企業暴露于不斷演變的攻擊途徑,以 云為中心的攻擊正變得更加復雜,云環境如今已成為攻擊者利用配置錯誤、身份泄露和不安全API的戰場,攻擊者利用自動化掃描與多階段滲透技術,將配置錯誤、暴露憑證及脆弱API轉化為突破口。FortiCNAPP監測數據顯示,云攻擊的損失在穩步上升。
云配置錯誤仍然是阿喀琉斯之踵。開放存儲桶和過度授權身份仍然是主要的攻擊向量。利用面向公眾的應用程序仍然是普遍存在的漏洞利用策略。
API安全現在是首要任務。攻擊者越來越多地濫用云API以橫向移動、提升權限和提取敏感 數據。
多階段云攻擊是新的常態。攻擊者現在將憑證竊取、身份識別和API濫用結合起來,以最大 限度地提高攻擊影響,而不是使用單向攻擊。
全球網絡犯罪正步入協作化、模塊化的新階段,勒索軟件即服務(RaaS)生態系統持續擴張,新的組織不斷涌現并建立雙重和三重勒索模式,2024年,RansomHub(13%),LockBit 3.0(12%)、Play(8%) 和 Medusa(4%)是最活躍的勒索軟件組織。
從目標行業來看,制造業占17%、商業服務占11%、建筑和零售占9%。而美國(61%)、英國(6%)和加拿大(5%) 則是受影響最大的三個國家。
2024年有13個新組織崛起,至少有6個主要的RaaS服務在地下論壇上被宣傳,包括PlayBoy、Rape、Medusa、Wing、BE-AST和Cicada 。
人工智能的發展降低了網絡犯罪的門檻,攻擊者利用AI生成釣魚郵件文本、欺詐性的法律文件、網絡釣魚頁面和惡意代碼,幫助攻擊者改進騙局并進行大規模社會工程活動;利用AI語音合成工具克隆聲音,深度偽造詐騙電話;利用聊天機器人模仿客戶支持代表,使用AI生成的對話來欺騙受害者分享如信用卡信息、 MFA代碼和密碼等敏感信息。
暗網已經從單純的網絡犯罪分子的避難所演變為網絡攻擊的供應鏈,成為實施精準化、規模化攻擊的核心樞紐。FortiGuard Labs監測顯示,暗網已形成從憑證竊取、漏洞武器化到AI自動化攻擊的完整產業鏈。攻擊者在發動入侵前往往已完成數月策劃,通過暗網市場獲取現成資源包——包括企業VPN憑證(占IAB交易量20%)、RDP接入權限(占IAB交易量19%)、Webshells等,這將迫使防御體系必須建立基于暗網情報的前瞻性響應機制。
報告下載地址:
https://www.fortinet.com/resources/reports/threat-landscape-report
浙公網安備 33010502006954號 
