網絡安全公司Mandiant發(fā)布了《M-Trends 2025》報告，基于其2024年參與的事件響應工作，梳理了全球網絡攻擊趨勢。

核心趨勢與洞察

2024年，Mandiant處理的金融行業(yè)安全事件占比最高，達17.4%。其他主要攻擊目標包括商業(yè)和專業(yè)服務公司（11.1%）、高科技企業(yè)（10.6%）、政府部門（9.5%）以及醫(yī)療機構（9.3%）。

漏洞利用仍是最常見的初始感染途徑（33%），其次是憑證竊?。?6%）、釣魚郵件（14%）和網絡入侵（9%）。值得注意的是，在Mandiant處理的2024年入侵事件中，有34%無法確定攻擊者的初始入侵手段。該公司表示："雖然未知入侵途徑可能涉及多種因素，但如此高的比例反映出企業(yè)在日志記錄和檢測能力方面存在明顯不足。"

與往年相同，攻擊者使用了多種惡意軟件，但2024年的顯著特點是信息竊取程序（info-stealer）的卷土重來，這直接導致利用竊取憑證作為初始訪問手段的案例增加。

初始感染途徑，2022-2024年（來源：Mandiant）

2024年攻擊者最常利用的漏洞集中在Palo Alto Networks、Ivanti和Fortinet等廠商的邊緣安全設備（防火墻、VPN、網絡訪問控制解決方案等）中。

另一個值得關注的現(xiàn)象是"內部威脅"作為初始感染途徑的上升趨勢，這主要源于朝鮮IT工作者通過虛假身份獲取職位后，利用其網絡訪問權限實施進一步入侵和勒索的行為激增。

在勒索軟件相關入侵中，最常見的初始感染途徑是暴力破解（密碼噴灑、使用默認憑證、大量RDP登錄嘗試）——占比26%，其次是憑證竊?。?1%）、漏洞利用（21%）、前期入侵（15%）和第三方入侵（10%）。

企業(yè)的云資產最常通過釣魚郵件（39%）和憑證竊?。?5%）遭到入侵。Mandiant指出："2024年，我們響應了有史以來最多涉及云組件的安全事件。調查顯示，威脅行為者在云環(huán)境中得手主要歸因于三個因素：身份解決方案缺乏足夠的安全控制；本地集成配置不當；以及對擴展云攻擊面的可見性不足。"

"綜合來看，這些因素表明企業(yè)需要采取一種彌合本地與云環(huán)境安全差距的整體防護策略，同時認識到云攻擊面并非孤立存在，而是需要主動集成防御的互聯(lián)生態(tài)系統(tǒng)的一部分。"

Mandiant還特別指出，其紅隊經常在公開可訪問的存儲庫中發(fā)現(xiàn)敏感數據，這意味著攻擊者同樣可以獲取這些信息。"網絡文件共享、SharePoint站點、Jira實例、Confluence空間和GitHub倉庫通常包含大量有價值信息（如憑證、私鑰、財務文件、個人身份信息PII和知識產權）。這些通常對擁有標準權限的員工開放的數據，構成了許多企業(yè)尚未意識到的重大安全風險。"

企業(yè)防御建議

基于報告發(fā)現(xiàn)，Mandiant提出以下核心安全建議：

• 部署符合FIDO2標準的多因素認證（MFA）：防范憑證竊取導致的入侵
• 審計并加固暴露在互聯(lián)網的基礎設施：特別是針對使用默認或弱憑證的VPN和遠程桌面協(xié)議（RDP）接口的暴力破解攻擊
• 阻斷端點腳本并實施內容過濾：降低SEO投毒和惡意廣告等網絡入侵風險
• 制定嚴格的瀏覽器憑證存儲策略：減少信息竊取惡意軟件的危害
• 定期為所有系統(tǒng)和軟件打補?。嚎s短新披露漏洞的可利用時間窗口
• 通過嚴格的數據驗證、招聘流程額外審查及入職后監(jiān)控，防范包括欺詐性雇傭在內的內部威脅
• 實施網絡分段并監(jiān)控橫向移動
• 加強內部檢測和日志記錄能力：縮短駐留時間并減少對外部通知的依賴
• 監(jiān)控云身份和訪問活動：防止單點登錄（SSO）系統(tǒng)被濫用
• 運用威脅情報優(yōu)先防御常見攻擊技術：根據MITRE ATT&CK框架中觀察到的技術（如命令和腳本執(zhí)行T1059、數據加密影響T1486）調整防御措施