登录注册

2026年全球威胁报告.pdf

2026年全球威胁报告.pdf
《CrowdStrike 2026年全球威胁报告》将2025年定义为“逃避型攻击者之年”,核心内容总结如下: ### 1. 威胁景观核心趋势 * **攻击速度大幅提升:** 2025年电子罪案的平均“突破时间”(从初始进入到横向移动的时间)缩短至29分钟,比前一年提高了65%,最快纪录仅为27秒。 * **无代码/无文件攻击盛行:** 82%的检测为无恶意软件攻击(Malware-free),攻击者倾向于利用合法凭据和系统内置工具(Living-off-the-land)进行隐蔽活动。 * **AI 攻击激增:** 启用AI的攻击者发起的攻击数量同比增长了89%,AI被用于加速钓鱼攻击、自动化侦察、代码生成以及复杂的社交工程。 ### 2. 关键威胁主题 * **AI 时代的双刃剑:** 攻击者正通过ChatGPT、DeepSeek等大模型提升攻击规模和质量。典型案例包括FANCY BEAR在恶意软件中嵌入大模型提示(Prompt)进行自动化侦察。同时,攻击者也开始针对AI系统本身进行“提示词注入”和绕过安全管控。 * **勒索软件的跨域进化:** SCATTERED SPIDER和PUNK SPIDER等对手专注于攻击未管理资产(如VMware ESXi虚拟机、VPN边缘设备)和利用远程文件加密(SMB路径)来躲避终端检测与响应(EDR)工具。 * **供应链攻击的高价值打击:** 攻击者从直接攻击受害者转向攻击上游供应商和开发生态系统。朝鲜对手PRESSURE CHOLLIMA通过非法控制供应链,实施了史上最大规模的加密货币窃案(盗取价值14.6亿美元资产)。 * **零日漏洞的快速武器化:** 零日漏洞利用数量同比增长42%。中国背景的对手(如OPERATOR PANDA)展现了极强的武器化能力,通常在漏洞披露后的几天甚至几小时内便开始大规模利用。 ### 3. 地缘政治与国家背景对手 * **中国(China-Nexus):** 持续主导威胁景观,攻击活动增长38%。特别强调对边缘设备(防火墙、网关)的利用,重点针对电信、物流和金融行业以满足情报需求。 * **俄罗斯(Russia-Nexus):** COZY BEAR等对手通过极其复杂的社交工程和对微软Entra ID(原Azure AD)认证流的滥用,实现对云环境的深度渗透。 * **朝鲜(DPRK-Nexus):** 重点依然是加密货币盗窃和针对开发者的供应链渗透,以获取资金并支持其国家目标。 ### 4. 云端安全挑战 * 云意识攻击增长了37%,而由国家背景对手发起的此类攻击激增了266%。攻击者利用混合身份验证机制中的信任漏洞,通过操纵OAuth令牌和身份提供程序(IdP)在云端实现持久化。 ### 5. 核心防御建议 1. **安全防护AI化:** 建立AI治理框架,监控企业内部AI使用,利用AI代理实现机器速度的防御。 2. **视身份与SaaS为首要攻击面:** 强化抗钓鱼的多因素认证(MFA),实施最小权限原则,监控异常的令牌活动。 3. **消除跨域盲区:** 整合终端、云、身份和网络遥测数据,利用XDR和下一代SIEM实现自动化关联分析。 4. **优先修补边缘设备:** 要求在关键漏洞披露后的72小时内完成补丁修补,并加强对VPN和网关的日志审计。 5. **增强人为韧性:** 开展针对性强的社交工程演练,并定期进行红蓝对抗和桌面推演,提升应急响应效率。 报告强调,面对AI加速、隐蔽性极高且跨领域移动的现代对手,防御者必须通过数据驱动的平台化方案,以机器速度连接情报与行动。
下载完整报告 | 15.53 MB | 58页
阅读和下载会消耗积分;登录、注册、邀请好友、上传报告可获取积分。
成为VIP会员可免费阅读和下载报告