问题——攻防节奏加速,安全团队压力上升; 思科Talos威胁狩猎团队在最新年度回顾中指出,过去一年网络攻击呈现“速度与规模”同步提升的特征:攻击者对新漏洞的利用更快,对企业人员与流程的欺骗更熟练,安全防护也从“按计划加固”被迫转向“与时间赛跑”。报告特别提到,一些新漏洞在披露后很快被批量利用,防御端在公开信息出现与真实攻击发生之间几乎没有缓冲期。 原因——自动化工具普及与互联网暴露扩大叠加,攻击面持续被放大。 Talos认为,漏洞利用速度飙升由多重因素共同推动:一是自动化扫描与利用工具门槛降低,使漏洞验证、利用链拼装和大范围投放更流水线化;二是大量业务系统对互联网开放,资产暴露面更广,攻击者更容易在更大范围内快速“撒网”;三是攻击者加大社会工程投入,能更贴近企业真实业务流程设计诱饵,提高初始访问成功率。报告以12月披露的React2Shell为例指出,该漏洞很快成为年度被攻击最频繁的漏洞之一,反映出漏洞从披露到被大规模滥用的周期已被大幅压缩。 影响——身份控制点成为“高价值入口”,横向移动与持久化风险上升。 报告观察到,攻击者正将资源集中投向身份控制有关技术与基础设施漏洞。所谓身份控制点,包括VPN、应用程序交付控制器等关键组件,一旦被攻破,攻击者往往可借此获得更高权限,进而在内网横向移动、建立持久化通道,甚至通过绕过或削弱多重身份验证扩大控制范围。 此外,网络管理软件及管理平面也更容易成为突破口。这类系统通常权限集中、连通性强,但在不少机构中,其监控与审计力度不如边界安全设备,容易形成薄弱环节。一旦失守,可能引发多业务系统的连锁影响,推高处置成本并增加业务中断风险。 对策——从“补丁优先”走向“身份优先”,同时补强人员与策略防线。 Talos数据显示,网络钓鱼仍是主要入侵起点之一,在入侵响应案例中的占比长期偏高。更值得警惕的是,钓鱼邮件在语言、格式和场景上更贴近真实工作流,常见主题包括发票付款、文档共享与会议通知等;且相当比例来自被冒用或已被攻陷的账号,使传统依赖“粗糙特征”的识别方式效果下降。 ,报告传递出明确信号:仅强调“发现漏洞就打补丁”已不足以应对现实,应将有限资源优先投入身份与访问控制、供应链入口和管理平面等关键环节。具体包括: 一是补丁治理提速提质。对涉及访问管理的软件与设备设定更高更新优先级,建立从资产清单、暴露面评估到紧急修补的闭环流程,缩短从披露到处置的周期。 二是强化多重身份验证体系的“抗滥用能力”。除推广多重身份验证外,还要完善锁定与限速策略,推进条件访问,提升密码卫生管理,强化会话控制与异常登录检测,降低“喷射式”尝试密码等攻击手法的成功率。 三是反钓鱼培训与技术联动并举。面向终端用户的培训应从“识别错别字”转向“识别流程异常、权限异常与支付变更”等高风险信号,同时结合邮件认证、账号异常行为分析与最小权限原则,提升整体防护韧性。 前景——防御窗口更短将成常态,安全建设需向体系化与前瞻性演进。 Talos判断,攻击者正在借助新工具持续改造既有攻击链条,相关能力未来可能继续嵌入网络犯罪工具体系,使攻击更低成本、更易复制。对企业与机构而言,这意味着短期暴露的代价更高,事件响应压力将持续增加。安全治理也将更多围绕“身份、管理平面与供应链”三大关键域展开,通过制度、技术与运营协同,形成可持续的风险控制能力。
当漏洞被快速武器化、钓鱼越来越像日常工作沟通时,安全对抗的关键往往在于“能否比对手更快、更稳、更体系化”。将资源向身份与管理平面倾斜,把修补与响应从“计划动作”变为“常态能力”,让人员意识与技术机制真正融入流程,才能在加速演进的网络威胁面前守住底线与业务连续性。