什么是网络攻击?
现代攻击面包括具有 IP 地址、API 端点、令牌存储或错误配置权限的一切。当敌人可以利用 SaaS 集成、篡改 CI/CD 流水线或窃取机器身份冒充可信自动化时,他们就不需要绕过防火墙了。然后,它们在进入后将本地工具和合法访问武器化,并往往通过避开传统恶意软件签名来逃避检测。
攻击的复杂程度当然各不相同。有些组织依靠暴力自动化和回收凭证。还有一些公司则投资于多阶段活动,将网络钓鱼、协议滥用和供应链篡改融为一体。大多数运行工具可媲美企业级平台。
网络攻击已从一次性入侵发展为持续性攻击。各组织面临的不再是孤立的违规行为,而是来自有经济和政治动机的行为者的持续试探。要防止这些攻击,除了需要有可视性和身份感知执行力,还需要有漏洞感知防御态势和协调的响应架构,以应对已知和新颖的战术。
网络攻击类型概览
| 网络应用程序网络攻击 | 密码网络攻击 |
|---|---|
|
全球网络攻击趋势
现在,威胁行动者的行动规模和节奏对传统防御的每一层都构成了挑战。Palo Alto Networks 的安全团队每天检测到 150 万次新型攻击--前一天还不存在的威胁。在整个平台上,每天拦截的攻击企图达 86 亿次。但仅凭频率并不能解释这种变化。攻击者采用了更快、适应性更强的方法来躲避检测,并将防御者最信任的东西--合法凭证、本地工具和错误配置的访问权限--作为武器。
有效载荷不再占主导地位。2024 年,近三分之一的入侵始于有效凭证。信息窃取者感染了 430 万台设备,获取了 3.3 亿个用户名和密码以及 173 亿个 cookie。这些会话令牌让对手可以无缝访问云平台、消息应用程序和内部门户。许多人完全绕过了端点保护。
攻击链跨越多个领域。在70% 的事件中,入侵路径跨越三个或更多面,大多结合了端点访问、云横向移动、身份操纵和人为攻击。在这种环境下,单层防御已经失去了意义。现在,安全程序必须检测到跨域战术,并及早阻止其发展。
人工智能扩大了攻击者的优势。现在,生成模型可以编写与内部语气一致的网络钓鱼电子邮件,并自动开发内置变体混淆功能的恶意软件。2025 年初,窃取信息的网络钓鱼活动激增,比上一年增加了 180%,这凸显了自动化是如何取代人工的。Gartner 预计,到 2027 年,17% 的攻击将使用人工智能驱动的技术,而且人工智能代理将把利用账户漏洞的时间缩短 50%。
2023 年,全球遥测技术记录了60.6 亿次恶意软件攻击。虽然恶意软件的行为已经发生了变化,但其数量仍然很多。传统的签名已不再足够。现在,许多病毒株以无文件方式加载,混入内存进程,并使用躲避性延迟策略,以超越基于时间的检测。
勒索软件几乎已成为一种普遍威胁。2023 年,72.7% 的组织至少经历过一次勒索软件事件。2024 年,美国关键基础设施攻击上升了 9%。与早期的勒索软件不同,如今的勒索软件往往包含双重勒索、横向发现和嵌入式远程访问功能,从而将遏制变成了与不可逆转的损害赛跑。
全球经济影响
随着防御者的落后,网络攻击的成功成本不断攀升。2024 年,网络犯罪将在全球造成 9.22 万亿美元的损失。预测在速度上存在分歧,但在方向上是一致的,预计到 2027 年,年损失将达到 13.82 万亿美元至 23.84 万亿美元。现在的增长曲线超过了全球国内生产总值。安全程序--其中大部分--并不是为这种程度的轰炸而设计的。
相关文章Unit 42 威胁前沿报告:防范新出现的人工智能风险
网络攻击分类学
现代攻击遵循一种机会主义逻辑:利用任何阻力最小、回报最高的东西。要准备有效的防御,组织必须了解对手是如何入侵的。
社会工程学
社会工程学仍然是攻击者成本最低的切入点。对手利用人类行为绕过技术防御。网络钓鱼工具包现在包括基于代理的令牌捕获,除非会话绑定和令牌轮换策略到位,否则MFA将失效。Quishing(基于 QR 的网络钓鱼)和回拨网络钓鱼(基于语音的借口)也激增,尤其是在支持台冒充方面。
网络和应用程序接口滥用
攻击者越来越多地将网络应用程序和暴露的应用程序接口作为主要载体。OWASP Top 10 缺陷仍然是主要的切入点,尤其是访问控制被破坏和不安全的反序列化。与此同时,攻击者还利用 GraphQL 和 REST 接口中的 API 路由错误、输入无效、数据过度暴露和权限超限等问题。自动发现工具会抓取未记录的端点,然后探查身份验证门背后的逻辑漏洞。
网络入侵
现在,网络层入侵更多是从滥用凭证开始,而不是利用漏洞链。在使用漏洞时,攻击者倾向于使用未打补丁的边缘设备,并依赖于预验证 RCE。然后,他们在内部使用协议级攻击(即 SMB 中继、ARP 欺骗、Kerberos 票据篡改)来扩大访问范围。横向移动通常遵循可预测的企业架构,其中扁平 VLAN 和共享身份域会加速妥协。
端点破坏
端点仍然是最明显的目标,但现代入侵很少依赖于可检测的恶意软件。攻击者在内存中运行代码或滥用本地脚本框架。有些人利用 DLL 副加载功能颠覆受信任的应用程序。浏览器会话劫持已超过勒索软件,成为企业重大漏洞的前兆。由于没有内核级可见性,大多数EDR无法检测到未触发基于文件的遥测的执行路径。
云错误配置利用
公共 S3 存储桶、不受限制的受管身份、开放式Kubernetes仪表板--攻击者现在将云错误配置视为一个长期存在的机会。CSPM工具会显示风险,但往往会将团队淹没在低优先级警报中。网络攻击者的行动速度更快,他们在互联网上扫描刚刚部署的带有默认设置或泄漏令牌的服务。
供应链操纵
软件供应链提供了高杠杆目标。攻击者会破坏上游依赖关系、软件包注册表或 CI/CD 自动化,从而毒害可信工件。依赖关系混乱、错字抢注和恶意更新注入已影响到 NPM、PyPI 和 Docker Hub 中广泛使用的组件。在构建过程中,攻击者通常会篡改环境变量中存储的凭据,或通过 GitHub Actions 或 GitLab CI 配置文件覆盖工作流程。
攻击目标
攻击者很少会毫无目的地破坏环境。每次入侵都与一个或多个目标相对应,从而决定了入侵者选择的技术和表现出的紧迫性。
- 数据盗窃包括知识产权、认证机密、客户记录或监控目标的批量外泄。窃取恶意软件、云同步滥用以及通过 HTTPS 或DNS 隧道进行的外渗都有助于实现这一目标。
- 经济利益驱动着勒索软件、商业电子邮件泄密 (BEC)、加密和基于联盟的勒索。攻击者监控内部财务工作流程,以拦截或重定向付款,通常以工资单、供应商系统或企业资源规划平台为攻击目标。
- 服务中断经常出现在DDoS 攻击、破坏性雨刷恶意软件或基础设施篡改中。在地缘政治冲突期间,与国家结盟的团体利用这种策略降低公众信任度或破坏关键行业。
- 间谍活动的动机是持续进入和横向移动到敏感部门。威胁行为者利用流量整形和休眠植入来躲避检测,同时窃取政策备忘录、谈判策略或防御研发成果。
- 毁灭性破坏是指旨在永久性降低系统性能的攻击。AcidRain、WhisperGate 或 CaddyWiper 等擦除器会擦除固件、覆盖 MBR 或损坏嵌入式设备。在关键基础设施领域,攻击者的目标是破坏物理世界。
框架调整
The MITRE ATT&CK Frameworkv17.1 仍是最全面、最有条理的对手行为目录。它对战术以及支持每种战术的技术和子技术进行了分类:
|
|
将观察到的活动映射到 ATT&CK 可实现结构化分流、威胁搜索和检测工程。例如,使用 PowerShell 进行凭证转储(T1003.001)、利用面向公众的应用程序(T1190)或滥用有效云账户(T1078.004),都应为预防和响应控制提供信息。
MITRE ATT&CK 还能帮助团队根据真实世界的攻击者行为调整红队演习、SOC检测范围和策略执行。其企业、移动、云和 ICS 矩阵不断扩展,每季度的更新都反映了威胁形势的变化。
威胁--行为体格局
如果不深入了解攻击的幕后黑手,任何安全策略都是站不住脚的。威胁行动者在能力、意图、瞄准逻辑和风险承受能力方面存在很大差异。未能区分这些群体的组织往往会错误地分配防御资源,在噪音上花费过多,却让关键任务资产暴露在外。
国家支持的团体
民族国家行为体的运作有长期计划、专用基础设施,而且往往对运营成本不敏感。在情报部门或军事单位的支持下,这些组织开展符合国家利益的间谍、预先部署和破坏活动。中国的 APT41、俄罗斯的 APT28、朝鲜的 Lazarus Group 和伊朗的 OilRig 各自保持着不同的 TTP,但越来越多地共享工具链以及 C2 基础设施和洗钱方法。
他们的竞选活动通常以电信、能源、防御承包商、政治组织和半导体为目标。初始访问通常涉及鱼叉式网络钓鱼、零时差利用或凭证盗窃。然后,国家集团投资于隐蔽性,实现长达数月的停留时间。横向移动优先考虑身份域控制器和协作平台或已知拥有政策或供应链蓝图的SaaS环境。
有组织网络犯罪
网络犯罪集团以专业化企业的形式运作。有些人运营基于联盟的勒索软件业务,有些人则专门从事凭证获取或金融欺诈。大多数公司都在引渡风险有限的地区开展业务,并经常通过中介市场和代管论坛进行合作。
初始准入经纪人出售立足点的价格反映了行业、地理位置和特权级别。获得访问权限后,行为者会使用 Cobalt Strike、Sliver 和自定义加载器等后剥削工具包。他们的目标是通过勒索或盗窃快速赚钱。现在,许多犯罪集团将行动节奏和技术严密性融为一体,与先进的持久性威胁无异。
黑客活动家
黑客活动遵循意识形态路线。尽管匿名者等组织在技术成熟度上不及国家或犯罪分子,但他们确实通过分布式拒绝服务攻击、网站篡改和数据泄露等手段产生了影响,更不用说社会放大效应了。在地缘政治冲突,特别是影响公民自由的高调立法期间,他们的行动会激增。
近年来,黑客行动主义分裂成了针对特定地区的集体。例如,亲俄罗斯或亲乌克兰的黑客活动分子破坏了关键基础设施,泄露了敏感信息,并在媒体平台上充斥虚假信息。虽然他们有时会被忽视,但他们可以使用泄露的工具集和窃取的凭证,这往往使他们的行动难以被忽视。
内部威胁
内部行动者是一类既具有技术独特性,又具有组织破坏性的威胁。内部人员可以绕过外围防御,通常拥有合法访问权、深厚的操作知识和动机。内部威胁可能是恶意的,也可能是不知情的,其动机从经济上的绝望到报复或胁迫不一而足。
大多数内部事件并非源于系统管理员或有特权的工程师。相反,销售团队、承包商和支持人员经常通过未经授权的传输、会话共享或绕过控制来满足截止日期的要求,从而暴露敏感数据。检测取决于行为基线和会话监控。
动机和行为
攻击行为与行为者的利益相关。通过对动机的映射,防御者可以预测攻击者的停留时间、攻击目标和对检测的容忍度。
财政激励措施
经济刺激是大多数入侵行为的驱动力。勒索软件即服务 (RaaS)、BEC 和凭证收集在犯罪经济中占主导地位。财大气粗的行动者追求快速货币化,企业结构日益完善(即联营公司、质量保证、支持、收入共享模式)。许多人利用加密货币支付处理、防弹托管和洗钱服务中的法律灰色地带。
战略情报
战略情报促使国家集团寻求地缘政治影响力。目标包括政策顾问、防御承包商、科研机构和公共基础设施提供商。这些行为者持续存在,往往能在数月内躲过检测,以渗出敏感材料或嵌入固件或管理层面。
意识形态目标
意识形态目标煽动了黑客活动分子和极端主义结盟团体。他们的目标通常是公共标志,如政府门户网站和被视为不道德的公司。行动的成功与其说靠的是技术优势,不如说靠的是放大效应、定时干扰和声誉损害。
申诉
个人恩怨驱使着一些内部人员和边缘攻击者。在发生破坏、数据被盗或敏感通信被曝光之前,往往会出现裁员、歧视或晋升被拒的情况。虽然这些攻击的范围较小,但却可能导致不成比例的损害,特别是在受监管的部门。
了解威胁行为者的情况是必要条件。如果不清楚对手是谁以及他们想要什么,预防工作就会沦为盲目的缓解措施。
攻击生命周期和方法
敌人不会一蹴而就地破坏环境。它们通过确定的阶段前进,每一个阶段都能促进下一个阶段。了解攻击的结构能让安全团队插入摩擦,在中途打破链条,并在影响之前发现迹象。
侦察
攻击者从收集信息开始。域名记录、员工 LinkedIn 简介、GitHub 存储库和云资产元数据往往揭示了内部架构、命名约定和身份方案。
Maltego、SpiderFoot 和 Recon-ng 等开源情报(OSINT)工具可大规模汇集这些数据。自动搜索器从漏洞数据库中提取凭证重复使用模式。入侵者在入侵前会映射VPN端点、子域和应用程序表面。
目标剖析缩小了光圈。攻击者根据权限暴露、外部错误配置以及是否存在有价值的凭证或数据处理功能来确定目标的优先级。
武器化
一旦建立了目标档案,对手就会精心制作有效载荷。现成的漏洞利用工具包包括加载器、混淆器以及用于浏览器、文档和内存传输的预制模块。建设者支持加密、沙箱规避和多载体部署。
恶意软件定制可确保有效载荷避免基于签名的检测。Shellter、Veil 等工具和自定义的 C2 输出程序支持多态性、加密分层和分阶段交付。在技能较高的群体中,有效载荷与系统架构、端点安全态势和操作节奏相匹配。
交付
网络钓鱼仍是主要的传播方式。嵌入式链接、武器化附件、伪造的 MFA 提示和 QR 码会诱使目标执行脚本或披露凭证。高级网络钓鱼代理实时拦截令牌,并使用会话转发功能通过 MFA 检查。
Smishing(短信网络钓鱼)和回拨网络钓鱼活动通过触发实时互动来提高可信度。在最初的入侵链中,网络电话欺骗和伪造支持线路仍然很常见。
偷渡式下载利用的是薄弱的浏览器配置或恶意广告基础设施。漏洞利用工具包会检查用户代理,只有在满足漏洞利用前提条件后才会发送特定平台的有效载荷。有些利用通过图像解析或字体渲染漏洞提供的零点击漏洞。
漏洞利用
在初始利用方面,凭证滥用超过了软件漏洞。被盗的令牌和保护薄弱的 API 密钥允许直接访问,而不会触发 IDS 签名。云环境存在默认配置问题,拥有有效身份即可绕过外围控制。
零日漏洞利用针对的是未修补或未披露的漏洞。零时差虽然罕见,但往往在发现后几天内就能投入使用,特别是在部分禁运的情况下披露时。攻击者偏爱边缘设备中的远程代码执行漏洞、SaaS 平台中的身份验证绕过以及浏览器引擎中的沙箱逃逸。
安装
利用成功后,攻击者会部署植入程序以保留访问权限。远程访问木马(RAT)会悄无声息地安装,并通过加密隧道连接到外部命令服务器。许多病毒打着合法系统进程的幌子,或滥用已签名的二进制文件来逃避检测。
在 容器环境中,攻击者往往会寻求逃脱。错误配置的运行时权限或不安全的容器映像允许穿越主机、提升权限或破坏协调平台。攻击者会注入恶意 Sidecar、覆盖 kubelet 行为,或通过松懈的机密管理进行渗透。
命令与控制
建立存在后,攻击者会建立指挥和控制(C2)渠道。DNS 隧道因其普遍性和无需检查而经常被使用。恶意有效载荷在 TXT 或 A 记录查询中编码指令,并反向外泄数据。
云托管 C2 基础设施融入可信服务。攻击者在 Dropbox、GitHub Gists、Google Docs 或 pastebins 中托管有效载荷和阶段命令。指向这些提供商的流量很少触发警报,尤其是通过模仿自动流程的用户代理进行加密和掩盖时。
更高级的小组则部署定制的 C2 框架,支持回退协议、信标间隔和动态配置更改。有些公司维护分层基础设施,通过代理层或受感染节点进行路由,以阻止归因。
目标行动阶段
数据外泄是通过 HTTPS、WebDAV 或 SFTP 发送压缩和加密的 Blob 进行的。在隐蔽活动中,攻击者可能会直接同步到云存储服务,或将外泄内容编码到合法的应用程序遥测中。
横向移动依赖于窃取的凭证、令牌冒充和环境中已批准的远程管理工具。常见的技术包括通过哈希值、伪造 Kerberos 票据以及滥用远程桌面或 MDM 协议。在云原生环境中,攻击者会列举IAM 角色、劫持自动化管道或通过共享元数据服务穿越资源边界。
产生影响的动机各不相同。勒索软件会加密系统和数据,然后删除备份和日志。擦拭器会覆盖磁盘头或固件,使系统永久无法运行。在欺诈活动中,攻击者会改变金融交易的路线、篡改工资单或利用内部可信度制造 BEC 事件。政治人物泄露敏感文件,以影响公众言论或损害声誉。
参与技术深入讨论
只要防御者错误配置控制或未能应用最低权限,攻击者就会将目标对准基础设施。了解当前针对端点和网络使用的工具包,有助于安全领导者根据对手的行为调整投资。
端点攻击
终点既是最初的立足点,也是横向中转站。当对手可以通过执行链、本地工具或临时窃取令牌绕过控制时,它们的利用不需要零日。
勒索软件的演变
现代勒索软件很少单独运行。小组按照结构化的流程手册,分阶段进行数据窃取、访问货币化和销毁。双重畸变模式占主导地位。在加密数据之前,攻击者会外泄数 TB 的内部记录、合同、法律备忘录和客户数据。然后,他们威胁要将此事公之于众,并在赎金字条还未落地之前就开始了谈判。
RaaS 生态系统降低了技术门槛。联属会员许可有效载荷,与运营商分享利润,并获得 C2 基础设施、支付支持,甚至受害者谈判手册。Black Basta、8Base 和 LockBit 等家族发展迅速,往往超过了静态检测签名。
访问权通常从初始访问经纪人处购买。部署是通过 RDP 滥用、被入侵的 VPN 或含有宏的附件进行的。加密针对本地和映射驱动器。现在,许多病毒都会禁用备份进程并篡改管理程序,从而破坏快照。
无文件技术
无文件恶意软件直接在内存中执行,无需持久文件。PowerShell、WMI 和 .NET 是首选平台。攻击者以反射 DLL 的形式加载有效载荷,使用 LOLBins 放置辅助工具,或通过进程空洞化将 shellcode 注入可信进程。
离岸二进制文件(LOLBins)支持从凭证转储(rundll32、regsvr32)到横向移动(wmic、mshta)的所有功能。大多数端点防护平台默认情况下都允许使用这些功能,因此行为上下文成为唯一可行的检测策略。入侵者将这些二进制文件与本地脚本相链接,以保持静默、快速和难以归属。
网络和基础设施攻击
虽然身份已成为新的边界,但核心网络基础设施仍是主要攻击目标。
分布式拒绝服务
作为政治和金融工具,DDoS 攻击重新崛起。容量运动经常超过 2 Tbps。攻击者使用由被入侵的物联网设备、暴露的 API 和租用的云虚拟机组成的僵尸网络。当攻击来自分布在不同地理位置的源头并带有随机有效载荷时,缓解工作就变得复杂起来。
Mirai 变种、Condi 和 Pandora 等编排平台为攻击者提供了预制仪表板和插件模块,以实现动态目标定位。攻击者越来越多地从网络层洪水转向应用层(第 7 层)技术,以高请求并发性和低资源饱和度压倒特定端点。
第 7 层的洪水通常针对认证工作流、搜索功能或结账购物车等数据库交互较多的领域。这些洪水不需要太多带宽,但会耗尽后端资源,造成延迟和故障。
中间人
中间人(MitM)攻击利用不安全或配置错误的通信渠道拦截或修改流量。企业 Wi-Fi 部署在没有强制执行证书销号或相互 TLS 的情况下,仍然特别容易受到攻击。
TLS 降级攻击利用了版本回退行为。攻击者拦截握手,强制使用过时的密码套件,并用他们控制的密钥重新加密流量。在没有 TLS 的情况下,明文拦截会产生凭证、会话令牌或敏感的操作数据。
恶意接入点模仿受信任的 SSID,并通过攻击者控制的网关代理连接。毫无防备的设备会自动连接,并通过充满敌意的基础设施路由流量。WiFi Pumpkin 和 Bettercap 等工具可自动设置 "俘虏门户",在流量流中伪造凭证或注入有效载荷。
基于网络的攻击往往能躲过云原生检测系统,因为攻击载体位于应用层之下。防御不仅需要网络分段,还需要边缘协议感知监控、加密传输执行和会话异常检测。
网络和应用程序攻击
网络应用程序仍然是顶级攻击面,因为它们经常暴露业务逻辑和特权后端系统。大多数企业缺乏完整的网络资产清单,很少有企业对应用程序接口输入或会话行为进行全上下文验证。攻击者通过直接注入、篡改逻辑或绕过强制执行的连锁工作流来利用这一漏洞。
注塑缺陷
尽管人们已经意识到SQL 注入问题存在二十年之久,但它依然屡禁不止。攻击者精心设计的输入会修改后端数据库执行的 SQL 查询,有时会提取整个模式或修改记录。当错误信息被抑制时,盲 SQLi 技术仍然有效,它利用基于时间的推理,一次检索一个比特的数据。基于过时的 ORM 框架构建的现代网络堆栈通常无法对边缘情况有效载荷进行消毒。
服务器端请求伪造(SSRF)迫使应用程序向任意目的地发起向外请求。攻击者利用 SSRF 访问内部元数据服务、云 IAM 角色和内部管理端点(不对外暴露)。在云原生环境中,SSRF 经常导致权限升级或跨租户数据暴露。如果服务滥用基于信任的授权或允许递归重定向,这种情况就会更多。
逻辑滥用
Broken 访问控制失灵不再意味着 "登录页面丢失"。现在,它可以反映授权失败的情况--即根据标头或 URL 参数不适当地执行访问。攻击者通过篡改请求结构、提升角色或重复使用与高权限会话绑定的 API 标记来升级权限。云错误配置往往反映了这些模式,在文档中存在权限边界,但在实践中却不存在。
业务逻辑操纵会利用应用程序允许的功能与应该防止的功能之间的差距。除了时间错配,攻击者还会利用竞赛条件和折扣计算错误。在金融系统中,操纵货币兑换、发票生成或转账限额会导致直接损失。诸如此类的漏洞会躲过扫描仪的扫描,需要进行对抗建模。
身份和证书滥用
所有涉及横向移动、权限升级或冒名顶替的活动都依赖于某种形式的凭证访问。身份已成为云、混合和 SaaS 生态系统的主要攻击载体。
网络钓鱼变种
网络钓鱼不再局限于伪造登录页面。MFA 疲劳攻击会对用户进行重复认证请求轰炸,直到其中一个请求被批准为止。有些营销活动使用反向代理实时拦截令牌,以便在不触发警报的情况下立即重复使用。
深度伪造语音通话已投入使用。网络犯罪分子利用泄露的几分钟音频合成领导者的声音,并拨打电话要求重置凭证或紧急批准。配合伪造的来电显示和编造的电子邮件线程,这些活动即使在严密的环境中也能得逞。
证书填充
凭证填充攻击利用的是跨服务重复使用的密码。OpenBullet、SentryMBA 等自动化平台和自定义 Python 工具每分钟针对登录门户、移动 API 和 OAuth 流程测试数千个用户名-密码组合。现代营销活动注入了随机标头或设备指纹等行为规避手段,以规避速率限制和检测。
攻击者从信息窃取者、漏洞转储和令牌收获恶意软件中获取新的凭证。许多凭证包括浏览器存储或开发人员环境中嵌入的会话 cookies 或云访问密钥。防御者必须承担重复使用的责任,积极轮换机密,并检测异常情况。除非包含行为、上下文和意图验证,否则认证就不是一种控制。
云原生攻击
大多数云漏洞都源于可预防的错误配置或在压力下崩溃的隐含信任假设。
配置错误漏洞
不受限制的存储桶仍然是多云环境中最常暴露的资产之一。公开读取访问、继承权限以及缺乏静态加密控制,使对手只需一次未经验证的请求,就能枚举并提取敏感数据。攻击者使用 Grayhat Warfare、S3Scanner 和 CSP 专用 API 等工具自动进行发现。
过度授权的角色比暴露在外的桶更具破坏性。许多组织未能遵守最小权限原则,而是授予服务账户或 lambda 函数通配符权限(即 iam:PassRole 或 s3:*)。获得身份的攻击者可以通过合法呼叫在整个环境中升级。期待角色链、跨账户假设和横向调动。
供应链漏洞
CI/CD 管道为攻击者提供了进入生产的可信路径。被破坏的构建系统允许插入恶意代码、泄露环境机密或修改推送到生产注册表的工件。Jenkins、GitHub Actions、GitLab Runners 和自托管代理在运行时通常会提升权限,并尽量减少出口监控。
恶意软件包插入利用了对第三方依赖关系的信任。攻击者利用错字抢占、repo-jacking 或冒充贡献者等手段木马库,然后发布到开放源。如果被下游项目使用,恶意代码就会在构建或安装过程中执行,通常会在未经检查的情况下进入生产过程。
相关文章云供应管道攻击剖析
供应链入侵通过在已签名、已验证的人工制品范围内运行,绕过了运行时防御系统。防御者必须强制执行出处,应用可重现的构建,并采用软件物料清单(SBOM)验证,以减少风险。管道机密,尤其是授予云访问权限的管道机密,必须自动轮换,并保持绝对最小的范围。
OT 和 IoT 攻击
IT 和 OT 的融合为工业环境带来了威胁,而这些威胁以前只针对数字系统。与此同时,物联网生态系统的扩展速度超过了大多数组织的安全防护能力,往往会暴露出未经充分测试的固件和未受管理的应用程序接口。
工业控制系统
协议操纵针对的是确定的、未经验证的 OT 协议,如 Modbus、DNP3 和 Profinet。这些协议缺乏加密或身份验证,允许攻击者注入命令、读取进程状态或修改传感器值,从而造成实际后果。在通过平面网络直接访问 PLC 的环境中,对手可以实时操控阀门、继电器或控制回路。
固件破坏将攻击引向深入,在引导加载程序或控制器一级嵌入恶意代码。攻击者通过被入侵的更新服务器或不安全的现场升级协议,植入代码,这些代码会在重启后持续存在,无法被常规检测到。有些变体会延迟紧急停机或干扰安全联锁。
现代 ICS 环境通常包含桥接主机 - 与 OT 和 IT 网络具有双重连接功能的 Windows 机器。这些都成为支点。如果没有严格的分隔,对手只需横向移动几步,就能从网络钓鱼电子邮件转入工厂控制。
物联网僵尸网络
物联网 僵尸网络仍然是大规模 DDoS 攻击和凭证充塞活动的主导力量。Mirai 变种因其源代码可用性、易修改性和默认密码扫描逻辑而占据主导地位。如果被入侵,路由器、DVR 和智能传感器等设备就会转发 C2 服务器的指令,并通过 HTTP 泛洪或 DNS 放大来压垮目标。
利用 API 可让攻击者访问管理平面。许多物联网平台公开的应用程序接口缺乏身份验证、允许权限升级或返回过于冗长的元数据。攻击者利用这些端点定位设备、重放遥测数据或部署固件降级,从而重新引入已知漏洞。
物联网生态系统很少强制执行安全入职。打补丁和远程管理也是如此。换句话说,如果不立即采取可见性和策略控制措施,加入网络的设备就会成为攻击面的一部分。大多数人不知道,攻击者也知道这一点。
网络攻击案例研究
最近的攻击揭示了威胁行为者如何利用错位控制、扁平架构或用户信任假设来制造结构性弱点。
MOVEit Mass-Exfiltration 入侵事件
2023 年 5 月,Clop 利用 Progress 软件公司 MOVEit Transfer 产品中的一个零日漏洞,发起了近期历史上最大的数据盗窃活动之一。该漏洞允许未经身份验证的 SQL 注入,使攻击者能够从 MOVEit 服务器大规模部署 web shell 和外渗文件。
几周内,数百家组织(政府机构、大学和金融机构)的 MOVEit 服务器被入侵。攻击者部署了自动化系统,以扩大对全球实例的访问。随后,他们又通过泄密网站进行勒索威胁。受害者包括壳牌石油公司、英国广播公司和美国。能源部。
The 数据泄露事件暴露了第三方文件传输管理 (MFT) 服务的系统性风险。许多组织未能将 MOVEit 服务器与敏感网段隔离,这使得攻击者在入侵后可以直接进入内部系统。
相关文章MOVEit Transfer SQL 注入漏洞:CVE-2023-34362、CVE-2023-35036 和 CVE-2023-35708
米高梅酒店社交工程入侵事件
2023 年 9 月,美高梅国际酒店集团遭受攻击,因为威胁行为者利用 LinkedIn 资料识别 IT 服务台员工,并通过电话以社交方式设计访问凭证。在入侵系统后,该组织部署了勒索软件,破坏了多家赌场和酒店的运营。
攻击者隶属于 Scattered Spider 组织,他们利用合法的 RMM 工具横向移动并禁用安全软件。停电影响了数字房间钥匙、游戏系统和支付终端一个多星期。公开文件显示,财务影响超过 1 亿美元。
这一漏洞突出了两点。首先,攻击者现在使用基于电话的借口和行为洞察来绕过身份控制。其次,许多企业 SOC 无法检测到合法管理工具在活动期间被滥用的情况。
2024 年医疗保健勒索软件浪潮
在整个 2024 年,勒索软件攻击在整个医疗保健行业激增。ALPHV、LockBit 和 Rhysida 的目标客户是医院、保险提供商和电子病历供应商。常见的入口点包括 RDP 暴露、VPN 漏洞和从员工工作站获取的信息窃取者凭据。
这些攻击通常包括在加密前进行数据外渗,泄露被盗病人记录以增加压力。在某些情况下,重症监护系统还出现了脱机。由于依赖传统软件和缺乏不可更改的备份,恢复时间长达数周。
医疗保健机构由于运行扁平化的内部网络、依赖过时的端点软件以及缺乏应用层分隔而深受其害。勒索软件操作员以外科手术般的精确度利用了这些条件,表明特定行业的合规性并不等同于运行复原力。
全球大选期间的人工智能辅助网络钓鱼
2024 年初,协调一致的网络钓鱼活动利用生成式人工智能冒充选举官员和可信的公众人物。Deepfake 音频信息和人工智能编写的电子邮件针对多个国家的选举工作人员、选民数据库和竞选团队,包括美国、印度和几个欧盟成员国(美联社新闻)。
这些宣传活动利用语言模型用当地方言创建令人信服的信息,并根据公共新闻报道周期进行动态调整。一些行动将电子邮件网络钓鱼与人工智能生成的电话相搭配,以加强紧迫性或可信度。攻击者获取凭证,操纵选民信息系统,并在网上泄露敏感的规划文件。
这些攻击突显了生成模型如何降低社会工程学的成本并提高其有效性。由于人为响应触发器和各辖区身份验证流程不一致,公共机构,即使是拥有加固基础设施的公共机构,仍然容易受到攻击。
相关文章: DeepSeek 被诱骗生成 SQL 注入和横向移动代码
工具、平台和基础设施
攻击者不再从头开始编写漏洞利用程序,也不再手动构建基础架构。它们在一个成熟的工具和服务生态系统中运行,反映了合法的软件开发实践。
恶意软件系列
Cobalt Strike 仍是目前被仿效和滥用最多的开发后框架。它最初是为红色团队设计的,可通过 HTTP、DNS 或命名管道实现有效载荷暂存、命令执行、横向移动和信标功能。威胁行为者经常部署修改了睡眠间隔、自定义混淆和禁用IoC 的破解版本。
Sliver 是一种开源替代方案,在安全团队和对手中都很受欢迎。它采用 Go 语言编写,可编译到多种架构,支持加密的点对点 C2,并提供快速定制功能。它的模块化架构使其很难被指纹识别,也很难在不同的操作系统中被检测到。
Havoc 代表了最新一代的后剥削工具包,旨在绕过现代 EDR。Havoc 于 2023 年底公开发布,包括内存有效载荷生成、沙箱规避和加密 C2 通道,旨在融入普通网络协议。由于其签名与 Cobalt Strike 重叠极少,它在附属勒索软件组中迅速流行起来。
相关文章Palo Alto Networks Unit 42 跟踪的威胁行为者团体
进攻型安全框架
Metasploit 仍是自动开发和有效载荷交付的基础。它支持漏洞利用链、反向外壳生成和内存暂存。Metasploit 的定期模块更新使其成为攻击者寻找进入过时系统的低摩擦路径的可靠资源。
Empire 由 PowerShell 构建,后来移植到 Python 3,专门从事 Windows 环境下的无文件攻击。它支持权限升级、凭证转储和 Kerberos 票据操作,所有这些都使用本地工具。由于 Empire 依赖于 PowerShell 远程登录、AMSI 规避和模块化脚本,因此它在网络钓鱼活动中仍具有重要意义,因为在这些活动中,本机执行是首选。
此类框架缩短了从发现漏洞到利用漏洞之间的时间。利用维护良好的库和针对企业弱点量身定制的预制模块,入侵者可以从扫描转向入侵。
初始接入经纪
接入即服务 "已发展成为一个正式的供应链。中间商入侵系统、提取凭证、验证网络存在,并将访问权拍卖给勒索软件制作者、数据挖掘者或间谍组织。访问级别包括 RDP、VPN、Citrix 网关、Active Directory 和云管理控制台。
暗网市场为交换提供了便利。Exploit、BreachForums(直至关闭)和 RuTOR 等论坛提供的列表有正常运行时间保证、行业垂直分类,甚至还有被入侵环境的预览。许多经纪人在严格的信誉模式下运作,使用托管和中间商来确保交易的完整性。
买家通常会在数小时内采取行动。货币化的速度意味着,一旦凭证出现在这些市场上,检测窗口就会崩溃。在横向移动已经开始或数据外泄触发外部通知之前,许多组织仍未意识到其风险。
利用经济
零时差经纪人是独立研究人员与民族国家或商业买家之间的桥梁。这些公司私下运作,为广泛部署的平台上的远程代码执行漏洞出价数十万美元。
中介漏洞经常绕过供应商的协调。买方要求获得开发的专有权,允许他们在不公开披露的情况下进行操作使用。一些经纪人专门从事地区业务,而另一些经纪人则为多个政府提供服务,这些政府的利益领域相互重叠,造成了重复开发。
HackerOne 和 Bugcrowd 等 Bug-bounty 平台具有不同的功能。它们激励大规模负责任的信息披露,但一些研究人员在私人提议失败后,会把悬赏作为一种退路。在某些情况下,通过悬赏披露的漏洞会在灰色市场工具链中被重新打包,尤其是在原始报告缺乏漏洞利用细节的情况下。
攻击基础设施继续向模块化、转售和自动化方向发展。未能监控这一生态系统的捍卫者将落后于形势。
网络攻击的影响
IBM 的《2025 年数据泄露成本报告》显示,数据泄露的平均成本为 445 万美元,其中美国企业的平均成本为 948 万美元。计算结果不包括监管罚款、法律赔偿和保险费上涨,这些因素往往会使总风险增加一倍。
运营中断
对于 86% 的组织而言,网络攻击会影响业务运营,停机时间有延长和增加的趋势。对于 SaaS 提供商或实时物流运营商来说,即使是四小时的中断也会影响整个客户生态系统。
破坏通常从上游开始。入侵发生后,供应商的可用性、质量或数据完整性下降。一次以 OT 为目标的攻击就可能导致生产延迟数月。在基于云的生态系统中,相互依存关系会放大故障,一个平台的宕机会影响到相关服务。
事件控制经常会中断核心业务。为了隔离传播,安全团队必须撤销令牌、重新映像系统、关闭网段并暂停 CI/CD 管道。即使避免了勒索软件的侵袭,但遏制勒索软件也会使创收功能停滞不前。
声誉受损
在漏洞标题和客户信息泄露之后,企业面临信誉崩溃的问题。利益相关者往往不仅质疑技术故障,而且质疑公司应对措施的道德姿态。
信任丧失的速度很快。上市公司在披露后股价下跌,医疗保健和金融等行业长期表现不佳。在私募市场,如果安全控制显得不足,投资者可能会推迟融资或降低估值。
市场信心的丧失会延伸到第三方。当信任度降低时,影响的范围无法用金钱来衡量。
全球信息泄露通知要求
GDPR 时间表
根据《通用数据保护条例》(GDPR),组织必须在发现涉及欧盟居民个人数据泄露的 72 小时内通知其监管机构。如果未能遵守这一时限,即使是无意为之,企业也将面临高达全球年营业额 4% 的罚款。
该法规还规定,如果外泄事件对受影响个人的权利和自由造成高风险,包括凭证被盗、行为特征分析或任何可能助长进一步利用的数据,则必须及时通知受影响个人。大多数组织之所以拖延,是因为他们不清楚事件是否达到了 "高风险 "门槛。监管机构表示,在涉及消费者数据的情况下,很难容忍模棱两可的说法。
CIRCIA 的任务
在美国,《关键基础设施网络事件报告法》(CIRCIA)将于 2026 年全面实施,但基本要求已经适用。受保护实体必须在 72 小时内向网络安全和基础设施安全局 (CISA) 报告重大网络事件,并在 24 小时内报告勒索软件付款情况。
CIRCIA 适用于 16 个关键基础设施部门,包括能源、金融、交通和公共卫生。报告必须包括
- 事件范围
- 被利用的漏洞
- 受影响的资产类型
- 采取的缓解措施
特定行业规则
财务复原力指南
在金融服务领域,监管机构现在将网络安全视为系统性风险。美国美国货币监理署 (OCC)、巴塞尔委员会和欧洲银行管理局已出台指导意见,要求董事会进行安全监督,其中包括维护恢复手册和证明关键功能的连续性。
从 2025 年 1 月起在欧盟范围内生效的《数字运行复原力法案》(DORA)将这些期望编纂成法律。DORA 要求对事件进行分类,并在发现后数小时内进行强制报告。此外,它还要求对运行恢复能力进行持续测试,包括与第三方提供商进行红队测试。不合规公司将面临监管制裁和市场审查。
医疗保健 HIPAA 执行
在美国,《健康保险可携性与责任法案》(HIPAA)仍然是保护健康信息的主要监管框架。民权办公室 (OCR) 规定在发现漏洞后 60 天内向受影响的个人发出通知,并要求承保实体维护符合 NIST 指南的审计日志、访问控制和加密标准。
利害关系不仅仅是罚款。根据《经济与临床健康信息技术法案》(HITECH),企业可能面临民事诉讼、多机构调查和长期合规监控,这往往需要加快资本支出,以实现网络安全控制的现代化。
检测、响应和情报
预防影响首先要做好准备,有能力检测异常情况、调查跨环境信号,并在恶意活动达到目的之前将其瓦解。
假设驱动的威胁捕猎
有效的猎杀会根据企业遥测数据对攻击者的行为进行建模,并寻找不会触发自动检测的活动证据。一种假设可能是,被入侵的服务账户被重新用于使用远程管理工具进行横向移动。猎人通过身份验证日志、PowerShell 脚本和资产的长期行为来验证这一理论。然后,通过验证狩猎创建的检测结果将被纳入 SOC 工作流程。
指示器旋转
从已知指标出发,可加快发现相关漏洞。威胁猎手可摄取 IoC 并将其与端点、网络和云遥测相关联。与加载器绑定的单个哈希值可能会暴露多个受感染主机或共享 C2 基础设施。
攻击者经常在不同活动中重复使用战术。通过透视发现共同的操作特征,并揭示最初妥协之外的范围。当与 VirusTotal、PassiveTotal 或 GreyNoise 等丰富资源搭配使用时,透视可在影响产生之前隔离敌方行为。
事件应对准备
游戏手册开发
投资者关系手册规定了组织如何在压力下做出反应。无论是凭证泄露还是供应链滥用,攻击矢量都需要一个量身定制的检测和验证序列、遏制步骤、升级触发器和恢复工作流。战术手册让团队不必浪费时间即兴发挥。
有效的游戏手册包括
- 记录系统
- 角色分配
- 法律和监管接触点
- 触发外部通信的标准
僵化的脚本在真正的入侵中会失效,这也是为什么要对 playbook 进行测试、版本控制并与实际遥测源绑定的原因。应对措施必须考虑到攻击者行为的变化、内部依赖性和退化环境的现实。
危机传播渠道
危机公关需要预定义的内部和外部渠道、行政发言人、法律审查节奏和清晰的信息传递。高管必须与法律、运营和公共关系部门协调,因为错误陈述可能违反美国证券交易委员会的披露规则或引发监管机构的调查。沟通必须反映当前的取证状态,确认哪些已经确认,哪些正在审查,以及何时更新。
网络威胁情报
从内部遥测、商业馈送、ISAC 和开源渠道汇总高保真威胁情报。情报必须包括背景细节(即基础设施的使用情况、TTP、瞄准逻辑、归因可信度)。只提供 IP 而不提供上下文的馈送会降低信号质量,并使 SOC 因误报而不堪重负。
有效的计划会区分三种类型的情报:
- 战略情报为长期防御规划提供信息。
- 战术情报推动即时检测工程。
- 业务情报将入侵与活动、基础设施重叠或威胁行为者的技术联系起来。
情报汇集中心将情报与侦查、调查和应对结合起来。如果不对端点、云、网络、身份和第三方遥测进行跨域整合,企业就会错过相关性。
成熟的团队在摄取、标记会话、工件或流程时,会使用风险评分和上下文标签来丰富遥测内容。分析师可以跨层分析,从 DNS 查询到身份行为,再到 SaaS 管理员日志,而不会浪费时间。
新出现的网络攻击趋势
攻击面的变化速度比大多数组织更新战术手册的速度还要快。针对当前状态风险制定的防御战略往往会在未来状态速度下失效。现在的威胁形势包括对手利用计算进行扩展、利用模型进行调整,以及在防御者读完标准之前利用结构转换。
自动化社交工程机器人
现在,敌人部署了人工智能代理,可摄取 OSINT 并适应实时响应。不容小觑的是,这些机器人会生成量身定制的网络钓鱼诱饵,并在多语言环境中假冒高管,根据搜索到的通信内容自动开发借口。更重要的是,他们在每一次失败的尝试中都会改进瞄准逻辑。
有些机器人是跨渠道运行的。单个代理可能会发送网络钓鱼电子邮件,使用深度伪造的语音呼叫进行跟进,并利用获取的会话 cookies 将信息转发到 Slack 或 Teams 消息中。攻击者使用经过微调的大型语言模型(LLM)和特定角色提示来操纵客户支持和密码重置流程。
代码生成恶意软件
人工智能辅助恶意软件开发已从理论走向实践。攻击者对模型进行微调,生成可躲避静态和启发式检测的混淆有效载荷。它们为 LLM 提供检测规则,并不断重复,直到生成的代码避免了 YARA 命中或 EDR 签名。
代码生成工具还可协助创建多态下拉程序、加载器脚本和针对特定领域的漏洞利用程序,这些漏洞利用程序的目标是云平台中的边缘案例或被滥用的 SDK。人工智能与自动模糊处理相结合,加速了大规模发现和武器化,打破了当前的补丁模式。
相关文章: 现在您看到我,现在您看不到我:使用 LLM 混淆恶意 JavaScript
自学蠕虫
自主学习型蠕虫不再受限于预编程逻辑,现在可以观察环境变量并根据环境变量进行调整,甚至可以根据系统配置、领域结构或遥测反馈选择有效载荷模块。例如,它们可能会根据检测到的可能性,在操作中途从凭据收集行为切换到刮水器行为。通过不断对结果进行评分,它们会随着每个节点的受损而发展。
云规模影响情景
云原生自主蠕虫利用共享控制平面、IAM 角色中的横向权限和超权限服务账户在租户和地域间传播。单个易受攻击的微服务一旦被利用,就可以部署无代理传播者,通过协调 API、配置不当的 CI/CD 标记或暴露的基础设施即代码机密进行复制。
在多云环境中,这些蠕虫使用标准 SDK 枚举资源,在身份层次结构中升级,并在有效载荷执行前破坏可观察性工具。影响会成倍增加,影响遥测、冗余和恢复工作流程。
底线?下一代威胁将不再依赖暴力。它们将依靠上下文感知、自适应逻辑和推理速度,而不是代码执行速度。网络防御必须与时俱进。预测、检测和架构加固确定了前进的道路。
测试和验证
除非在现场条件下进行测试,否则任何控制装置都无法按设计运行。模拟、重新组队和验证工作暴露了各种假设。成熟来自于在压力下经过验证的准备状态。
红队行动
基于目标的参与
红队演习模拟真实世界中的对手,有明确的目标、时间框架和行动限制。与一般的渗透测试不同,红队使用与已知威胁行为者一致的战术来实现任务目标。
红队通常从最少的信息开始。它们执行侦察、躲避检测、跨域行动,并利用真实的错误配置。它们的成功或失败验证了主要的功效,包括
- 端点遥测
- 警报阈值
- 分析员工作流程
- 事件升级路径
紫色-团队合作
紫队实时融合进攻和防守。红队和蓝队并肩工作,执行特定技术,验证检测覆盖范围,调整响应流程,从而加快操作员和防御者之间的反馈循环。
紫色团队不以破坏结果来衡量成功与否,而是衡量遥测质量、信噪比和 SOC 响应时间。红队采取的每一个行动都会成为蓝队学习的机会,从而创建或完善检测规则、响应手册或升级路径。
如果执行得当,"紫色团队 "可以建立肌肉记忆,强化威胁建模假设,并在检测工程、SOC 和网络威胁情报方面提高对手的一致性。
对手模拟
ATT&CK 仿真计划
基于MITRE ATT&CK 技术的模拟可让企业根据已知的行为模型来测试控制覆盖率。模拟工具不是启动完整的杀伤链,而是执行离散技术(如凭证转储、注册表篡改、远程文件传输),并测量它们是否会触发遥测、警报或自动响应。
除了检测规则,模拟还能测试日志管道和警报阈值的完整性。将测试结果映射到ATT&CK 矩阵中,有助于安全领导者了解哪些战术已经覆盖,哪些地方仍然存在防御漏洞。
入侵和攻击平台
自动违规与攻击模拟(BAS)平台通过在生产或暂存环境中执行预定义的攻击路径来提供连续测试。SafeBreach、AttackIQ 和 Cymulate 等工具可在网络、端点和云层执行有效载荷,以验证防御准备情况。
BAS 平台可在现实的限制条件下模拟凭证失窃和数据外泄等事件。与一次性测试不同的是,它们可以进行重复性验证,并在控制变更后进行回归测试,以及在各团队间进行一致的基准测试。
衡量标准和持续改进
您知道您的防御系统在哪些地方起作用,哪些地方失效,以及攻击者下一步将攻击哪些地方吗?这就是关键绩效指标成为情报的地方。成熟的组织将衡量标准视为运营杠杆。
主要风险指标
攻击频率
攻击频率可衡量威胁行为者针对您的环境发动攻击的频率。频率包括观察到的扫描、凭证填充、网络钓鱼尝试、API 探测以及针对暴露资产的利用尝试。随着时间的推移,对这些数据的跟踪会发现一些规律。
高频目标定位并不总是意味着妥协风险,但它预示着吸引力。峰值可能表明存在违规转储、重复使用泄露的凭证或攻击者自动化循环。边缘遥测的盲区或云环境中零散的日志记录通常会导致这里的可见度较低。
平均妥协时间
平均入侵时间(MTTC)跟踪从初始访问到攻击者权限升级或横向移动之间的平均持续时间。它不仅揭示了检测滞后问题,还揭示了令牌重复使用或账户权限过大等架构弱点。
衡量 MTTC 需要重放红队活动和事故后时间表。MTTC 较低的组织通常依赖基于签名的警报,而不将身份或行为信号联系起来。将 MTTC 增加几分钟,就能将攻击者的有效载荷成功率降低几个小时,甚至完全降低。
计划成熟度模型
能力发展阶段
成熟度模型可评估计划在检测、预防、响应和恢复方面的发展。它们从被动反应转变为主动出击,从人工操作转变为自动化操作,从各自为政转变为协调一致。NIST 的网络安全框架与 MITRE 的网络安全能力模型 (C2M2) 和 CIS 控制实施组一样,提供了分级基准。
覆盖深度以及运行速度和信号完整性是衡量进展的标准。一个组织可能拥有世界一流的工具,但如果警报缺乏上下文或操作手册仍未使用,其成熟度可能仍然很低。
能力差距往往集中在横向移动可见性、云角色执行、SaaS 监控和自动响应逻辑方面。当团队通过验证以可衡量的方式缩小差距时,成熟度就会提高。
同行基准
同行基准将您的绩效置于按行业、规模、地域或威胁状况分组的类似组织的背景之下。通过显示领先、落后或与标准一致的地方,为战略投资提供依据。
基准测试必须考虑攻击面的复杂性。(一家拥有 300 个微服务、5,000 个IAM角色和 12 个第三方集成的金融科技公司与一家地区医疗服务提供商的基准并不相同)。有效的比较能使指标正常化。
安全领导者利用基准来证明计划变更的合理性,例如将投资从端点检测重新分配到身份治理,或加快紫色团队的验证周期。没有参照点,改进就是主观的。
网络攻击常见问题
