什麼是網路攻擊?
現代攻擊面包括所有具有 IP 位址、API 端點、權杖存放區或錯誤設定權限的項目。當對手可以利用 SaaS 整合、竄改 CI/CD 管道或竊取機器身分以冒充可信任的自動化時,他們就不需要繞過防火牆。然後在進入後,他們會將原生工具和合法存取權武器化,並經常避開傳統惡意軟體特徵碼而逃避偵測。
攻擊的複雜程度當然會有所不同。有些群組依賴暴力自動化和回收憑證。其他群組則投資於結合網路釣魚、通訊協定濫用和供應鏈竄改的多階段行動。大多數的操作工具可媲美企業級平台。
網路攻擊已從一次性入侵發展為持續性的攻擊行動。組織不再是面對單獨的入侵,而是要承受來自金融和政治動機行動者的持續探查。若要預防這些攻擊,除了需要可視性和身分感知的強制執行之外,還需要入侵感知防禦態勢,以及考慮到已知和新穎手法的協調回應架構。
網路攻擊類型一覽
| Web 應用程式網路攻擊 | 密碼網路攻擊 |
|---|---|
|
全球網路攻擊趨勢
威脅行為者現在的作案規模和頻率,挑戰傳統防禦的每一個層面。Palo Alto Networks 的安全性團隊每天偵測到 150 萬個新型攻擊 - 前一天還不存在的威脅。在其整個平台上,每天攔截 86 億次攻擊企圖。但單靠頻率並不能解釋這種轉變。攻擊者已採用更快速、更調適型的方法來躲避偵測,並將防衛者最信任的合法憑證、原生工具和錯誤設定存取權武器化。
承載不再佔據主導地位。2024 年有近三分之一的入侵是從有效憑證開始的。竊取資訊者感染了 430 萬台裝置,竊取了 3.3 億個使用者名稱和密碼,以及 173 億個 Cookie。這些工作階段權杖讓對手可以無縫存取雲端平台、訊息應用程式和內部入口網站。許多人完全繞過端點防護。
攻擊鏈跨越多個領域。在 70% 的事件中,入侵路徑跨越三個或更多表面,大多結合了端點存取、雲端橫向移動、身分操控和人類目標。在這種環境下,單層防禦已失去意義。安全性程式現在必須偵測跨領域手法,並及早阻止進展。
AI 擴大了攻擊者的優勢。生成式模型現在可以寫出鏡像內部語調的網路釣魚電子郵件,並內建變體混淆功能,自動開發惡意軟體。2025 年初,資訊竊取程式網路釣魚活動激增,比前一年增加了 180%,突顯出自動化如何取代人工。Gartner 預測到 2027 年,17% 的攻擊都會使用 AI 驅動的技術,而且 AI 代理程式會將利用帳戶漏洞的時間縮短 50%。
全球遙測記錄到 2023 年有 60.6 億次惡意軟體攻擊。儘管惡意軟體的行為已經改變,但仍然大量存在。傳統的特徵碼已不再足夠。許多病毒現在都是無檔案載入、混入記憶體程序,並使用迴避的延遲手法來超越以時間為基礎的偵測。
勒索軟體幾乎已成為一種普遍的威脅。在 2023 年,72.7% 的組織至少經歷過一次勒索軟體事件。2024 年間,美國關鍵基礎設施攻擊上升了 9%。與早期的形式不同,今日的勒索軟體通常會結合雙重勒索、橫向探索和內嵌遠端存取,將控制變成與不可逆損害的競賽。
全球經濟影響
隨著防禦者的落後,成功網路攻擊的成本也持續攀升。網路犯罪在 2024 年造成全球 9.22 兆美元的損失。預測在速度上有差異,但在方向上則一致,預測到 2027 年,每年的損失為 13.82 兆美元至 23.84 兆美元。現在的成長曲線已超越全球 GDP。安全性程式(大部分)並非為這種程度的轟炸而設計。
相關文章: Unit 42 威脅前沿報告:為新興的 AI 風險做好準備
網路攻擊分類
現代攻擊遵循機會主義的邏輯:利用任何阻力最小、回報最高的攻擊。為了準備有效的防禦,組織必須瞭解對手如何進行入侵。
社交工程
社交工程仍然是攻擊者成本最低的切入點。對手利用人類行為繞過技術防禦。網路釣魚套件現在包含 Proxy 型權杖擷取,除非工作階段繫結和權杖輪換政策到位,否則 MFA 無效。Quishing(QR 碼型網路釣魚)和回撥網路釣魚(語音型偽裝)也飆升,尤其是在冒充支援服務台方面。
Web 與 API 濫用
攻擊者越來越多地將 Web 應用程式和暴露的 API 視為主要媒介。OWASP Top 10 缺陷仍然是主要的切入點,尤其是破壞的存取控制和不安全的反序列化。同時,攻擊者也會利用 GraphQL 和 REST 介面中的 API 錯誤路由、未驗證輸入、過多資料暴露和權限過度擴張等問題。自動化探索工具會擷取未記錄的端點,然後探測驗證閘門背後的邏輯缺陷。
網路入侵
網路層入侵現在更常從濫用憑證開始,而非利用連鎖攻擊。當使用漏洞攻擊時,攻擊者會偏好未修補漏洞的邊緣裝置,並依賴預先驗證 RCE。在內部,他們會使用通訊協定層級的攻擊(即 SMB 中繼、ARP 詐騙、Kerberos 票證操控)來擴大存取。 橫向移動通常遵循可預測的企業架構,其中扁平化的 VLAN 和共用的身分網域會加速入侵。
端點入侵
端點仍然是最明顯的目標,但現代入侵很少仰賴投放可偵測的惡意軟體。攻擊者在記憶體中執行程式碼或濫用原生指令碼架構。有些攻擊者會利用 DLL 側載功能顛覆受信任的應用程式。瀏覽器工作階段劫持已超越勒索軟體,成為重大企業入侵的前兆。如果沒有核心層級的可視性,大多數 EDR 都無法偵測到未觸發檔案型遙測的執行路徑。
雲端錯誤設定入侵
公用 S3 陣列、不受限制的受管理身分、開放 Kubernetes 儀表板 - 攻擊者現在將雲端錯誤設定視為站穩腳步的機會。CSPM 工具可顯示風險,但通常會將團隊淹沒在低優先順序的警示中。網路攻擊者的行動速度更快,他們會掃描網際網路,尋找具有預設設定或洩漏權杖的剛部署服務。
供應鏈操控
軟體供應鏈提供高槓桿的目標。攻擊者入侵上游相依性、套件登錄或 CI/CD 自動化,以污染可信任的構件。相依性混淆、誤植域名和惡意更新插入已對 NPM、PyPI 和 Docker Hub 中廣泛使用的元件造成影響。在建置程序中,攻擊者通常會竄改儲存於環境變數中的憑證,或透過 GitHub Actions 或 GitLab CI 設定檔案覆寫工作流程。
攻擊目標
攻擊者很少會在沒有目的的情況下入侵環境。每次入侵都會對應到一或多個目標,影響他們所選擇的技術和表現出的迫切性。
- 資料竊取包括智慧財產、驗證秘密、客戶記錄或監視目標的大量外洩。竊取器惡意軟體、雲端同步濫用,以及透過 HTTPS 或 DNS 隧道的外洩,都支援此目標。
- 財務收益驅使了勒索軟體、公司電子郵件入侵 (BEC)、加密貨幣挖礦和聯盟式勒索。攻擊者會監控內部財務工作流程,以攔截或重新導向付款,並且通常以薪資、廠商系統或 ERP 平台為攻擊目標。
- 服務中斷通常出現在 DDoS 攻擊、破壞性擦除器惡意軟體或基礎結構竄改中。在地緣政治衝突期間,與國家結盟的群組會使用此手法來降低公眾信任或擾亂關鍵產業。
- 間諜活動促使對敏感部門的持續存取和橫向移動。威脅行為者使用流量塑形和休眠植入來避免偵測,同時竊取政策備忘錄、談判策略或防禦研發。
- 破壞性破壞出現在旨在永久降低系統效能的攻擊中。像 AcidRain、WhisperGate 或 CaddyWiper 之類的擦除器會擦除韌體、覆寫 MBR 或使內嵌式裝置沒有作用。在關鍵基礎結構中,攻擊者的目標是真實世界的破壞。
架構對齊
The MITRE ATT&CK Frameworkv17.1 仍然是最全面、最有條理的對手行為目錄。它將手法分類,以及支援每種手法的技術和子技術:
|
|
將觀察到的活動對應到 ATT&CK 可進行結構化分類、威脅搜補和偵測工程。例如,使用 PowerShell 進行憑證傾印 (T1003.001)、利用面向公眾的應用程式 (T1190) 或濫用有效雲端帳戶 (T1078.004) 時,應同時通報預防與回應控制。
MITRE ATT&CK 也可協助團隊根據真實世界的攻擊者行為,調整紅隊演練、SOC 偵測涵蓋範圍和政策強制執行。其企業、行動、雲端和 ICS 矩陣持續擴充,每季更新都反映出威脅形勢的變化。
威脅-行動者形勢
如果不瞭解攻擊的幕後黑手,任何安全性策略都無法發揮作用。威脅行為者在功能、意圖、目標邏輯和風險容忍度上有很大差異。未能區分這些群組的組織通常會錯誤配置防禦,在雜訊上超支,卻讓任務關鍵性資產暴露在外。
國家贊助的群組
民族國家行為者在操作時有長期規劃、專用基礎結構,而且通常對營運成本零敏感度。在情報單位或軍事單位的支持下,這些群組進行符合國家利益的間諜、預先部署和破壞活動。中國的 APT41、俄羅斯的 APT28、北韓的 Lazarus Group 以及伊朗的 OilRig 各自擁有獨特的 TTP,但卻逐漸共用工具鏈,以及 C2 基礎結構和洗錢方法。
他們的活動通常以電信、能源、國防承包商、政治組織和半導體為目標。初始存取通常涉及魚叉式網路釣魚、零時差入侵或憑證竊取。然後,國家群組投資於隱蔽性,並達到長達數月的停留時間。橫向移動會優先處理身分網域控制器、協作平台或已知擁有政策或供應鏈藍圖的 SaaS 環境。
有組織網路犯罪
網路犯罪群組以專業化的方式運作。有些人從事聯盟式勒索軟體作業,有些人則專門從事憑證收集或財務詐騙。大多在引渡風險有限的地區運作,並經常透過中介進入市場和強制託管論壇進行協作。
初始存取代理出售立足點的價格反映了產業、地理位置和權限等級。在取得存取權後,行為者會使用 Cobalt Strike、Sliver 和自訂載入器等入侵後工具組。他們的目標是透過勒索或竊取快速賺錢。許多犯罪集團現在融合了與進階持續威脅無異的作案節奏與嚴謹技術。
駭客行動主義者
駭客行動主義者活動遵循意識形態的路線。雖然像是 Anonymous 這樣的群組在技術成熟度上不及國家或犯罪行為者,但他們確實透過分散式拒絕服務攻擊、網站破壞和資料外洩等方式獲得影響力,更不用說社會放大作用了。在地緣政治衝突期間,尤其是影響公民自由的備受矚目立法期間,他們的行動會激增。
近年來,駭客行動主義分化成地區特定集體。舉例來說,親俄羅斯或親烏克蘭的駭客行動主義者已擾亂重要基礎建設、洩漏敏感資訊,並讓媒體平台上充斥假消息。雖然有時會被忽視,但他們能取得外洩的工具集和竊取的憑證,往往讓他們的行為難以被忽視。
內部威脅
內部行為者是技術上獨特、組織上具破壞性的一種威脅。內部人員會繞過周邊防禦,而且通常擁有合法存取權、深厚的作業知識和動機。內部威脅可能是惡意或不知不覺的行為,其動機從財務上的絕望到報復或威脅不等。
大多數內部人員事件並非源自系統管理員或具備權限的工程師。相反地,銷售團隊、承包商和支援人員經常因為未經授權的傳輸、工作階段共用,或繞過控制以符合期限而暴露敏感資料 。偵測取決於行為基準和工作階段監控。
動機與行為
攻擊行為與行為者的利益相關。繪製動機可讓防禦者預測攻擊者的停留時間、目標和對偵測的容忍度。
財務獎勵
財務獎勵驅使大部分入侵行為。勒索軟體即服務 (RaaS)、BEC 和憑證收集在犯罪經濟中佔主導地位。以經濟為動力的行為者追求快速的獲利,其公司結構(即聯盟、QA、支援、收入分享模型)越來越多。許多人利用加密貨幣支付處理、防彈託管和洗錢服務的法律灰色地帶。
戰略情報
戰略情報促使國家團體尋求地緣政治的槓桿作用。目標包括政策顧問、國防承包商、科學研究機構和公共基礎設施供應商。這些行為者持續存在,通常會避開偵測數個月,以滲透敏感資料或內嵌到韌體或系統管理層。
意識形態目標
意識形態目標煽動駭客行動主義者和極端主義傾向團體。他們的目標通常反映公共象徵,例如政府入口網站和被視為不道德的企業。行動成功的關鍵不在於技術優勢,而在於擴大、定時中斷和聲譽損害。
不滿
個人恩怨驅使一些內部人士和邊緣攻擊者。在發生破壞、資料竊取或暴露敏感通訊之前,經常會發生裁員、感受到的歧視或晉升被拒的情況。雖然這些攻擊的範圍很小,但卻可能導致不成比例的損害,特別是在受監管的部門。
瞭解威脅行為者的狀況是必要條件。如果不清楚您的對手是誰以及他們想要什麼,預防就會變成盲目的緩解。
攻擊生命週期與方法
對手不會在單一動作中入侵環境。他們會經過特定的階段,每個階段都會促成下一個階段。瞭解攻擊的結構可讓安全性團隊增加摩擦力,打破中游鏈條,並在造成影響前發現指標。
偵察
攻擊者從資訊收集開始。網域記錄、員工 LinkedIn 設定檔、暴露的 GitHub 儲存庫,以及雲端資產中繼資料通常會揭露內部架構、命名慣例和身分方案。
Maltego、SpiderFoot 和 Recon-ng 等開放源碼情報 (OSINT) 工具可大規模彙總這些資料。自動化擷取工具可從漏洞資料庫中擷取憑證重複使用模式。對手在動手前會對應 VPN 端點、子網域和應用程式表面。
目標分析可縮小光圈。攻擊者會依據權限暴露、外部設定錯誤,以及有價值憑證或資料處理功能的存在,來排列目標的優先順序。
武器化
一旦建立了目標設定檔,對手就會精心製作承載。現成的入侵套件包括載入器、混淆器,以及用於瀏覽器、文件和記憶體型傳遞的預先建置模組。建立器支援加密、沙箱迴避和多向量部署。
惡意軟體自訂可確保承載避開特徵碼偵測。像 Shellter、Veil 和自訂 C2 投放器這樣的工具支援多型態、加密分層和階段分離式傳遞。在技能較高的群組中,承載與系統架構、端點安全性態勢和作業頻率相符。
傳遞
網路釣魚仍是主要的傳遞方式。內嵌式連結、武器化附件、假冒 MFA 提示和 QR 代碼會引誘目標執行指令碼或洩露憑證。進階網路釣魚 Proxy 會即時攔截權杖,並使用工作階段轉送功能通過 MFA 檢查。
簡訊網路釣魚(SMS 網路釣魚)和回撥網路釣魚活動透過引發即時互動來增加可信度。VoIP 詐騙和假冒支援線路在初始入侵鏈中仍然很常見。
路過式下載利用薄弱的瀏覽器設定或惡意廣告基礎結構。入侵套件會檢查使用者代理程式,並在符合入侵先決條件後,才傳送平台特定承載。有些使用透過影像剖析或字型轉譯弱點傳遞的零點擊入侵。
入侵
憑證濫用在初始入侵中超越了軟體弱點。竊取的權杖和保護薄弱的 API 金鑰可直接存取,而不會觸發 IDS 簽章。雲端環境受到預設設定的影響,擁有有效的身分即可繞過周邊控制。
零時差攻擊針對未修補或未公開的弱點。雖然罕見,但零時差通常會在發現後幾天內開始運作,尤其是在部分禁制的情況下揭露時。攻擊者偏好邊緣裝置中的遠端程式碼執行缺陷、SaaS 平台中的驗證規避,以及瀏覽器引擎中的沙箱逃逸。
安裝
入侵成功後,攻擊者會部署植入程式以保留存取權。遠端存取木馬程式 (RAT) 會靜悄悄地安裝,並透過加密通道與外部命令伺服器連線。許多人假借合法的系統程序或濫用已簽署的二進位檔案來逃避偵測。
在容器化環境中,攻擊者通常會尋求逃脫。錯誤設定的執行階段權限或不安全的容器映像,會允許周遊主機、提升權限或危害協調平台。攻擊者會注入惡意的 sidecar、覆寫 kubelet 行為,或透過鬆懈的秘密管理進行攻擊。
命令與控制
建立存在後,攻擊者會設定命令與控制 (C2) 通道。DNS 隧道因其無處不在和無需檢查而經常遭到利用。惡意承載在 TXT 或 A 記錄查詢中編碼指示,並反向滲透資料。
雲端託管的 C2 基礎結構融入可信任的服務。攻擊者在 Dropbox、GitHub Gists、Google Docs 或 pastebins 中託管承載和階段命令。傳送至這些供應商的流量很少會觸發警示,尤其是透過模仿自動化程序的使用者代理程式進行加密和遮蔽時。
更進階的群組會部署自訂 C2 架構,以支援備援通訊協定、信標間隔和動態設定變更。有些群組會維護分層基礎結構,透過 Proxy 層或受感染節點進行路由,以阻止歸因。
目標行動
資料外洩會透過 HTTPS、WebDAV 或 SFTP 傳送壓縮和加密的 Blob。在隱匿活動中,攻擊者可能會直接同步至雲端儲存空間服務,或將滲透的內容編碼到合法的應用程式遙測中。
橫向移動依賴竊取的憑證、權杖冒充,以及環境中已核准的遠端管理工具。常見的技術包括傳遞雜湊、偽造 Kerberos 票證,以及濫用遠端桌面或 MDM 通訊協定。在雲端原生脈絡中,攻擊者會列舉 IAM 角色、劫持自動化管道,或透過共用的中繼資料服務周遊資源邊界。
影響的產生因動機而異。勒索軟體會加密系統和資料,然後刪除備份和日誌。擦除器會覆寫磁碟頭或韌體,使系統永久無法運作。在詐騙活動中,攻擊者會改變財務交易的路徑、改變薪資單,或利用內部可信度來策劃 BEC 事件。政治行為者洩漏敏感文件,以影響公共討論或損害聲譽。
技術性深入分析
只要防禦者錯誤設定控制或未能應用最低權限,攻擊者就會以基礎結構為目標。瞭解目前針對端點和網路所使用的工具組,有助於安全性領導者根據對手的行為調整投資。
端點攻擊
端點可作為初始立足點和橫向轉移點。當對手可以透過執行鏈、原生工具或暫時竊取權杖來繞過控制時,他們的攻擊就不需要零時差。
勒索軟體演化
現代勒索軟體很少會獨立運作。群組遵循結構化劇本,分為資料竊取、存取獲利和銷毀等階段。雙重敲詐模型佔據主導地位。在加密資料之前,攻擊者會先滲透 TB 級的內部記錄、合約、法律備忘錄和客戶資料。然後,他們威脅要公開,並在勒索信到達之前就開始談判。
RaaS 生態系統降低了技術門檻。集團成員可授權承載,與營運商分享利潤,並獲得 C2 基礎結構、付款支援,甚至是受害者談判劇本。Black Basta、8Base 和 LockBit 等系列發展迅速,經常超越靜態偵測特徵碼。
存取權通常是向初始存取代理購買。透過濫用 RDP、遭入侵的 VPN 或含有巨集的附件進行部署。加密針對本機和對應磁碟機。許多惡意軟體現在會停用備份程序,並竄改超級管理器以損毀快照。
無檔案技術
無檔案惡意軟體直接在記憶體中執行,因此不需要持久性檔案。PowerShell、WMI 和 .NET 是首選的平台。攻擊者以反射 DLL 載入承載、使用 LOLBins 來放置次要工具,或透過程序空洞化將 shellcode 插入受信任的程序。
離地攻擊二進位檔 (LOLBins) 支援從憑證傾印 (rundll32, regsvr32) 到橫向移動 (wmic, mshta) 的所有功能。大多數的端點防護平台都預設允許這些功能,因此行為脈絡成為唯一可行的偵測策略。對手會將這些二進位檔與原生指令碼串連起來,以保持安靜、快速且難以歸因。
網路與基礎結構攻擊
雖然身分已成為新的周邊,但核心網路基礎結構仍是主要的攻擊目標。
分佈式拒絕服務 (DDoS)
DDoS 攻擊已重新成為政治和金融工具。體積活動經常超過 2 Tbps。攻擊者使用遭入侵的物聯網裝置、暴露的 API 和租用的雲端 VM 所組成的殭屍網路。如果攻擊來自地理上分散的來源,且具有隨機化的承載,緩解攻擊就會變得複雜。
Mirai variants、Condi 和 Pandora 等協調平台為攻擊者提供預先建置的儀表板和外掛程式模組,以進行動態目標定位。攻擊者越來越多地從網路層洪水轉移到應用程式層(第 7 層)技術,以高要求並行和低資源飽和度壓倒特定端點。
第 7 層洪水通常會針對驗證工作流程、搜尋功能或結帳購物車等資料庫互動性高的區域。這些洪水不需要太多頻寬,但卻會耗盡後端資源,造成延遲和失敗。
中間人
中間人 (MitM) 攻擊利用不安全或錯誤設定的通訊通道來攔截或修改流量。企業 Wi-Fi 部署在未強制執行憑證關聯或相互 TLS 的情況下,仍然特別容易受到攻擊。
TLS 降級攻擊利用版本備援行為。攻擊者會攔截交握,強制使用已棄用的加密套件,並使用他們控制的金鑰重新加密流量。在沒有 TLS 的情況下,純文字攔截會產生憑證、工作階段權杖或敏感作業資料。
惡意存取點會模仿受信任的 SSID,並透過攻擊者控制的閘道進行 Proxy 連線。毫無戒心的裝置會自動連線,並透過敵意的基礎結構路由流量。WiFi Pumpkin 和 Bettercap 等工具可自動設定釣魚憑證或將承載插入流量串流的俘虜入口網站。
網路型攻擊通常會避開雲端原生偵測系統,因為攻擊媒介位於應用程式層之下。防禦不僅需要網路分割,還需要在邊緣進行通訊協定感知監控、加密傳輸強制執行及工作階段異常偵測。
Web 與應用程式攻擊
Web 應用程式仍然是最重要的攻擊面,因為它們經常暴露商業邏輯和具有權限的後端系統。大多數企業缺乏完整的 Web 資產清單,而且很少企業會對 API 輸入或工作階段行為執行完整脈絡驗證。攻擊者透過直接插入、邏輯竄改或繞過強制執行的連鎖工作流程來利用這個缺口。
插入缺陷
儘管已經有二十年的認知,SQL 插入仍持續存在。攻擊者精心製作的輸入會修改後端資料庫執行的 SQL 查詢,有時甚至會擷取整個模式或修改記錄。當錯誤訊息被壓制時,盲目的 SQLi 技術仍然有效,它使用時間型推論來一次一個位元檢索資料。建置在過時 ORM 架構上的現代 Web 堆疊通常無法清理邊緣案例承載。
伺服器端要求偽造 (SSRF) 強制應用程式向任意目的地啟動傳出要求。攻擊者利用 SSRF 存取內部中繼資料服務、雲端 IAM 角色和內部管理端點(不對外暴露)。在雲端原生環境中,SSRF 常常會導致權限提升或跨租用戶資料暴露。如果服務誤用了信任型授權或允許遞迴重新導向,您會看到更多這類情況。
邏輯濫用
Broken 存取控制失敗不再意味著「登入頁面遺失」。它現在可以反映授權失敗 - 根據標頭或 URL 參數不當強制執行存取。攻擊者透過竄改要求結構、提升角色或重複使用與較高權限工作階段繫結的 API 權杖來提升權限。雲端設定錯誤經常反映出這些模式,在文件中存在權限邊界,但實際上卻沒有。
商業邏輯操控會利用應用程式允許的行為與應該防止的行為之間的差距。除了時間不相符之外,攻擊者還會利用競賽條件和折扣計算錯誤。在財務系統中,操控貨幣兌換、發票產生或轉帳限額會導致直接損失。像這樣的缺陷可以規避掃描器,並需要進行對抗性建模。
身分和憑證濫用
每個涉及橫向移動、權限提升或冒充的活動都依賴某種形式的憑證存取。身分已成為雲端、混合及 SaaS 生態系統的主要攻擊媒介。
網路釣魚變體
網路釣魚不再止於假冒登入頁面。MFA 疲勞攻擊會重複轟炸使用者的驗證要求,直到其中一個獲得核准為止。有些活動使用反向 Proxy 即時攔截權杖,可立即重複使用而不會觸發警示。
Deepfake 語音通話已進入實際運用階段。網路罪犯利用洩漏的錄音合成領導者的聲音,然後撥打電話要求重設憑證或緊急核准。搭配偽造的來電顯示和偽造的電子郵件對話,即使在嚴密的環境中,這些攻擊活動也能成功。
憑證填充
憑證填充攻擊會利用服務間重複使用的密碼。OpenBullet、SentryMBA 等自動化平台以及自訂 Python 工具每分鐘可針對登入入口網站、行動 API 和 OAuth 流量測試數千個使用者名稱密碼組合。現代的攻擊活動會插入隨機標頭或裝置指紋等行為規避,以避免速率限制和偵測。
攻擊者從資訊竊取程式、入侵傾印和權杖收集惡意軟體中取得新的憑證。許多憑證包括內嵌在瀏覽器儲存空間或開發人員環境中的工作階段 Cookie 或雲端存取金鑰。防禦者必須假設重複使用、積極輪換秘密並偵測異常情況。除非驗證包含行為、脈絡和意圖驗證,否則驗證並不是一種控制。
雲端原生攻擊
大多數雲端漏洞都是由於可預防的設定錯誤或隱含的信任假設在壓力下崩塌所造成。
錯誤設定入侵
不受限制的儲存空間陣列仍是多雲端環境中最常暴露的資產。公開讀取存取、繼承權限,以及缺乏靜態加密控制,讓攻擊者只需一次未經驗證的要求,就能列舉和擷取敏感資料。攻擊者使用 Grayhat Warfare、S3Scanner 和 CSP 特定 API 等工具自動探索。
過度賦予角色權限比暴露的陣列更具破壞性。許多組織未能遵守最低權限,授予服務帳戶或 lambda 函數萬用權限(即 iam:PassRole 或 s3:*)。取得身分的攻擊者可以透過合法呼叫在整個環境中升級。預期角色鏈結、跨帳戶假設和橫向移動。
供應鏈入侵
CI/CD 管道為攻擊者提供了進入生產環境的可信任路徑。遭入侵的建置系統可插入惡意程式碼、洩漏環境秘密,或修改推送至生產登錄的構件。Jenkins、GitHub Actions、GitLab Runners 及自我託管的代理程式通常以提升的權限執行,並將輸出監控減至最低。
惡意套件插入利用對第三方相依性的信任。攻擊者利用誤植域名、repo-jacking 或冒充參與者的方式對程式庫進行木馬攻擊,然後發佈到開放儲存庫。如果下游專案使用惡意程式碼,惡意程式碼會在建置或安裝時執行,通常會在未經審查的情況下進入生產環境。
相關文章: 雲端供應管道攻擊剖析
供應鏈攻擊透過在已簽署、已驗證的產品範圍內運作,繞過執行階段防禦機制。防禦者必須強制執行溯源、應用可重複建置,並採用軟體材料清單 (SBOM) 驗證,以降低暴露風險。管道秘密(尤其是授予雲端存取權的秘密)必須自動輪換,並維持絕對最小的範圍。
OT 與物聯網攻擊
IT 與 OT 的融合讓以前只專注於數位系統的威脅行為者也能進入產業環境。與此同時,物聯網生態系統的擴充速度比大多數組織的安全防護速度還要快,往往會暴露未經充分測試的韌體和未受管理的 API。
工業控制系統
通訊協定操控針對確定性、未經驗證的 OT 通訊協定,例如 Modbus、DNP3 和 Profinet。這些通訊協定缺乏加密或驗證,讓攻擊者可以插入命令、讀取程序狀態或修改感應器值,造成實際後果。在可從平面網路直接存取 PLC 的環境中,對手可以即時操控閥門、繼電器或控制迴路。
韌體損毀的攻擊更深入,在開機載入器或控制器層級內嵌惡意程式碼。透過遭入侵的更新伺服器或不安全的現場升級通訊協定,攻擊者植入的程式碼會在重新開機時持續存在,對抗傳統偵測。某些變體會延遲緊急關機或干擾安全聯鎖裝置。
現代 ICS 環境通常包含橋接主機 - 具有 OT 與 IT 網路雙重連線能力的 Windows 機器。這些都成為支點。如果沒有嚴格的區隔,對手只需橫向移動幾次,就能從網路釣魚電子郵件轉移到工廠控制。
物聯網殭屍網路
IoT 物聯網殭屍網路仍然是大規模 DDoS 攻擊和憑證填充活動的主導力量。Mirai 變體因其原始程式碼可用性、易修改性及預設密碼掃描邏輯而佔有優勢。如果遭到入侵,路由器、DVR 和智慧型感應器等裝置會轉達 C2 伺服器的指示,並以 HTTP 洪水攻擊或 DNS 放大來壓倒目標。
利用 API 可讓攻擊者存取管理平面。許多物聯網平台暴露的 API 缺乏驗證、允許權限提升或傳回過於冗長的中繼資料。攻擊者利用這些端點來定位裝置、重播遙測,或部署韌體降級以重新引入已知的弱點。
物聯網生態系統很少會強制執行安全上線。修補程式和遠端管理也是如此。換句話說,除非可視性和政策控制立即跟進,否則加入網路的裝置就會成為攻擊面的一部分。大多數人都不這麼做,而攻擊者知道這一點。
網路攻擊案例研究
最近的攻擊揭示了威脅行為者如何利用錯位的控制、扁平化的架構或使用者信任假設所造成的結構性弱點。
MOVEit 大量外洩漏洞
2023 年 5 月,Clop 利用 Progress Software 的 MOVEit Transfer 產品中的零時差漏洞,發動了近期歷史上最大的資料竊取活動之一。此缺陷允許未經認證的 SQL 插入,使攻擊者能夠部署 Web shell,並從 MOVEit 伺服器大規模地滲透檔案。
數週內,數百個組織(政府機構、大學和金融機構)的 MOVEit 伺服器遭到入侵。攻擊者部署自動化以擴大全球各個執行個體的存取。接著,他們又透過洩漏網站進行勒索威脅。受害者包括 Shell、BBC 和美國能源部。
The 資料外洩暴露了第三方受管理檔案傳輸 (MFT) 服務的系統風險。許多組織未能將 MOVEit 伺服器與敏感網路區段隔離,導致攻擊者在入侵後可直接進入內部系統。
相關文章: MOVEit Transfer SQL 植入弱點:CVE-2023-34362、CVE-2023-35036 和 CVE-2023-35708
MGM Resorts 社交工程入侵
2023 年 9 月,MGM Resorts 遭受攻擊,因為威脅行為者利用 LinkedIn 設定檔來識別 IT 服務台人員,並透過電話以社交工程方式存取憑證。在入侵系統後,該組織部署了勒索軟體,並擾亂了多個賭場和飯店的運作。
這些攻擊者隸屬於 Scattered Spider 群組,他們利用合法的 RMM 工具橫向移動並停用安全性軟體。數位客房鑰匙、遊戲系統和付款終端機受到中斷影響超過一週。公開文件顯示財務影響超過 1 億美元。
這次入侵強調了兩點。首先,攻擊者現在使用電話型偽裝和行為見解來繞過身分控制。其次,許多企業的 SOC 無法偵測到合法管理工具在作用中活動期間被濫用的情況。
2024 年醫療保健勒索軟體浪潮
在整個 2024 年,醫療保健領域的勒索軟體攻擊激增。ALPHV、LockBit 和 Rhysida 以醫院、保險供應商和電子醫療記錄廠商為目標。常見的入侵點包括 RDP 暴露、VPN 弱點,以及從員工工作站收集的資訊竊取程式衍生憑證。
這些攻擊通常包括在加密前的資料外洩,竊取的病患記錄洩露以增加壓力。在某些情況下,重症照護系統離線。由於對傳統軟體的依賴以及缺乏不可變更的備份,復原時間延長至數週。
醫療保健組織因為操作扁平化的內部網路、依賴過時的端點軟體,以及缺乏應用程式層區隔而受到影響。勒索軟體操作者以外科手術般的精準度利用這些條件,證明產業特定合規性並不等於作業彈性。
全球選舉期間的 AI 輔助網路釣魚
2024 年初,協調的網路釣魚活動利用生成式 AI 冒充選舉官員和可信任的公眾人物。Deepfake 的語音訊息和 AI 撰寫的電子郵件針對多個國家的選舉工作者、選民資料庫和競選團隊,包括美國以及印度和數個歐盟成員國 (AP News)。
競選活動使用語言模型以當地方言創造令人信服的訊息,並根據公共新聞週期動態調整。有些作業將電子郵件釣魚與 AI 產生的通話搭配,以強化迫切性或可信度。攻擊者收集憑證以操控選民資訊系統,並在網路上洩露敏感的規劃文件。
這些攻擊突顯了生成式模型如何降低社交工程的成本並提高其有效性。由於人為反應觸發因素和不同司法管轄區身分驗證程序的不一致,公共機構,即使是擁有強化基礎結構的公共機構,仍然容易受到攻擊。
相關文章: DeepSeek 誘騙產生 SQL 插入和橫向移動的程式碼
工具、平台與基礎結構
攻擊者不再從頭開始撰寫攻擊程式或手動建置基礎結構。他們在成熟的工具和服務生態系統中運作,反映合法的軟體開發實務。
惡意軟體系列
Cobalt Strike 仍是最常被仿效和濫用的入侵後架構。它最初是為紅隊設計,可透過 HTTP、DNS 或命名管道進行承載暫存、命令執行、橫向移動和信標。威脅行為者經常部署破解版本,並修改睡眠間隔、自訂混淆和停用IoC。
Sliver 是一種開放原始碼的替代方案,在安全性團隊和對手之間都很受歡迎。它以 Go 撰寫,可編譯至多個架構,支援加密的點對點 C2,並提供快速的自訂。它的模組化架構使它難以採集指紋,也更難以在不同的作業系統中被偵測到。
Havoc 代表最新一代的入侵後工具組,其設計目的是繞過現代 EDR。Havoc 於 2023 年底公開發佈,包括記憶體內承載產生、沙箱規避和加密的 C2 通道,可混入一般網路通訊協定。由於它與 Cobalt Strike 的簽章重疊程度極低,因此在聯盟勒索軟體群組中的知名度迅速提升。
相關文章: Palo Alto Networks Unit 42 追蹤的威脅行為者團體
進攻性安全架構
Metasploit 仍是自動化入侵和承載傳遞的基礎。它支援入侵鏈結、反向 shell 產生和記憶體內暫存。Metasploit 的定期模組更新使其成為攻擊者尋找進入過時系統的低摩擦力存取路徑的可靠資源。
Empire 以 PowerShell 建立,後來移植到 Python 3,專門針對 Windows 環境中的無檔案攻擊。它支援權限提升、憑證傾印和 Kerberos 票證操控 - 全部使用原生工具。由於 Empire 依賴 PowerShell 遠端執行程式、AMSI 迴避和模組化指令碼,因此在偏好原生執行的網路釣魚活動中,Empire 仍然具有相關性。
此類架構可縮短從發現弱點到利用弱點之間的時間。對手可以利用維護良好的程式庫和針對企業弱點量身打造的預先建置模組,從掃描轉移到攻擊。
初始存取代理
存取即服務已經成熟為正式的供應鏈。代理會入侵系統、擷取憑證、驗證網路存在,並將存取權拍賣給勒索軟體人員、資料挖礦者或間諜團體。存取層級包括 RDP、VPN、Citrix 閘道、Active Directory 及雲端管理主控台。
暗網市場促進交易。Exploit、BreachForums((直到關閉為止)和 RuTOR 等論壇提供的清單包含正常運作時間保證、產業縱向分類,甚至是遭入侵環境的預覽。許多代理在嚴格的信譽模型下運作,使用託管和中間人來確保交易的完整性。
買家通常會在數小時內採取行動。獲利的速度意味著,一旦憑證出現在這些市場上,偵測窗口就會崩潰。許多組織直到橫向移動已經開始或資料外洩觸發外部通知時,才意識到自己暴露在風險中。
入侵經濟
零時差代理在獨立研究人員與民族國家或商業買家之間架起橋樑。這些公司私下運作,針對廣泛部署的平台上的遠端程式碼執行弱點提供數十萬美元的報酬。iOS、Android、Chrome 和超級管理器仍然是最有價值的目標。
代理的弱點經常會繞過廠商協調。買家要求獨家使用權,讓他們在不公開的情況下操作使用。有些代理專門從事各區域的代理業務,有些則為多國政府提供利益重疊區域的代理業務,造成再入侵的情況。
HackerOne 和 Bugcrowd 等漏洞賞金平台具有不同的功能。他們會激勵負責任的大規模揭露,但有些研究人員會使用賞金作為私人提供失敗後的退路。在某些情況下,透過賞金揭露的漏洞會被重新包裝在灰色市場的工具鏈中,尤其是當原始報告缺乏入侵細節時。
攻擊基礎結構持續朝向模組化、轉售和自動化的方向發展。未能監控這個生態系統的防禦者,其運作將落後於形勢。
網路攻擊的影響
IBM 的《2025 年資料外洩成本報告》指出,資料外洩的平均成本為 445 萬美元,美國企業平均為 948 萬美元。此計算不包括監管罰金、法律賠償及保險費上漲,這些因素通常會使總風險加倍。
營運中斷
對於 86% 的組織而言,網路攻擊會影響業務運作,停機時間趨勢越來越長,影響也越來越大。對 SaaS 供應商或即時物流營運商而言,即使是四小時的中斷,也會連鎖影響整個客戶生態系統。
中斷通常從上游開始。遭入侵後,供應商的可用性、品質或資料完整性降低。單單一次以 OT 為目標的攻擊,就可以讓生產延遲數月。在雲端生態系統中,相互依賴的關係會擴大中斷的情況,一個平台的停機時間會影響到相關的服務。
控制事故經常會中斷核心作業。為了隔離擴散,安全性團隊必須撤銷權杖、對系統進行重新映像、關閉網路區段,以及暫停 CI/CD 管道。即使避免了勒索軟體,遏制也會停止賺取收入的功能。
聲譽損害
在漏洞頭條新聞和客戶資訊洩露之後,組織的可信度面臨崩潰。利害關係人通常不僅會質疑技術上的失敗,也會質疑公司回應的道德態度。
信任流失的速度很快。上市公司在披露後股價都會下跌,在醫療保健和金融等領域長期表現不佳。在私人市場中,如果安全性控制似乎不足,投資人可能會延遲回合或降低估值。
市場信心的喪失延伸至第三方。當信任度降低時,影響的範圍就無法以金錢來衡量。
全球外洩通知需求
GDPR 時限
根據一般資料保護規則 (GDPR),組織必須在發現涉及歐盟居民個人資料外洩的 72 小時內通知其監督機關。若未遵守此時限規定,即使是無心之過,企業也會被處以最高達全球年營業額 4% 的罰款。
如果資料外洩對受影響的個人權利和自由造成高風險,包括憑證竊取、行為分析或任何可能助長進一步入侵的資料,該法規也規定必須立即通知受影響的個人。大多數組織之所以延遲,是因為他們不清楚事件是否符合「高風險」門檻。當涉及消費者資料時,監管機構已表示無法容忍含糊不清的情況。
CIRCIA 要求
在美國,「關鍵基礎設施網路事件通報法 (CIRCIA)」將於 2026 年全面實施,但基本需求已經適用。受保實體必須在 72 小時內向網路安全暨基礎設施安全局 (CISA) 報告重大網路事件,並在 24 小時內報告勒索軟體支付情況。
CIRCIA 適用於 16 個關鍵基礎設施領域,包括能源、金融、交通和公共衛生。報告必須包括:
- 事件範圍
- 遭入侵的弱點
- 受影響的資產類型
- 已採取的緩解措施
產業特定規則
金融彈性指南
在金融服務領域,監管機構目前將網路安全定義為系統風險。美國通貨監理局 (OCC)、巴塞爾銀行監理委員會和歐洲銀行業管理局已引入指導意見,要求董事會自行負責安全性監督,其中包括維護復原劇本和展示關鍵功能的連續性。
自 2025 年 1 月起在歐盟各地生效的「數位營運彈性法案 (DORA)」將這些期望編入法典。DORA 要求在發現事故後數小時內將事故分類並強制報告。此外,還需要持續測試作業彈性,包括第三方供應商的紅隊。不遵守規定會使公司面臨監管制裁和市場審查。
醫療保健 HIPAA 強制執行
在美國,健康保險可攜性和責任法案 (HIPAA) 仍然是保護健康資訊的主要監管架構。民權辦公室 (OCR) 規定在發現外洩事件後 60 天內通知受影響的個人,並期望承保實體維護符合 NIST 指引的稽核記錄、存取控制和加密標準。
利害關係不僅限於罰款。根據經濟與臨床健康資訊科技法 (HITECH),組織可能會面臨民事訴訟、多機構調查及長期的合規性監控,這經常需要加速資本支出以更新網路安全控制。
偵測、回應與情報
預防影響從準備開始,要有能力偵測異常、調查跨環境的訊號,並在惡意活動達到目的之前將其瓦解。
假設驅動的威脅搜捕
有效的搜捕功能可針對企業遙測建立攻擊者行為模型,並尋找原本不會觸發自動偵測的活動證據。一個假設可能是,遭入侵的服務帳戶被重複使用,以利用遠端管理工具進行橫向移動。獵人透過驗證記錄、PowerShell 文字記錄和資產行為隨時間的推移來測試此理論。從已驗證的搜捕中建立的偵測隨後會被運用到 SOC 工作流程中。
指標樞紐
從已知指標轉向可加速發現相關的損害。威脅獵人會擷取 IoC,並將其與端點、網路和雲端遙測相關聯。與載入器繫結的單一雜湊可能會暴露多台受感染的主機或共用的 C2 基礎結構。
攻擊者經常在不同的攻擊活動中重複使用手法。樞紐可揭露常見的作業指紋,並顯示超出最初損害的範圍。當搭配 VirusTotal、PassiveTotal 或 GreyNoise 等豐富來源時,樞紐能夠在感受到影響之前隔離對手的行為。
事件回應整備
劇本開發
IR 劇本定義組織在壓力下的回應方式。不論是憑證外洩或供應鏈濫用,攻擊向量都需要量身訂做的偵測與驗證順序、遏制步驟、升級觸發以及復原工作流程。劇本讓團隊不必浪費時間即興發揮。
有效的劇本包括:
- 記錄系統
- 角色指派
- 法律與法規接觸點
- 觸發外部通訊的準則
僵化的指令碼在真正的入侵中會失敗,這就是為什麼要測試劇本、控制版本,並與實際的遙測來源繫結。回應必須考慮攻擊者行為的變化、內部相依性以及惡化環境的現實。
危機溝通管道
危機溝通需要預先定義的內部與外部管道、高階發言人、法律審查節奏以及清晰的訊息。高階主管必須與法務、營運及公共關係部門協調,因為錯誤陳述可能違反 SEC 的揭露規定或引發法規調查。溝通內容必須反映目前的鑑識狀態,確認哪些已經確認、哪些正在審核,以及何時會有更新。
網路威脅情報
來自內部遙測、商業摘要、ISAC 及開放原始碼管道的高保真威脅情報彙總。情報必須包括脈絡式細節(即基礎結構使用狀況、TTP、目標邏輯、歸因信心)。提供無脈絡 IP 的摘要會降低訊號品質,並使誤判讓 SOC 不堪負荷。
有效的方案會區分三種情報:
- 戰略情報為長期防禦規劃提供資訊。
- 戰術情報驅動即時偵測工程。
- 作業情報可將入侵與活動、基礎結構重疊或威脅行為者的技術連結起來。
融合中心將情報與偵測、調查和回應結合在一起。如果沒有端點、雲端、網路、身分和第三方遙測的跨領域整合,組織就會錯過相關性。
成熟的團隊會在擷取時豐富遙測,以風險分數和脈絡式標籤標示工作階段、構件或流程。分析師可跨層移動,從 DNS 查詢到身分行為,再到 SaaS 管理員日誌,而不會耽誤時間。
新興網路攻擊趨勢
攻擊面的轉變速度比大多數組織更新劇本的速度還要快。針對目前狀態風險所建立的防禦策略,往往會在未來狀態的速度下失效。現在的威脅勢態包括:在防禦者閱讀完標準之前,對手就已經利用運算進行擴充、利用模型進行適應,以及利用結構轉換。
自動化社交工程機器人
對手現在部署 AI 代理程式,可擷取 OSINT 並適應即時回應。這些機器人的功能不容小覷,它們會產生量身打造的網路釣魚誘餌,並在多語言脈絡中冒充主管,根據擷取的通訊內容自動開發藉口。更重要的是,它們在每次失敗的嘗試後都會改善目標邏輯。
有些機器人會跨管道運作。單一代理程式可能會傳送網路釣魚電子郵件,以深度偽造的語音通話跟進,並使用收集的工作階段 Cookie 轉移到 Slack 或 Teams 訊息。攻擊者使用微調的大型語言模型 (LLM) 搭配角色特定提示來操控客戶支援和密碼重設流程。
程式碼產生惡意軟體
AI 輔助的惡意軟體開發已從理論走向實務。攻擊者會微調模型以產生混淆的承載,規避靜態和啟發式偵測。他們向 LLM 輸入偵測規則,並反覆執行,直到產生的程式碼可避免 YARA 命中或 EDR 特徵碼。
程式碼產生工具也可協助建立多型態投放器、載入器指令碼和領域特定入侵,以針對雲端平台的邊緣案例或濫用的 SDK。結合自動化模糊處理,AI 可加速探索與大規模武器化,打破目前的修補模型。
相關文章: 現在你看到我,現在你看不到我:使用 LLM 來混淆惡意 JavaScript
自學蠕蟲
不再受限於預先程式設計的邏輯,自發性、自學蠕蟲現在可以觀察和調整環境變數,甚至可以根據系統設定、網域結構或遙測回饋來選擇承載模組。舉例來說,它們可能會依據偵測到的可能性,在作業中途從憑證收集切換到擦除器行為。透過持續評分結果,它們會隨著每個遭入侵的節點而演進。
雲端規模的影響情境
雲端原生自發性蠕蟲利用共用的控制平面、IAM 角色的橫向權限,以及過度授權的服務帳戶,在租用戶和地理區域間傳播。單一易受攻擊的微服務一旦被利用,就可以部署無代理程式傳播程式,透過協調 API、錯誤設定 CI/CD 權杖或暴露的基礎結構即程式碼秘密進行複製。
在多雲端環境中,這些蠕蟲會使用標準 SDK 來列舉資源、在身分階層中升級,並在執行承載之前破壞可觀測性工具。影響變得倍增,影響遙測、備援和復原工作流程。
底線?下一代的威脅將不再仰賴暴力破解。它們會依賴脈絡感知、調適型邏輯,以及推論速度而非程式碼執行速度。網路防禦必須不斷演進。預測、檢測和架構強化定義了前進的路徑。
測試與驗證
除非在現場條件下進行測試,否則任何控制裝置都無法按照設計運作。模擬、紅隊和驗證練習暴露了假設。成熟來自於在壓力下經過驗證的整備狀態。
紅隊作業
目標型互動
紅隊演習模擬真實世界中的對手,並有明確的目標、時間範圍和作業限制。與一般滲透測試不同的是,紅隊會使用與已知威脅行為者一致的手法來達成任務目標。
紅隊通常從最少的資訊開始。他們執行偵察、逃避偵測、跨網域轉移,並利用實際的設定錯誤。他們的成功或失敗驗證了關鍵功效,包括:
- 端點遙測
- 警示閾值
- 分析師工作流程
- 事件升級路徑
紫隊協作
紫隊可即時融合攻防。紅隊與藍隊並肩合作,執行特定技術、驗證偵測涵蓋範圍,並調整回應程序,加速操作者與防禦者之間的回饋迴圈。
紫隊不以入侵結果來評分成功與否,而是衡量遙測品質、訊號雜訊比和 SOC 回應時間。紅隊採取的每個行動都成為藍隊的學習機會,讓藍隊可以建立或改善偵測規則、回應劇本或升級路徑。
如果執行得宜,紫隊可建立肌肉記憶、加強威脅建模假設,並改善偵測工程、SOC 和網路威脅情報的對手對應。
對手模擬
ATT&CK 模擬計劃
以 MITRE ATT&CK 技術為基礎的模擬,可讓組織針對已知的行為模型測試控制涵蓋範圍。模擬工具不是啟動完整的攻擊鏈,而是執行離散的技術(例如,憑證傾印、登錄竄改、遠端檔案傳輸),並衡量它們是否觸發遙測、警示或自動化回應。
除了偵測規則之外,模擬還會測試日誌管道和警示閾值的完整性。將測試結果對應到 ATT&CK 矩陣,可協助安全性領導者瞭解哪些手法已涵蓋,以及哪些防禦缺口仍然存在。
入侵與攻擊平台
自動化入侵與攻擊模擬 (BAS) 平台透過在生產或暫存環境中執行預先定義的攻擊路徑,提供連續測試。SafeBreach、AttackIQ 和 Cymulate 等工具可在網路、端點和雲端層級執行承載,以驗證防禦整備狀態。
BAS 平台可在真實的限制下模擬憑證竊取和資料外洩等事件。與一次性測試不同的是,它們能夠進行重複驗證,並在控制變更後進行迴歸測試,以及在各團隊之間進行一致的基準測試。
指標與持續改善
您知道您的防禦措施在哪些地方有效、哪些地方失敗,以及攻擊者下一步會攻擊哪些地方嗎?這就是 KPI 變成情報的地方。成熟的組織會將指標視為作業槓桿。
主要風險指標
攻擊頻率比率
攻擊頻率可衡量威脅行為者以您的環境為目標的頻率。頻率包括觀察到的掃描、憑證填充、網路釣魚嘗試、API 探測,以及針對暴露資產的攻擊嘗試。隨著時間的推移,追蹤這些資料會顯示出一些模式。
高頻率目標並非總是意味著入侵風險,但它是吸引的信號。尖峰可能表示已列入入侵傾印、重複使用洩漏的憑證,或出現在攻擊者的自動化迴圈中。此處的低可視性通常是由於邊緣遙測的盲區或雲端環境中的零碎記錄所造成。
平均入侵時間
平均入侵時間 (MTTC) 會追蹤初始存取與攻擊者權限提升或橫向移動之間的平均持續時間。它不僅揭示了偵測延遲,也揭示了架構上的弱點,例如權杖重複使用或過度授權的帳戶。
衡量 MTTC 需要重播紅隊活動和事件後時間表。MTTC 較低的組織通常會依賴特徵碼型警示,而不將身分或行為訊號相關聯。將 MTTC 增加幾分鐘,就能將攻擊者的承載成功降低幾小時,甚至完全降低。
程式成熟度模型
功能進展階段
成熟度模型可評估您的計劃在偵測、預防、回應和復原方面的演進。它們從被動到主動、從手動到自動、從各自為政到協調一致。NIST 的網路安全架構與 MITRE 的網路安全功能模型 (C2M2) 和 CIS 控制實作群組一樣,提供分層基準。
進展是以涵蓋範圍深度以及運作速度和訊號完整性來衡量。一個組織可能擁有世界級的工具,但如果警示缺乏脈絡或劇本仍未使用,則該組織的成熟度可能仍然很低。
功能差距通常集中在橫向移動可視性、雲端角色強制執行、SaaS 監控和自動回應邏輯。當團隊以驗證可衡量的方式消除差距時,成熟度就會提升。
同儕基準測試
同儕基準測試可將您的效能定位在以產業、規模、地理位置或威脅設定檔分類的類似組織中。它透過顯示您對於標準領先、落後或一致的地方,為策略性投資提供資訊。
基準測試必須考慮攻擊面的複雜性。(一家擁有 300 個微服務、5,000 個 IAM 角色和 12 個第三方整合的金融科技公司,與一家區域性醫療保健供應商的基準測試並不相同。)有效的比較可將指標規範化。
安全性領導者使用基準測試來證明計劃變更的合理性,例如將投資從端點偵測重新分配到身分監管,或加速紫隊驗證週期。沒有參考點,改善就是主觀的。
網路攻擊常見問答集
