2025 防御者指南

目录《互联网现状》报告之防御者篇安全纵深防御框架洞察总结研究参与人员致谢名单 风险评分—研究调查(Liron Schiff)恶意软件花样翻新—研究调查（Stiv Kupchik、Ori David、Ben Barnea和Tomer Peled）网络架构VPN滥用—研究调查（Ben Barnea和Ori David）跨站点脚本攻击—研究调查（Sam Tinklenberg和Ryan Barnett）主机安全Kubernetes—研究调查(Tomer Peled)(Roger Barranco)日常主动防范与危机快速应对相结合主动防御与有效反制相结合 2025防御者指南I第11卷，第1期《互联网现状》报告之防御者篇本期为《互联网现状》(SOTI)报告特别篇。您可能已经注意到，本期报告与我们之前发行的报告有一些根本上的不同。这一次，我们直击要点，直接与一线防御者对话。我们汇集了Akamai内部的多个安全研究团队，分享他们在实战中积累的宝贵经验。这些团队中有各种网络安全专业人士群体，包括研究人员、运维专家、产品架构师、数据科学家和事件响应人员等。我们的目标非常简单：面对2025年日趋复杂的网络安全状况，为您提供针对实际应用的策略，助您保护系统安全。本报告包含一线网络安全专家根据日常对抗网络威胁的经验，提供的大量切实可行的见解。您可以立即参考这些实用情报，迅速行动起来。为了让整个安全社区都能参考这份文档，我们将这些研究结果与我们的安全纵深防御框架对应起来，这套框架是在我们的纵深防御方法基础之上的扩展。本年度其余的SOTI报告仍将使用常用格式。不过这份报告专供防御者使用。 Akamai.com|2 2025防御者指南I第11卷，第1期安全纵深防御框架安全纵深防御框架是在2019年的传统纵深防御模型的基础之上，将数据科学和分析功能融入既有的网络安全实践之中演变而来。纵深防御模型实施了多个安全层来保护资产，而安全纵深防御则在此基础上更进一步，使用分析功能来识别隐藏的威胁并评估防御措施的有效性，通常可在潜在攻击完全得手之前便予以识别。安全纵深防御提供了多个彼此交叠的防御层来保护企业，其思维逻辑是任何一种单独的安全措施都做不到万无一失。此策略涵盖了物理安全性（上锁、监视）、网络架构（防火墙、入侵检测）、端点保护（防病毒、加密）、访问控制和主机安全（多重身份验证、基于角色的权限）、数据保护和风险管理（加密、备份）以及管理措施（安全策略、员工培训）。在这份报告中，我们按照此框架来组织研究内容，用于解决防御者日常面临的各种问题。对于本SOTI，我们重点介绍安全纵深防御的下列要素： Akamai.com|3风险管理。系统性地识别、评估和抵御威胁，根据可能性和影响力来确定优先响应事宜，从而减少企业的漏洞。网络架构。通过防火墙、分段和访问控制等技术实施分层安全保护，建立防御屏障并防范潜在的漏洞。主机安全。通过系统更新、防病毒软件、防火墙和访问控制等措施，保护各个设备，防止端点上未经授权的访问和恶意软件。 2025防御者指南I第11卷，第1期风险管理一直以来，我们都在跟踪网络安全威胁手段及其所造成风险的变化。通过密切监控互联网流量并建立特殊的检测系统，我们对威胁形势的演变有了比较深刻的了解。而且，我们实施了一些项目来进一步加深了解，例如创建互联网风险评分流程，这一流程后来实施到了我们的Segmentation产品中。2024年，我们目睹了各式各样的攻击手段，从使用被盗密码的基础僵尸网络NoaBot，到利用全新软件漏洞的RedTail这样更为复杂手段的黑客团队，不一而足。网络威胁手段变得日趋多样化并且更加狡猾，进一步增大了防御难度。在安全纵深防御框架的风险管理部分中，将会介绍对风险评分的研究，以及恶意软件的变化。研究调查风险评分多年来，风险评分一直是安全领域争论的焦点。大家普遍认可这一理念的价值，但在实际执行时却困难重重。每家企业都有其特有的风险登记表，很难采用统一制式，更遑论在其他企业中复刻。创建风险登记表面临的挑战今年，Akamai完成了一项艰巨的任务。我们在内部创建了网络安全评分模块，并从中汲取了许多经验。最后，我们发现，要想创建一种高效的风险评分方法，关键在于尽可能提高影响力并尽量减少资源使用。这并非一项无关紧要的任务，其中涉及了多个关键因素，包括：Ź界定风险。如何界定机器或应用程序的相关风险？这些对象是否暴露在互联网上？是否进行了修补？哪些端口是开放的？有多少机器可以对其进行访问？Ź确定应用程序的重要性。如何确定应用程序的相对重要性？是否为关键应用程序？应用程序是否存在诸多关联，因而引入了额外的风险？Ź运用抵御措施。哪些必要的措施可以抵御这些风险？通过分段措施能够解决哪些问题？这会有哪些影响？Ź评估复杂性。实现这些影响的复杂程度如何？ 2025防御者指南I第11卷，第1期企业可以根据自身网络安全平台的规模和复杂程度，采取适当的后续步骤。为了应对这些挑战，在找到上述问题的答案后，我们开发了一款由一系列行动组成的工具，并按影响、严重性、所需工作量或它们的组合排定了行动的优先级。量化内外部的风险安全评分的目标是量化攻击者从外部入侵网络可能带来的风险。我们在计算风险时，可以依据外部暴露资产被入侵的可能性以及威胁在内部资产横向移动的概率。端点的安全评分可以理解为，按照网络规模扩缩后预计可能成功的攻击媒介数量。对于端点外部暴露风险的计算，则基于端点各个侦听服务暴露在互联网上的情况。在确定这种暴露情况时，需要考虑暴露的程度（无论是不受限还是局限于特定的范围/域）以及服务或协议的潜在可利用性。服务的可利用性取决于该服务被攻击者广泛利用的程度（可通过美国网络安全和基础架构安全局等机构的出版物了解，也可在暗网上的漏洞利用市场一探究竟），或者给定服务器上特定于所安装版本的漏洞的严重性。对于端点内部暴露风险的计算，则基于其各个侦听服务暴露给其他内部端点的水平。在确定这一点时，考虑的因素包括网络策略、与各个端点相关的外部风险，以及服务和协议的潜在可利用性。如何选择防御措施对于每个端点，我们隔离其他端点（内部应用程序，子网等）对其最终得分的附加影响，如果有必要，建议添加特定的分段规则，将该端点限制为仅暴露给这些其他端点，例如，隔离特定服务的影响，并根据实时数据限制该服务的暴露。如果在该服务中确定了漏洞，则此建议可以减少风险，并避免因进行修补而可能造成的停机时间。 2025防御者指南I第11卷，第1期扩展和评估对企业而言，暴露在互联网上的服务器及其服务是他们面临的一项重大安全威胁。这些服务器及服务为攻击者提供了直接的入侵途径，使企业成为攻击者觊觎的目标。为了应对这一问题，在设计安全评分时，我们希望确保它能够将暴露程度较低和较高的网络和/或服务器区分开来。为此，我们分析了每台服务器上暴露在互联网上的服务数量的分布情况（图1）。0.1%1.0%10.0%100.0%概率Fig. 1: Internet exposure statistics used to shape scoring formulas可以看到，在一小部分接受来自互联网流量的服务器中（占服务器总数的3%），大部分只公开了一个服务，此服务是唯一进程或Windows服务名。在这一小部分服务器中，只有极少部分的服务器（占所有服务器的0.22%）对互联网公开了四个及以上的服务。这些服务器如果没有对服务和网络正确地分段，就会成为高风险的攻击媒介。另一个重要的网络安全属性是内部暴露，也就是网络中一台服务器上的服务对其他服务器的可访问性（不考虑互联网访问）。在分析真实网络中的这种暴露情况时，我们可以看到，绝大多数服务（超过80%）通过非常小的一部分网络（低于1/10000）来通信。在本研究中，将这种情况称为暴露比率（图2）。只有很少一部分服务器(0.1%)可以在网络的较大范围（10%及以上）内访问。由于对企业安全性的潜在影响，对这些基础架构服务器的保护应该尤为谨慎。 每台服务器上面向互联网的服务数量分布001[2,3][4,7][8,15][16,31]96.87%2.24%0.66%0.14%0.06%0.02%服务数量Distribution of the Number of Internet-Facing Services per Server图1：构建评分公式时使用的互联网暴露情况统计数据 2025防御者指南I第11卷，第1期在最后一项分析中，我们探讨了网络的安全评分，与为网络中服务器配置安全策略的进度之间的关系。首先，我们计算了具有稳定部署（网络规模或保护代理数量没有重大变化）的不同网络，在不同时期的平均安全评分。然后，我们计算应用分段模板之后的服务器比率。在绝大部分网络中，配置更多的分段规则可以提升网络安全性（图3）。这增强了我们对安全评分及其在指导安全操作方面潜力的信心。安全评分以及受保护服务器比率0.20.30.40.10.00.60.70.80.90.5受保护服务器比率安全评分10-210–1Fig. 3: The security scores of real networks plotted against the ratio of protected servers(the different colors denote different customer environments)Security Scores and Protected Servers Ratio图3：真实网络的安全评分，根据受保护服务器的比率绘制（不同颜色表示不同的客户环境）安全从业人员在为网络创建策略时，通常需要听取反馈意见，例如现有策略的有效性，以及对未来改进的建议。这可以创建基于证据的风险评分，类似于网络的用户行为分析。获取这种反馈需要通过某种方法，例如微分段方法，此方法支持高度细化，并可以输出优先化建议，用来解决每个网络应用程序中的高风险因素。 2025防御者指南I第11卷，第1期研究调查恶意软件花样翻新网络安全正面临着日益严峻的挑战。现在，即便是业余人士也能轻而易举地发起网络攻击，而专业黑客团体更是花样百出。人工智能的兴起给攻击者提供了更强大、更易用的工具，进一步加剧了网络安全风险。这意味着企业面临的数字化威胁形势，相比从前更加不可预测，也更加危险。易受攻击的开放服务虽然攻击者可以使用零日攻击和定向攻击来入侵网络，但若想实现大规模感染，使用僵尸网络可以有更多简单易行的选择。在互联网上，有太多的服务器具有开放端口，非常适合横向移动和登录，同时还有数量不可忽视的服务器使用可猜测的凭据，这些凭据可以通过撞库获得。2024年，我们报告了多个僵尸网络，例如NoaBot（Mirai变体）以及新版FritzFrog andRedTail僵尸网络。图4描绘了对暴露在互联网上的安全接壳(SSH)服务器的Shodan查询，检测到上百万台服务器可能会成为这些攻击的受害者。美国德国中国巴西阿根廷国家/地区排名22,472,219结果总数As of the beginning of 2025, more than 20 million servers with SSH are open to the internet(Source: Shodan.io)图4：截至2025年初，超过2,000万台采用SSH的服务器对互联网开放（资料来源：Shodan.io） 6,241,4862,084,7341,987,8901,227,285899,565 2025防御者指南I第11卷，第1期由于这是一个一直以来都存在的威胁，我们希望了解哪些常用端口和服务非常容易成为目标，因此，2025年我们通过蜜罐来确定网络管理员应该优先注意哪些端口和服务。图5显示的是2024全年，在我们蜜罐的常用开放端口上所观测的事件数量趋势。各协议的事件数量趋势（每月）1月3月5月7月9月11月事件数量趋势协议FTPHTTPMSRPCMSSQLMYSQLNetBIOSRDPSCPSMBSSHWinRMFig. 5: Trends of incide