2025年OpenText网络安全威胁报告

52025 OpenText网络安全威胁报告目录19 2025年网络安全展望21项建议以维持网络弹性3 前言威胁情报概览12 勒索软件14勒索软件的重大发展6恶意软件7采用多层方法对网络弹性的重要性7感染率：消费者与商用PC9按企业规模划分的感染率10按地区划分的感染率11行业感染率16 网络钓鱼17恶意软件和附件18隐蔽策略 执法部门在2024年2月成功摧毁了LockBit的服务器，包括其暗网泄密网站和附属基础设施，取得了显著成效。官员们获取了大约1000个解密密钥，并逮捕了数人。尽管该组织在整个2024年仍保持运营，但联合FBI和欧洲刑警组织的行动显然使其力量遭到削弱。然而，庆祝活动却显得有些低调。随着勒索软件的持续肆虐且不受控制，犯罪团伙依赖于一个地下生态系统中的附属机构来实施攻击，以换取部分赎金份额。正是这些低级别的同伙承担了风险。如果他们被捕，领导层只需在海滩上低调躲避几周，以新名称重新包装，然后立即重返商界。与此同时，勒索软件攻击的影响变得更加严峻。过去，犯罪团伙会约束或惩罚攻击医院或慈善机构等人道主义目标的附属成员，在某些情况下甚至会向受害者提供解密密钥。这种情况已不复存在。随着紧张局势加剧，无论是国家支持的还是独立的勒索软件团伙都在无差别地造成破坏。我们将在今年的报告中更深入地探讨这些趋势。随着各种规模的组织面临日益严峻的威胁，我们的目标是通过知识——以及全面的安全解决方案——来赋能您，帮助您构建更智能的防御能力和更强的网络弹性。网络安全不再仅仅是IT层面的关注，它已成为地缘政治的必然要求。随着数字威胁跨越国界且动机变得模糊，组织必须重新思考真正意义上的准备意味着什么。Muhi Majzoub执行副总裁，安全产品 2025 OpenText网络安全威胁报告众多高调泄露事件和勒索事件表明，俄罗斯已完全取消对第三方攻击西方的任何剩余约束，同时自身也发起更多由国家主导和意识形态驱动的攻击。这种犯罪威胁与国家支持威胁的融合——通常难以区分——使2024年成为欧洲网络安全面临极其严峻挑战的一年。事实上，欧洲的感染率目前是美国的三到四倍。2024年的网络空间安全形势持续显现令人担忧的趋势，即便是看似好消息也暗藏凶兆。人工智能能力的快速提升使攻击者的策略愈发复杂。由于地缘政治冲突蔓延至网络空间，欧洲大陆成为全球风险最高的区域之一。与此同时，执法部门在针对LockBit取得的显著成功，仅进一步凸显了此类措施在应对基于附属机构的勒索软件行业方面的局限性。俄罗斯与乌克兰的持续战争深刻影响了2024年的网络攻击模式，其影响范围远超冲突直接区域。欧洲企业和政府机构发现自己成为与俄罗斯有关联的威胁行为者的目标。随着克里姆林宫的网络安全策略愈发侵略性，欧盟网络安全机构报告称，近几个月来破坏性攻击数量翻了一番。“这是俄罗斯侵略战争的一部分，”一位欧盟官员警告称在数字领域横跨欧洲开展战斗。Pro-Russian hacktivist groups played a prominent part in this activity. These loosely organizedindependent threat actors conduct DDoS attacks, defacements, and data leaks in support of Moscow’s agenda. One such group has claimedover 6,600 attacks since the war began in 2022, 96% against European targets including government websites, airports, media outlets, and companies. Meanwhile, state- sponsored Russianhacking groups continued their campaigns of espionage and sabotage. Western security agencies disclosed that Russian intelligence units have “substantially dialed up” their cyber operations against NATO members since the Ukraineinvasion. 本报告基于从数千万个端点收集的威胁情报数据，这些端点分布在大规模的OpenText实时文件传感器网络中。我们分析了文件、电子邮件消息以及与恶意网站的通信。这些端点每天遇到数十万个以前从未见过的应用程序文件。我们按来源对这些文件进行分类，其中商业PC占所有新文件的73.8%，而消费者设备仅遇到26.2%。威胁情报概览 8.68%7.50%恶意软件图1：恶意软件感染率：消费者与商业PC，2020-2024很难准确找到这一趋势的确切原因，但可以合理假设，像生成式人工智能这样的工具发挥了关键作用。网络钓鱼攻击和社会工程计划正变得更容易创建，同时也更难被用户识别。我们将在本报告的稍后部分探讨最新的网络钓鱼策略，但很清楚，企业在对抗这些攻击的战斗中已经开始失势。为了减缓这一趋势，重新聚焦和投入更多努力将至关重要。消费者并未幸免于感染率上升。其增长率沿着相似曲线，从2020年的8.68%逐年下降至2022年的2.94%，然后在去年的报告中反弹至3.01%。2024年，该比率进一步小幅上升至3.07%——虽非剧烈波动，但仍在错误方向上移动。2024年对商用电脑来说是个糟糕的一年。这些设备上的恶意软件感染率上升了28%以上，达到2.39%，为2020年以来最高。2023年，我们报道了在连续四年下降后出现轻微回升。最新数据显示，这并非偶然波动，而是令人担忧的上升趋势的开端。While infection rates are rising, the prevalence of unique variants in these attacks has plateaued in 6.09%4.73%3.46%2.06%2.94%1.69%3.01%1.86%20242023202220212020消费者商业近年来，这一比例从2019年的最低86.2%变化到2022年的最高87.5%，今年则达到了86.5%。这种策略将持续存在，并且理由充分。通过按每次感染版本化其恶意软件，攻击者可以规避基于特征的防御。对于企业而言，这使其尤其重要的是实施具有每终端遥测功能的防病毒保护。通过从每个设备捕获广泛的数据，例如进程创建、网络连接和注册表修改，组织能够检测并阻止以前未见过的恶意软件变种。在少数几台电脑上出现的恶意软件变体比例也保持稳定，2024年的11.6%率在历年范围内波动。在11至100个端点上更频繁出现的感染率相对较低，为1.7%，同样处于近期趋势的中间位置。 3.07%2.39%最新数据 3.01%2023感染率：消费者与商用PC2025 OpenText网络安全威胁报告恶意软件个人电脑消费市场商用PC传统上感染率远低于消费PC。这可以理解，因为网络安全团队利用的专业知识和资源是私人个人难以企及的。然而，这种差距在2024年急剧缩小——或许是由于攻击者通过更复杂的交付策略更有效地削弱了用户培训努力。鉴于人工智能的持续进步，并且所有伟大的创新技术都既被用于好的目的，也被用于邪恶的目的，我预计2025年的感染率趋势将继续朝着错误的方向发展。安全专家长期以来一直建议，多层防护对于减少恶意软件感染至关重要，而数据也持续证实了这一点。采用多层方法对网络弹性的重要性图2：感染率：消费者与商业PC，2023-2024OpenText客户实施安全意识培训与终端保护相结合者，感染率比仅依赖终端保护者低7.3%。 3.07%20241.86%20232.39%2024商用电脑 Grayson Milbourne安全情报总监对于消费者而言，去年整体感染率从3.01%略微上升至3.07%，增幅仅为可以忽略不计的1.99%。而企业方面，感染率则显著攀升了令人担忧的28.49%，从1.86%飙升至2.39%。尽管这一数值仍显著低于消费者感染率，但攻击者正逐渐削弱成熟网络安全团队效能的观点，足以引起企业领导者的警惕。对于企业来说，这是一个好消息的迹象，在这些端点上，再感染率略低于其对应的消费端。在2024年遭遇感染的消费端中，56%在年内经历了再次感染。企业在这方面更为成功，只有43%的感染端在2024年出现了再次感染。这突显了事中用户教育的必要性。恶意软件事件可以成为影响受影响者的宝贵机会，并激励他们通过改善安全卫生习惯来提高警惕性。OpenText客户将DNS保护与终端保护相结合比仅使用端点保护的用户少19.4%的恶意软件感染。 恶意软件对于消费者而言，2024年的情况则是恶意软件在下载文件夹中的占比大幅增加，从2023年的23.5%跃升至2024年的37.6%——增幅超过50%。随着桌面上的恶意软件占比从12.1%上升至13.0%，我们发现消费者恶意软件中超过一半存在于电子邮件附件最常见的两个位置。正如本报告后续将探讨的，攻击者正日益娴熟地使用人工智能工具来创建更具说服力的钓鱼活动。消费者显然已经上当受骗。您当前使用的操作系统版本对感染风险有显著影响。升级到最新版本可以降低恶意软件风险，特别是从不再受支持的版本升级。因此，看到Windows 11的采用率持续上升是个好消息，而Windows 10即将在10月跟Windows 7一样进入生命周期结束阶段。在消费者群体中，Windows 11（现包含在所有新售出的电脑中）目前占所有终端的26.7%，而Windows 10则占44.1%。企业方面则稍显落后，其中64.7%仍在使用Windows 10，而只有25.4%使用Windows 11。恶意软件几乎可以驻留在端点文件系统的任何位置，甚至在某些情况下是无文件的。但绝大多数——81.8%——隐藏在少数几个位置中。在企业中，这些位置的分布于2024年发生了适度变化：21.4%在临时文件夹（Temp），较2023年的22.7%有所下降；26.6%在AppData，较2023年的22.6%有所上升；11.8%在下载文件夹（Downloads），较2023年的15.2%有所下降；以及9.6%在桌面（Desktop），较2023年的8.0%有所上升。企业路径占总量的约8%，其中7.6%存在于%WinDir%路径，9.8%存在于%ProgramFiles%路径。 按企业规模划分的感染率恶意软件图4：按企业规模划分的恶意软件感染率，2024年2024年，企业规模与感染率之间的关联性基本保持不变。简单来说，小型组织遭受攻击的频率较低，每次感染的数量也较少。而大型组织则对攻击者更具吸引力，通常拥有更广阔的攻击面和更多的资金用于支付赎金。但这并不意味着中小企业面临的风险较小。它们看到的感染数量在绝对值上可能较少，但占其组织总量的比例要大得多。在一个有20名员工的办公室里出现五六例感染，其严重程度远超在一个有1万名员工的企业里出现50设备的感染。 4.6%4.96.727.8%小型1-20 台电脑中21-100 台电脑每个企业的平均恶意软件感染数量 14.640.185.0%58.7%大型101-500 台电脑非常巨大501+ 台电脑在小规模方面，全球拥有20台或更少已获授权PC的企业中，有4.6%的企业遭遇感染，平均影响4.9台PC。拥有21至100台已获授权PC的较大企业感染率为27.8%，平均受影响6.7台PC。规模再往上，拥有101至500台已获授权PC的企业感染率达58.7%，平均受影响14.6台PC。在这每种情况下，感染率略低于2023年，而受影响设备数量上升。拥有超过500台已获授权PC的最大规模企业，总体感染率为85.0%，平均受影响40.1台PC，两者较去年均略低。 1.0%0%按地区划分的感染率图5：