2025年全球事件应变报告

全球事件响应报告 2025 20251 全球事件响应报告 目录 执行摘要3 1.引言......................................................................................................................................................... 2.新兴威胁与趋势.................................................................................................................6.......... 趋势1。破坏业务运营：勒索攻击的第三波浪潮。6趋势2。在软件供应链和云攻击中日益增强的影响。10趋势3。速度：攻击正变得更快，给防御者更少的时间来应对。13趋势4。内部威胁的崛起：朝鲜的 内部威胁狂潮。15趋势5人工智能辅助攻击的出现16 3.威胁行为者如何成功：常见✁有效战术、技术和程序.18 3.1.入侵：不断增长的社会工程，既普遍又具有针对性。193.2.攻击技巧洞察：来自Unit42案例数据的分析.20 4.防御者✁建议.23 4.1.常见影响因素........................................................................................................................................... .......234.2.防御者建议................................................................................................................................ ..............24 5.附录：MITREATT&CK®战术技巧，调查类型 and其他案例数据...............................................................................................................2.7.................... 5.1观察到✁MITRE技术按战术概述.27 5.2.按地区和行业的数据...............................................................................................................................3..2....................... 6.数据和方法论.37 贡献者...................................................................................................................................................................................... 全球事件响应报告20252 3 3 执行摘要 我们看到五种主要的新兴趋势正在重塑威胁格局。 •●首次，威胁行为者正将传统的勒索软件和敲诈行为与旨在故意扰乱运营的攻击相结合。2024年，Unit42应对的事件中，有86%涉及业务中断——包括运营停机、声誉损害或两者兼有。 •第二软件供应链和云攻击的频率和复杂性都在增长。在云环境中，威胁行为者常常嵌入在配置错误的环境中，扫描庞大网络以获取有价值的数据。在一项活动中，攻击者扫描了超过2.3亿个独特目标以寻找敏感信息。 •第三，入侵速度的不断加快——由自动化和简化的黑客工具包放大——留给防御者的检测和响应时间极少。在近五分之一的案例中，数据窃取在入侵发生的第一个小时内即已完成。 •第四，组织面临内部威胁风险加剧，因为像朝鲜这样的国家针对组织窃取信息以资助国家计划。与朝鲜相关的内部威胁案例在2024年翻了三倍。 •第五,早期对AI辅助攻击的观察表明，AI如何放大入侵的规模和速度。 在这些趋势下，我们也观察到攻击者采用多管齐下的方式，针对攻击面的多个领域进行攻击。事实上，Unit42应对的事件中有70%涉及三个或更多个方面，这突显了需要同步保护端点、网络、云环境和人类因素的重要性。而就人类因素而言——我们调查的近一半安全事件（44%）涉及网络浏览器，包括网络钓鱼攻击、恶意重定向和恶意软件下载。 基于多年的经验，从数千次事件响应中汲取，我们已确定三大核心因素使对手得以成功：复杂性、可见性差距和过度信任分散的安全架构、未管理的资产和权限过高的账户都为攻击者提供了他们成功所需的空间。 为应对这些挑战，安全领导者必须加速他们通往零信任之旅的进程。：，减少生态系统中的隐含信任。同样关键的是确保应用和云环境：从开发到运行时，确保配置错误和漏洞能够迅速得到解决。最后， 赋能安全运营，看得更远，响应更快。—具备对本地、云和终端日志的整合可见 性，以及自动化驱动的威胁检测和修复。 1 引言 在我的二十年职业生涯中作为一名事件响应者，我见证了威胁格局和攻击者策略的无数变化。 当勒索软件首次出现时，文件加密成为网络犯罪分子的首选策略。他们锁定文件，索要解密密钥的赎金，然后离开。备份技术不断改进，双重勒索（doubleextortion）变得更为流行。网络犯罪分子利用骚扰手段（并且至今仍在使用）向公司勒索：“付款，否则我们将泄露敏感数据。”但即便如此，这种方法也正逐渐失去吸引力。 ：几乎每月我都会收到数据泄露的通知。偶尔我会打开并阅读这些信函；坦白说，其他时候它们会直接被扔进垃圾箱。像许多人一样，我投资了身份盗窃保护软件，并遵循网络安全最佳实践。随着这些通知的泛滥，很难不让普通人思考：我的数据再次泄露了，那又如何？这种麻木的心态令人不安。然而，尽管存在公众的冷漠，数据泄露仍然可能对公司造成重大损害。 过去一年标志着攻击者目标再次转向有意性的操作。 disruption.这一新的金融动机勒索阶段优先考虑破坏行为——攻击者有意摧毁系统，将客户排除在其环境中，并迫使长时间停机——以便威胁行为者能够维持其攻击能产生最大影响的能力，并向组织勒索付款。 2024年，Unit42应对了超过500起重大网络攻击。这些事件涉及大型组织，他们面临敲诈勒索、网络入侵、数据盗窃、高级持续性威胁等问题。这些攻击的目标涵盖所有主要行业垂直领域和38个国家。 我们已应对前所未有的速度发生的漏洞，造成严重的运营中断和级联影响—从停机和服务中断到成本达到 数十亿ofdollars.在每种情况下，情况都已升级到安全运营中心（SOC）请求支援的程度。 当Unit42被呼叫时，我们的应急响应团队迅速行动以遏制威胁、调查事件并恢复运营。危机过后，我们与客户合作以加强其安全态势，以抵御未来的攻击。 Unit42的使命明确：保护数字世界免受网络威胁。在全球范围内24/7运营，我们的团队团结一致，旨在阻止威胁行为者，追捕不断演变的威胁，并帮助组织为甚至最复杂的攻击做准备并从中恢复。 本报告旨在引导您了解我们的主要发现和可采取的见解： •●新兴威胁与趋势：审视即将到来的形势，包括破坏性勒索的兴起、人工智能辅助攻击、基于云和软件供应链的攻击、国家行为者内部威胁以及速度。 •威胁行为者如何成功：对从初始访问到产生影响的常见有效策略、技术和程序进行分析。 •针对防御者的建议：为高管、CISO（首席信息安全官）和网络安全团队提供实用指导，以加强他们的防御能力、建立韧性并保持领先于威胁。 当你阅读时，请思考的不仅是什么正在发生，还有接下来会发生什么以及你的组织如何准备以应对日益复杂的威胁环境。 SamRubin 咨询与威胁情报部门的高级副总裁42 2新兴威胁与趋势 2025年，组织面临着来自金融驱动型网络犯罪分子、资源充足的国家级行为体、内部欺诈以及意识形态驱动型黑客行动主义的复杂威胁组合。尽管勒索攻击在犯罪团伙中仍占主导地位，但复杂的国家级对手正瞄准关键基础设施、供应链和关键行业。随着拥有特权访问权限的承包商和员工能够绕过外部防御措施，内部风险加剧；黑客行动主义者则利用社交媒体网络协调大规模破坏行动。 在此背景下，Unit42确定了五个关键趋势，我们认为这些趋势对组织产生最显著和直接的影响：故意的破坏性勒索攻击、软件供应链和云服务利用、攻击速度的不断加快、朝鲜内部威胁以及人工智能辅助的威胁。 趋势1.破坏商业运营：勒索攻击的第三波浪潮 随着防御能力的提升，备份变得更加普遍且成功，随着网络卫生的成熟。攻击者被迫创新其方法，以确保他们能够获得持续——以及更高——的付款。 勒索攻击在过去十年中不断发展：从加密、数据窃取和多重勒索技术，到故意破坏。尽管勒索软件仍然是一个主要的威胁，但攻击者已从单纯加密数据转向更具破坏性的策略，例如骚扰利益相关者并威胁关键运营，导致长时间停机。 2024年，Unit42响应的事件中有86%造成了某种影响相关的损失。这包括： •●直接的业务中断 •资产和欺诈相关损失 •●因公开攻击导致的品牌和市场损害 •●运营成本、法律和监管成本增加。 我们可以从三个浪潮的角度来定义勒索攻击的演变。 第一波：最初，那里只有加密。 加密货币的兴起使得犯罪活动能够以较小的风险实施大规模犯罪。攻击者迅速将勒索软件作为一种有利可图的攻击方法采用，锁定关键文件，将其作为抵押并要求支付加密货币以解锁。自那以后，加密货币已成为勒索软件攻击的关键推动者： •降低攻击者被识别的风险 •●降低网络犯罪分子的进入门槛。 •●●帮助攻击者逃避执法和国际制裁 在那些早期的勒索软件案例中，策略很简单。入侵、加密文件然后撤离。在这个时期的Unit4 2调查很少发现数据窃取的迹象。 攻击者现在更加复杂，通常会结合加密与数据盗窃和双重勒索威胁，但加密本身仍然是一种常用的策略。事实上，Unit42最新的应急响应数据显示，加密仍然是勒索案件中最常用的策略 ，在过去4年内相对稳定。 随着时间的推移，随着组织改进了他们的数据备份实践，将加密作为唯一的勒索策略已变得不太有效。备份帮助更多组织更快地恢复——2024年近半数（49.5%）受影响的受害者能够从备份中恢复。如图1所示，这与2022年相比大约增加了五倍，当时只有11%的受害者能够从备份中恢复 。 图1。从2022年到2024年，成功从备份中恢复加密文件的事故比例上升了360%。 然而，这些防御措施几乎无法抵御攻击者发布或出售被盗数据的风险。 第二波：通过数据窃取提高赌注 随着仅专注于加密变得不再有效，攻击者转向了一种新的勒索策略：数据窃取及随后的骚扰。除了利用窃取的数据通过敲诈勒索和骚扰来施压受害者外，受经济动机驱动的行为者还获得了额外的收入来源，例如在暗网市场上拍卖数据。 攻击者威胁要公开泄露机密信息，经常设立泄露网站吹嘘其所谓的受害者。一些攻击者向员工和客户发送恶意信息。 然而，尽管数据盗窃仍然是一种流行的策略，但由于多种原因，其有效性已开始下降。数据泄露疲劳导致暗网泄露对迫使受害者支付压力的影响减弱。 根据身份盗窃资源中心（IdentityTheftResourceCenter）的2023年数据泄露报告，仅2023年就有3.53亿人的数据被泄露。此外，虽然攻击者多数情况下会兑现承诺，但组织机构对那些未能兑现承诺的情况越来越担忧。 事实上，在2024年包含数据盗窃的数据案例中，不到三分之二的情况下攻击者提供了任何数据删除的证据（仅为58%）。在某些案例中，Unit42发现尽