2025年全球威胁报告

前言 不要低估今天的企业型对手 观看任何自然节目，你很快就会发现低估对手的动物会发生什么。它们会成为猎物。同样的原则适用于网络安全——对手的进步速度如此之快，以至于你不能低估他们。 我们最新的研究表明，对手在他们的方法上变得更加高效、专注和商业化——在很多方面，更像他们所掠夺的企业组织。这就是为什么我们的安全分析师、专家和作者团队选择“进取型对手”作为今年CrowdStrike全球威胁报告的主题。 以生成式人工智能（genAI）为例。在所有主要类别——国家行为体、网络犯罪和黑客活动家——中，高效的反派出现在早期并且热衷于采用。现成聊天机器人的“倍增器”影响，使genAI成为全球黑客工具箱中受欢迎的补充。 随着合法组织的推动，商业大型语言模型（LLM）的便捷访问也使对手更加高效。它缩短了他们的学习曲线和开发周期，并让他们能够增加其活动的规模和速度。尽管本报告表明人工智能的恶意使用正在增长，但目前它仍然基本上是迭代和进化的。只有偶尔才表现为一种完全新颖的应用案例。但仍然处于早期阶段。 在CrowdStrike，我们不会等待威胁行为者经历他们的下一个“啊哈”时刻。我们正在加速我们自己对人工智能技术的应用——从我们基础性的机器学习能力到我们领先尖端的生成式和代理式人工智能模型——以帮助我们的客户提前预知下一次零日攻击，并主动地针对它们进行免疫。这就是采用人工智能原生方法进行网络安全防御的本质。与全球组织仍然依赖的传统系统不同——我们不会在攻击发生之前坐视不管，直到我们能够识别并阻止它。 对抗性企业代价高昂 保护您组织的工作正变得越来越困难。您会在随后提供的数据中找到这一事实的充分证据。精英CrowdStrike反恶意软件作战小组追踪的新“命名对手”数量持续增加，而成熟的对手则不断向其规避、入侵和窃取武器库添加新的目标和更复杂的技巧。 本报告旨在为您提供，作为世界安全专业人员和忠诚网络防御者，所需的知识，以便您始终领先于这些威胁行为者——并且永远不要低估他们。 以下是你应该了解的关于不断变化的威胁格局的几个关键事实： •突破时间——攻击者开始横向移动穿过您网络所需的时间——在过去一年中达到了有史以来的最低点：平均值降至48分钟，并且我们观察到的最快突破时间下降到仅仅51秒. •声音钓鱼 (vishing) 攻击，攻击者通过给受害者打电话并使用有说服力的社会工程技术来放大他们的活动，这种攻击呈爆炸性增长——增长442%在2024年上半年之间。 •与初始访问相关的攻击激增，占比52%crowdstrike在2024年观察到的漏洞。作为一种服务提供访问已经成为一个蓬勃发展的业务，因为访问中介的广告增多了同比增长50%. •在民族国家中，中国枢纽活动激增150%总体而言，一些目标产业受到200%至300%比前一年有更多攻击。 •在2024年的复杂网络攻击活动中，GenAI发挥了关键作用。它使著名金鹰要创建极具说服力的虚假IT职位候选人，以渗透受害者组织，它还帮助与中国、俄罗斯和伊朗相关的威胁行为者进行AI驱动的虚假信息和影响力行动，以破坏选举。 正如我们提供的每一项产品和服务的宗旨一样，我们希望本年度的《全球威胁报告》能让您更加警醒，更加敏锐地洞察您当前或未来可能面临的风险，并全面提升您保护组织的整体能力。 »本报告中提到的对手以及针对您所在行业或地区的对手，请查看CROWDSTRIKE对手宇宙。 CrowdStrike始终为您提供的服务，并完全致力于公司十多年前成立时单一的目标和使命。我们公司、我们的平台和我们的员工都专注于一件事情：与客户紧密合作，阻止数据泄露。 CrowdStrike首席执行官兼创始人 目录 简介 5 命名约定 9威胁态势概述 关键对手主题15 15社交工程学 生成式人工智能与企业家式对手19 中国的网络企业 云意识威胁行为者持续创新 开拓式漏洞利用 saas漏洞利用或将持续40 结论 43 推荐 45 crowdstrike falcon 平台、产品和服务 47 关于CrowdStrike 简介 crowdstrike 2025 全球威胁报告是行业内关于对手情报的顶级来源，审视了过去一年的对手趋势。2024 年，对手比以往任何时候都成熟得更快，在创新技术和工具的同时，还找到了富有创造性的解决方案来规避现代防御措施，同时始终密切关注其目标。对手正在简化其战术，完善和扩展成功的策略，并从自己和同事的失败与成功中吸取经验教训，以商业为导向的方式发起攻击。2024 年是具有开拓精神的对手的一年。 ecrime攻击者展示了这种有远见的网络攻击，他们不断适应变化的环境，并迅速扩大有效的运营规模。2024年全年，初始访问技术开始转变——ecrime攻击者开始从网络钓鱼转向替代访问方法。这种转变表明，通用恶意软件运营商在面对加固的安全防御时，可能正在利用创新技术找到更有效和成功的感染方式。2024年广泛传播的一种技术是利用基于电话的社会工程学 exploitation：各种ecrime攻击者越来越多地采用vishing、回拨网络钓鱼和客服中心社会工程学攻击来获得对网络的控制权。 这些不断变化的初始访问方法与已识别的一个更大的趋势相一致CrowdStrike 2024威胁狩猎报告与其传播恶意软件，网络犯罪对手正越来越多地利用合法的远程监控和管理（RMM）工具来访问受害者的系统——因此成功运营不再需要恶意软件。在2024年全年，网络犯罪分子在其活动中频繁利用RMM工具。 In 2024, China’s cyber espionage operations reached new levels of maturity, with adversariesmaintaining a higher operational tempo than observed in 2023 and engaging in prolific targeting. Decades of government investment into China’s cyber workforce and programs have yieldedmatured capabilities and efficiencies as well as an increasing number of new, specialized China-nexus adversaries. In 2024, CrowdStrike graduated seven new China-nexus adversaries and observed a 150% increase in China-nexus activity across all sectors on average compared to 2023. Additionally, China-nexus adversaries increasingly prioritized operations security (OPSEC)and at-scale infrastructure management by obfuscating their activities via operational relay box(ORB) networks. 朝鲜民主主义人民共和国（DPRK）相关对手迷宫乔利玛,天鹅绒乔利马,和静寂的晨星持续针对不同国家的国防和航空航天实体。然而，与往年类似，这些对手的大部分网络行动集中在产生货币，这已成为政权赖以生存的生命线。值得注意的是，著名金鹰在2024年，他们通过在全球范围内大规模利用其IT工人计划，创新了他们的货币生成业务。在2024年，CrowdStrike Falcon® 敌对观察者™威胁猎人应对了304起FAMOUS CHOLLIMA事件，其中近40%代表内部威胁行动。 尽管朝鲜的对手多年来巧妙地调整其行动以支持大规模货币制造，但他们在2024年行动中部署的具体战术——如利用虚拟面试、分配大量资源和人员，以及大规模使用笔记本电脑农场——突显了朝鲜在网络作战（CNO）方面的开拓性方法。 在2024年的漏洞威胁态势中，威胁行为者继续针对网络边缘设备，并定期利用公开可用的漏洞研究（例如披露、技术博客和概念验证（POC）漏洞利用）来帮助他们恶意活动。在云环境领域，越来越多的新对手有效地利用云环境，通常采用先前测试过的技术，并根据他们自己的目标进行适配。 对手在针对选举过程的情报行动（IO）中也利用了生成式人工智能。在2024年全年，对手越来越多地采用生成式人工智能，尤其是在社会工程行动中。 在进取的对手面前保持一步领先是困难的——但并非不可能。随着对手的成熟，你的防御也在成熟。随着对手的创新，CrowdStrike 也在创新。CrowdStrike反制对抗行动通过将威胁情报的力量与专业狩猎团队的 tốc độ 以及来自AI原生的数万亿尖端遥测事件相结合，提高了进行恶意网络行动的运营成本CrowdStrike Falcon®平台为了检测、破坏和阻止当今复杂的对手。 »猎鹰对手守望威胁猎人应对了304起著名晨星事件，其中近40%代表内部威胁行动。 反制敌方行动由两个紧密协作的团队组成。CrowdStrike 情报团队提供可操作的报告，识别新出现的对手，监控其活动，并实时捕获新兴网络威胁发展情况。CrowdStrike OverWatch 团队利用这些情报，在客户遥测数据中开展主动威胁搜寻，以检测和应对恶意活动。 2024年，CrowdStrike Intelligence推出了26个新命名的对手——包括新的哈萨克斯坦基地对手同志 萨伊加— 将所有动机跟踪的命名对手总数增加到257个。除了命名对手之外，CrowdStrike情报机构还跟踪了140多个活跃的恶意活动集群和新兴威胁团体。 在过去的一年中，CrowdStrike 致力于通过提供来自CrowdStrike对不同行业和地区不断变化的威胁态势的广阔视角的进一步洞察，来丰富平台内Falcon体验。CrowdStrike通过监控犯罪地下和新兴威胁，将这些洞察与客户边界外的活动联系起来。 新仪表板可深入了解CrowdStrike的客户生态系统中Falcon Adversary OverWatch威胁狩猎发现，而点击式狩猎功能则可从新的威胁狩猎查询源无缝过渡到实时调查CrowdStrike Falcon®下一代SIEM此外，新的反制对手手册可以轻松构建为任何组织量身定制的全面情报监控计划。 crowdstrike 2025 全球威胁报告总结了 crowdstrike 智能团队在 2024 年全年进行的风险分析，并描述了网络威胁领域内的显著主题、趋势和事件。这份年度报告还包含前瞻性的威胁评估，以帮助组织在接下来的一年中做好准备并加以保护。 2024年新对手被点名 257140目前由CROWDSTRIKE追踪的总体对手数量 主动恶意活动集群和新兴威胁组织被追踪 威胁态势概述 网络攻击在速度、数量和复杂性方面不断升级。随着组织努力加强其防御，对手瞄准了他们的弱点：容易受到社会工程学攻击的员工以及缺乏现代安全控制的系统。一旦进入，他们在几秒钟内就会行动，隐蔽地在网络中移动以执行攻击。2024年，CrowdStrike观察到的检测中有79%是无恶意软件的，这表明对手转而使用与正常用户活动混为一体的“键盘操作”技术来阻碍检测。 79%40%2024年检测结果是malware-free的，从2019年 ,平均e犯罪突破时间跌至48分钟以最快的突破观察到仅51秒 442%网络钓鱼攻击激增在第一和2024年下半年 150%200-300%中国-纽带活动骤增在所有部门，包括惊人增加在重点目标行业 52%观察到的漏洞由CrowdStrike于2024年进行与初始访问相关 26257被追踪的新对手CrowdStrike，提高总数to 35%