2026年全球威胁态势研究报告

FortiGuard Labs 研究洞察 2026 年全球威胁态势研究报告 FortiGuard Labs 研究洞察 Arturo Torres: FortiGuard 拉丁美洲区域总监Douglas Santos: 高级威胁情报总监Derek Manky: 全球威胁情报副总裁 合作伙伴 Mark Robson: 首席威胁分析师（事件响应团队）Ankit Chauhan: 首席网络威胁情报分析师（FortiRecon 团队）Christopher Hall: 首席云安全研究员（FortiCNAPP 团队）Vijay Dontharaju: 安全工程总监（FortiNDR 云团队）Motti Elloul: FortiMail Workspace Security 产品管理与事件响应总监 444445791314142730313235353940444548■前言■关于本报告2026 年全球威胁态势研究报告受众与目标方法论与遥测数据来源■FortiGuard 安全运维攻击链框架■阻断式防护：摧毁产业化网络犯罪链条■执行摘要■核心结论摘要： 工业化网络犯罪：机器速度下的攻击■网络犯罪产业化：漏洞如何成为黑色产业链的“生产资料”暗网整体态势：已完成目标暴露面标记（FortiRecon 情报）■武器化：工业化攻击准备与攻击者赋能漏洞商品化：将漏洞利用视为存货资产，而非一次性事件漏洞利用成熟度 vs. 漏洞新颖性封装、复用与自动化能力■漏洞利用：规模化入侵 ⸺ 攻击执行的工业化IPS 情报、FortiEDR / MDR 情报、FortiRecon 情报漏洞利用时间（TTE）与自动化关键漏洞爆发模式与快速武器化■后渗透：网络犯罪以机器速度接管系统僵尸网络C2、无文件攻击与原生工具规模化持久控制■工业化云入侵：机器级身份滥用、自动化与控制515253云控制平面滥用身份体系作为新攻击面全球区域与行业观察API滥用、资源劫持与变现模式5559606363677070■影响：工业化网络犯罪如何将攻击能力转化为实际损害（FortiRecon 情报）受害者规模与经济利益优化勒索软件、APT攻击与大规模漏洞利用的融合威胁安全运营、应急响应与决策框架■总结：在工业化威胁时代重建防御者优势■关于《Fortinet 全球威胁态势研究报告》■关于FortiGuardLabs■关于Fortinet7151 目录 2026 年全球威胁态势研究报告 本报告所用数据均源自 FortiGuard Labs 威胁情报，依托自 2002 年起在全球部署的数百万传感器采集的遥测数据。报告涵盖 2025 年（或某些数据集最新可获取的近12 个月记录）在多个安全领域和攻击媒介上收集的海量数据，每项洞察均标注遥测数据来源，并映射至 MITREATT&CK 框架，以确保分析基准的可防御性和可复现性。本次研究的发现与建议根据实际观测活动的发生概率和普遍性进行优先级排序，直接聚焦于安全运营中心（SOC）、数字取证与事件响应（DFIR）及首席信息安全官（CISO）等关键岗位在威胁检测、响应和自动化方面的核心关注点。 2026 年威胁态势已无法通过孤立的入侵指标或单一领域趋势准确描述。 攻击者实施端到端攻击生命周期 ⸺ 从入侵前的暴露面自动化测绘、访问权限商品化交易和工具链产业化装配，到入侵后的精准漏洞武器化、隐蔽持久化植入、双重勒索获利变现及业务连续性破坏。 为此，《2026 年全球威胁态势研究报告》引入 FortiGuard 安全运维杀伤链（SecOps Kill Chain），该模型基于核心优势构建，并采用遥测数据驱动。Fortinet提供覆盖攻击全生命周期的安全运维技术，实现对多种入侵途径的真实环境可视化监测。这种统一的多领域遥测机制，可构建基于证据的可验证威胁分析体系。该框架以MITRE ATT&CK 为通用语言提供一致性分析架构，并将遥测数据转化为符合持续威胁暴露管理（CTEM）的决策依据。 FortiGuard 安全运维（SecOps）杀伤链阶段及解读方法 模型将威胁活动划分为六个可循环阶段: 该框架提供了跨领域遥测数据关联的统一方法，确保每项分析结果均可映射至 ATT&CK 技术矩阵、经证据验证，并通过安全运维工作流落地实操。 引入 FortiGuard SecOps 行动框 为确保本报告提供可落地的操作方案而不仅限于洞察分析，FortiGuard SecOpsKill Chain 的每个阶段均设有标准化行动框。该行动框是本报告的核心执行载体，标志着遥测驱动的威胁情报转化为具体、角色化的行动方案。 该行动框采用模块化可视化设计，具备独立可复用特性，无需依赖上下文即可直接部署至以下场景： ■安全运营中心（SOC）应急处置预案■数字取证与事件响应（DFIR）调查清单■首席信息安全官（CISO）战略简报及持续威胁暴露管理（CTEM）实施方案 为避免报告内容冗繁，本报告将统一采用集成式 FortiSOC 作为安全运维（SecOps）行动框的底层执行架构。 FortiSOC 全面整合以下三大核心运营能力： 3 2 1 FortiSOAR:流程编排、Playbook 执行、情报增强、自动化响应 FortiAnalyzer:日志分析、基线建模、报告生成、调查中枢 FortiSIEM:多源关联、规则引擎、事件/案件管理 注：虽然报告中为提升可读性在表格形式的‘行动框（Action boxes）’中使用了FortiSOC ，但客户可选购统一 SaaS 服务或独立部署分析（FortiAnalyzer）、管理（FortiSIEM）和编排（FortiSOAR）组件。 阻断式防护：摧毁产业化网络犯罪链条 现代网络犯罪已呈现高度产业化特征，依托共享攻击基础设施、可复用武器库工具链、体系化的地下交易市场以及犯罪生态间的长效协同机制。在此背景下，安全防护已不再局限于在攻击执行时点进行单一阻断，而是需要对上游支撑体系实施源头打击。 通过网络威胁联盟（CTA）开展的行业协作，以及与国际灭罪组织共同推出的"网络犯罪悬赏项目"。这些行动旨在将威胁情报转化为实际战果，具体包括犯罪基础设施识别、联合打击行动支持，以及削弱大规模犯罪活动的服务支撑能力。 Fortinet 防御体系深度适配这一威胁格局—— 在提供企业级检测响应能力的同时，更联动全球执法部门、产业联盟与跨国协作组织，系统化识别、追踪并摧毁网络犯罪的基础支撑设施。这一战略聚焦犯罪供应链关键节点：C2 指挥网络、欺诈基础设施、凭据黑产生态、规模化诈骗集群及其地下交易枢纽。 过去一年， Fortinet 深度参与了多项国际协同打击行动，包括国际刑警组织的“塞伦盖蒂 2.0 行动”和“红牌 2.0 行动"、世界经济论坛主导的"网络犯罪图谱计划"、 "红牌行动2.0"和"塞伦盖蒂行动2.0"等专项行动证实，基于情报协同的联合作战可有效打击规模化网络犯罪活动。相关行动已实现犯罪人员抓捕、作案设施查封，并成功摧毁依托共享主机、通信平台与资金通道运作的欺诈及网络犯罪体系。从网络安全防御角度而言，此类行动可在威胁渗透企业网络前，彻底清除特定类型的攻击源头。 “网络犯罪赏金计划”通过提升对活跃犯罪基础设施及攻击工具的监测能力，有效支持这一战略目标。该计划不仅协助识别高价值打击目标，更大幅压缩了从威胁发现到处置行动的时间窗口。 这些协同行动标志着防护理念范式的转变：在当前产业化的网络威胁环境下，有效防护已不再局限于阻断单次漏洞利用或拦截特定恶意软件，而是需要通过系统性增加犯罪成本、制造运营障碍、破坏其规模化依赖的共享服务可靠性，从根本上削弱攻击者生态体系的整体运作效能。 此类执法行动更具战略价值：通过精准溯源实际攻击者及其基础设施，不仅强化了犯罪追责效果，更有效破坏了犯罪生态赖以生存的匿名性和可靠性基础。随着基础设施被持续摧毁和犯罪者身份的曝光，大规模网络犯罪的实施成本与风险门槛将大幅提高。长远来看，这种机制通过削弱网络犯罪活动的可预测性、稳定性和盈利空间，逐步建立起有效的威慑体系。 此类上游打击措施与本报告所述技术防护方案形成战略互补。虽然暴露面管理、威胁检测与应急响应仍是必要环节，但最根本的防护在于将更多威胁扼杀在成熟攻击阶段之前。随着犯罪基础设施被持续清除、黑产交易平台遭瓦解、攻击运营者不断被迫调整策略，整个攻击链条的稳定性和可靠性将受到实质性冲击。 网络犯罪悬赏计划通过提升对活跃犯罪基础设施及攻击工具的监测能力，有效推进这一目标的实现。 “网络犯罪图谱计划”与网络威胁联盟（CTA）通过完善行业威胁情报的共享机制、关联分析和实战应用，进一步拓展了这一协同作战模式。该计划不仅着眼于加快威胁检测速度，更注重提升整体打击效能，通过系统梳理攻击者基础设施网络、关联实体及运作依赖关系，精准识别犯罪生态系统中的结构性漏洞，并组织针对性协同打击行动。 此类举措构成了攻击链中的关键控制节点。尽管在此环节部署的防御措施不能完全替代下游防护，但能显著降低整体防御体系需应对的威胁总量、攻击频率及实施效率。 执行摘要 2025 年，网络犯罪已从孤立攻击活动演变为产业化运作体系。 Fortinet 遥测数据显示，全球范围内共记录 6400 亿次侦察事件（同比-45%）、676.5 亿次暴力破解尝试（同比 -22%）及1219.9 亿次漏洞利用尝试（同比 +25%）。值得注意的是，2024年漏洞利用尝试量仅为 970 亿次，这一显著增长凸显了自动化攻击规模正持续扩大。数据表明，当前攻击模式已实现全自动化运作 —— 暴露面持续被扫描、验证并利用，完全摆脱了传统攻击周期和人工干预的限制。 当前漏洞利用主要依赖于现成漏洞的可用性和自动化工具，而非新漏洞的挖掘。在监测到的 635 个活跃漏洞中，53.86% 已有公开的概念验证代码，31.18% 具备可直接利用的完整攻击代码。该数据与2024 年情况基本一致，表明攻击者一旦获得现有的漏洞利用素材，就能迅速将其投入实战攻击。 当前自动化技术大幅加快了漏洞利用速度，使得攻击窗口期急剧压缩。历史数据显示，漏洞公开后通常需一周左右才会出现攻击活动，但 2025 年这一时间已缩短至24-48 小时内。这种快速响应能力使得攻击节奏持续领先于企业常规的漏洞修复周期。 监测分析表明，近半数（48.96%）可疑活动涉及合法系统工具（LOLbins）滥用，证实攻击者主要利用原生工具和自动化技术而非定制恶意软件实现规模化攻击。持久化控制数据显示，全年检测到71 亿次僵尸网络 C2 连接（日均约 1940万次，同比降 11%），攻击者通过稳定的命令控制架构持续维持访问权限，完成攻击部署、长期驻留和非法获利。 监测数据显示，身份凭证泄露持续成为规模化网络攻击的首要源头。FortiRecon最新报告显示，暗网上交易的窃密日志数量已达 46.2 亿条，较 2024 年激增79.07%；同时 2024 年流通的被盗凭证数量维持在 17 亿条的高位，反映出凭证黑产规模仍在快速扩张。特别在云环境领域，身份盗用依然是占比最高的入侵途径，攻击者普遍采用窃取的有效凭证作为初始攻击媒介，并借助 API 接口完成后续攻击链。 决策建议： 在当前日益产业化的网络威胁环境下，企业需引入持续威胁暴露管理（CTEM）体系，以全面掌握自身攻击面并优化修复优先级。防御效率已成为关键业务风险指标，具体体现在：漏洞检测时效、威胁遏制速度和凭证失效响应时间。现代安全防护的核心竞争力，已从安全产品的堆砌转变为快速识别和阻断入侵事件的实战能力。 在暴露、漏洞利用、攻击执行和入侵影响等各个环节，攻击者的共同优势不仅在于技术复杂度，更在于其攻击速度和工具复用能力。 勒索软件已发展成成熟的产业化运作模式。2025 年全球确认受害者达7,831（较 2024 年约 1,600 的激增 389%），攻击活动全年持续不断。其影响具有系统性、经济最优化和可重复性特征，而非偶发事件。 在暴露面发现、漏洞利用、攻击执行和入