为何传统攻击手段仍是多数网络犯罪分子的首选

尽管近年来网络犯罪地下产业已日趋专业化和组织化，但威胁行为者在很大程度上仍在使用与2020年相同的攻击方法。

趋势科技威胁情报副总裁 Jon Clay
2025年8月5日
4分钟阅读

评论

关于网络安全最常被重复的观点之一是：这是攻击者与防御者之间的竞赛。人们通常认为网络犯罪团体是新技术的早期采用者，利用这些技术智取对手并达成目标。但现实情况更为复杂。

虽然网络犯罪地下产业已日趋专业化和组织化，但威胁行为者在很大程度上仍在使用与2020年相同的攻击方法。这对网络防御者来说是一个重要机遇——但前提是他们准备好主动拥抱人工智能（AI）等新兴技术。

经久不衰的策略仍占主导地位

威胁研究人员一直在分析和预测新型攻击。随着网络安全格局的演变，研究团队预测攻击者下一步可能关注的领域并增强组织韧性至关重要。与更广泛的网络社区分享这些见解以使数字世界更安全也同样重要。

然而，威胁行为者主要仍在使用经久不衰的策略，如网络钓鱼、漏洞利用和泄露的账户凭据来获得初始访问权限。第三方数据也证实了这一点。根据Verizon的数据，在过去一年中，凭据滥用（22%）、漏洞利用（20%）和网络钓鱼（19%）是数据泄露的主要攻击向量。今年漏洞利用年增长率为34%，而由于凭据泄露和社会工程学，60%的泄露事件涉及员工。

虽然AI可能在这些攻击中发挥作用（尤其是在赋能技能较低的攻击者发起多语言有效网络钓鱼活动方面），但其突出程度远低于预期。为什么？因为老方法对坏人来说仍然很有效。威胁行为者经常将AI与经久不衰的策略结合使用，例如设计用于窃取账户凭据或传递利用受害者计算机漏洞的恶意软件的网络钓鱼邮件。

网络犯罪分子仍然能够找到足够多的低垂果实来实现其收入目标，这一事实应该为网络防御者敲响警钟。

犯罪专业化趋势

发生有意义变化的领域是网络犯罪经济的运作方式。这现在估计是一个价值数万亿美元的产业，并且越来越由基于服务的模式驱动。无论是为勒索软件、分布式拒绝服务（DDoS）、网络钓鱼、信息窃取恶意软件还是其他最终目标而设计，预构建的软件包为初出茅庐的网络犯罪分子提供了发起有效活动所需的一切。您可以根据需要购买特定模块或整个攻击链。一切皆可出售。

虽然网络犯罪的这种商品化有助于降低新手入门门槛，但它也为日益专业化的技能提供了有利可图的市场。他们可能是恶意软件开发者、洗钱者、初始访问经纪人（IAB）、社会工程学专家或其他领域的专家。大型犯罪组织很少见。相反，这种分工使网络犯罪供应链比以往任何时候都更加精简和有效。就目前而言，威胁行为者大多满足于坚持传统技术。

主动、AI驱动安全的时代已来临

这意味着网络防御者有一个巨大的机会，可以通过使用AI驱动的工具来阻止机会主义犯罪分子。传统的孤岛式、分层网络防御模式显然无法与日益专业化的网络犯罪行业相匹敌。例如，在接近创纪录的泄露事件背后，有超过13亿数据泄露受害者。

相反，安全领导者应寻找新方法来管理广泛企业攻击面上的风险。AI可以通过持续监控和标记漏洞、错误配置和其他安全差距来提供帮助——提供风险评分、操作手册和协调的修复措施。它还可以帮助SecOps团队快速应对新威胁，使用自动化工作流程、上下文丰富的检测和AI驱动的威胁搜寻，在泄露扩散之前将其遏制。生成式AI（GenAI）助手赋能安全运营中心（SOC）团队弥补技能差距并更高效地工作。新兴的代理AI解决方案可以预测和预防未来的安全挑战。

时代在变化

今天的威胁行为者可能坚持使用经久不衰的TTP（战术、技术和程序），但他们正在其他方面发生变化。他们不仅更加专业化和专业化，而且新一代对传统的网络犯罪“规范”越来越漠不关心。对学校和医院的攻击是公平的游戏——无论人力成本如何。被泄露的勒索软件受害者受到SWAT攻击的威胁。一些威胁行为者甚至涉足令人不安的“暴力即服务”领域。

网络犯罪分子多年来学到的是，尽管执法部门偶尔会取得胜利，但他们在某些地区可以逍遥法外。防御者必须积极主动，让他们更难得逞。

关于作者
Jon Clay
趋势科技威胁情报副总裁
Jon Clay在网络安全领域工作了28年以上。Jon利用其行业经验教育和分享所有趋势微对外发布的威胁研究和情报的见解。他举办网络研讨会，撰写博客，并与客户和公众就全球网络安全状况进行交流。他专注于威胁态势、网络犯罪地下世界、攻击生命周期以及使用高级检测技术来防范当今复杂威胁。在趋势科技内部，Jon曾担任销售工程师、销售工程经理、培训经理、产品营销经理和全球威胁传播总监，之后成为威胁情报副总裁。