当网络犯罪分子跑赢时钟

勒索软件攻击现已以机器速度急剧加速，在几分钟而非数天内完成。这一转变由AI驱动的战术和多重要挟活动推动，使得传统人工安全响应彻底过时。迫切需要AI驱动的检测、自动化响应和扩展检测与响应（XDR）平台来构建速度兼容的防御体系，抵御这些不断演变的威胁。

从软盘到机器速度——简史

1989年，世界卫生组织艾滋病会议上有人收到一张软盘，它创造了历史——并非因为推进医学研究，而是释放了有记录以来的第一次勒索软件攻击。按当今标准，艾滋病木马虽原始，却种下了一颗种子，成长为网络安全中最持久的噩梦之一。

快进到2025年，这颗种子已发展成为以机器速度运行的庞大网络犯罪生态系统。过去需要数周的事情现在几小时内发生。某些攻击在短短25分钟内完成其目标（包括完整数据窃取）。我们正在见证一场根本性重塑威胁格局的速度危机。

对速度的需求（不幸的是）

数字讲述了一个严峻的故事。Unit 42研究显示，平均数据窃取时间（MTTE）从2021年的9天暴跌至2023年的仅2天。到2025年，专家预测某些事件可能在30分钟内发生，代表攻击速度比三年前快100倍以上。

这不仅是犯罪效率的渐进改进；更是一种范式转变，使得传统安全方法过时。当攻击者能在大多数安全团队喝早咖啡的时间内完成整个操作时，检测-分析-响应的旧策略变得危险地不足。

加速源于多种因素：人工智能自动化侦察和攻击执行、初始访问经纪人将网络入口点商品化，以及勒索软件即服务模式降低网络犯罪分子的技术门槛。这是网络犯罪的民主化，且正在以超高速进行。

AI成为犯罪分子的新好友

人工智能已成为网络犯罪中的伟大均衡器，统计数据令人警醒。到2024年，82.6%的网络钓鱼邮件以某种形式使用AI技术，78%的人打开AI生成的网络钓鱼邮件。这些不再是老式的尼日利亚王子骗局，而是模仿合法通信、具有惊人准确性的复杂个性化攻击。

AI不仅提高社会工程学质量；还加速攻击生命周期的每个阶段。自动化侦察系统可扫描数百万目标寻找漏洞。AI驱动的横向移动工具能比人类防御者反应更快地穿越网络。机器学习算法优化加密和数据窃取过程以实现最大影响。

结果如何？结合机器速度与人类犯罪分子创造力的攻击，创造出比我们以往面对的任何威胁都更快、更智能的威胁。

欢迎来到勒索奥运会

现代勒索软件已远远超越简单的“付费解密”计划。当今的网络犯罪分子部署研究人员所称的“四重勒索”——一种多管齐下的方法，最大化对受害者的压力：

• 加密仍是经典手段，锁定数据和系统。但它现在只是更大武器库中的一个工具。
• 数据盗窃已成为标准操作程序，60%的勒索案件涉及被盗信息威胁公开释放。
• 拒绝服务攻击打击受害者的对外基础设施，加剧运营中断。
• 骚扰活动直接针对高管、员工、客户和媒体联系人，使网络犯罪个人化。

这种多向量方法解释了为何86%的勒索软件事件现在涉及重大业务中断。仅拥有良好备份已不足够（尽管您绝对仍需要它们）。攻击者已学会打击组织最痛处：声誉、客户关系、运营连续性。

有趣的是，约10%的勒索事件现在完全跳过加密。这些“砸抢”攻击仅窃取或删除数据，认识到曝光或永久丢失的威胁可能与传统基于加密的赎金同样有效。

网络犯罪经济学

财务赌注急剧升级。2024年中期初始赎金要求同比跃升近80%至125万美元，约为受害组织感知年收入的2%。虽然成功谈判通常将支付额降至约267,500美元，但经济影响远超出赎金支付。

供应链攻击激增，成为第二普遍的攻击向量（15%）和第二昂贵（平均损失491万美元）。当犯罪分子攻陷单一供应商时，他们可访问数百或数千下游受害者，这是使这些攻击特别有吸引力的力量倍增器。

初始访问经纪人的兴起将网络入侵商品化，创建了一个犯罪分子可购买预先被攻陷系统而非自行渗透的市场。这是网络犯罪的零工经济版本，且生意兴隆。

无安全港

仅大公司面临勒索软件威胁的神话已被彻底揭穿。医疗保健以444起报告的勒索软件和数据盗窃事件领先所有美国关键基础设施行业，而92%的医疗保健组织在过去一年经历至少一次网络攻击。

但这不再仅是行业目标问题。Unit 42研究显示，专业和法律服务（如高科技、制造业、医疗保健、金融、批发/零售）合计占事件的63%。共同线索不是行业，而是漏洞。

小企业面临特殊挑战。它们通常缺乏专门安全团队，但拥有如客户信息、财务记录和知识产权等宝贵数据。对网络犯罪分子而言，它们代表可能高价值回报的低垂果实。

构建速度兼容防御

防御超快速攻击需要根本性重新构想网络安全策略。假设检测和响应需要数天或数周的传统方法是过去时代的遗物。

AI驱动的检测已从“锦上添花”转变为绝对必要。当攻击在数分钟内移动时，只有机器速度的检测能跟上步伐。现代安全平台使用行为分析和异常检测实时识别威胁，通常早在传统基于签名的系统知晓攻击发生之前。

零信任架构假设每个用户和设备可能已受陷，要求对每个访问请求进行验证。此方法限制横向移动，这是允许快速攻击者最大化损害的关键优势之一。

自动化成为生存必需。安全编排、自动化和响应（SOAR）平台可比人类分析师评估威胁更快地遏制威胁。当速度是攻击者的主要优势时，自动化防御成为防御者的均衡器。

扩展检测与响应（XDR）平台提供跨端点、网络、云服务和应用程序跟踪快速移动威胁所需的全面可见性。由于70%的事件跨越三个或更多攻击面，统一可见性不是奢侈品；而是生存必需。

机器速度世界中的人为因素

矛盾的是，随着攻击变得更加自动化，人为因素变得更为关键。虽然AI可处理大量数据并识别模式，但人类分析师提供机器缺乏的背景、创造力和战略思维。

最有效的安全团队正学习将AI作为力量倍增器合作。分析师不再淹没于警报中，而是专注于如威胁狩猎、事件调查和战略规划等高价值活动。这不是用机器取代人类，而是用机器智能放大人类能力。

培训在这一新格局中变得至关重要。安全团队不仅需要理解传统威胁，还需了解AI驱动的攻击。他们必须学会与AI系统协同工作，解释机器生成的见解，并基于自动化分析做出快速决策。

军备竞赛继续

勒索软件速度危机代表网络安全格局的根本转变。随着攻击持续加速，人工驱动响应的窗口持续缩小。适应这一新现实的组织（部署AI驱动的防御、拥抱自动化并重新设计安全运营）将蓬勃发展。那些固守传统方法的组织将发现自己日益脆弱于移动速度快于其响应能力的威胁。

未来属于那些能以机器智能匹配机器速度、以自动化精度匹配人类创造力、以尖端技术匹配传统安全智慧的人。在防御者与攻击者之间的竞赛中，速度不仅是优势，它本身就是新战场。

问题不在于勒索软件是否会继续演变和加速。而在于您的防御是否能跟上步伐。

准备以机器智能匹配机器速度？

勒索软件速度危机需要从反应性安全向主动性安全根本转变。为昨日威胁构建的传统工具无法跟上数分钟而非数天内完成的攻击。Cortex® XDR和Cortex® XSIAM提供所需的AI驱动检测和自动化响应能力，以机器速度阻止勒索软件，在从初始利用到行为保护的每一步拦截攻击。

随着Unit 42报告70%的事件跨越三个或更多攻击面，Cortex提供的全面可见性不仅是优势；对生存至关重要。当攻击者能在30分钟内从入侵移动到窃取时，您需要比人类分析师反应更快思考和响应的安全。

对于准备转变安全运营的组织，Unit 42托管检测与响应（MDR）通过专家管理的AI驱动防御（由Cortex提供支持）扩展您的团队。我们的主动威胁猎人和响应者将平均检测和响应时间减少高达90%，从数小时缩短至数分钟。

采取勒索软件防御的下一步。下载我们的论文《生存勒索软件所需知识》。

因为当勒索软件以机器速度移动时，您的防御需要移动更快。

关键要点：

1. 攻击速度加速100倍 2021年需要9天的勒索软件攻击现在仅25分钟内完成，使得传统人工驱动响应方法过时。

2. AI驱动现代多重要挟活动 82.6%的网络钓鱼邮件现在使用AI技术，而攻击者部署四重勒索策略包括加密、数据盗窃、拒绝服务和直接骚扰。

3. 机器速度防御现为必需 组织需要AI驱动的检测、自动化响应系统和XDR平台，以匹配跨越多个攻击面的现代攻击速度。