多域可见性的必要性

攻击不再遵循线性路径

网络攻击很少遵循线性路径。虽然安全团队通常专注于初始访问向量，如钓鱼邮件、暴露的服务和凭据滥用，但这些只是起点。根据2025年全球事件响应报告，84%的调查案例涉及跨多个攻击面的活动，其中70%跨越至少三个向量，有些甚至涉及六个之多。这些不是孤立事件，而是协调行动。

如今的攻击者横向移动，提升权限，瞄准身份，利用云配置错误和数据外泄，有时甚至同时进行。这种复杂程度和多管齐下的方法强烈反对在孤岛中操作。仅监控单个域或缺乏集成的工具可能会将关键威胁信号埋在警报噪音下或困在断开的日志中。

在85%的案例中，Unit 42事件响应者必须访问多种类型的数据源才能完成调查。对于不需要这样做的案例，这不是收集失败，而是可见性和上下文理解的失败。

虽然攻击很少局限于单一向量，但Unit 42发现初始访问仍然在事件如何展开方面起着决定性作用。2024年，钓鱼再次成为主要的访问方法，超过了软件和API漏洞（前一年位居榜首）。钓鱼占事件的23%，其中商业电子邮件入侵（BEC）占这些案例的76%。

这些攻击的成功不仅因为巧妙的诱饵，还因为缺少或配置错误的基础控制。缺乏多因素认证（MFA）在28%的案例中是因素，弱密码或默认密码占20%，暴力破解或账户锁定策略不足占17%。这些方法分布广泛，更不用说过度授权的账户，这在快速发展的云和混合环境中很常见，也在17%的案例中导致了权限升级。

紧随钓鱼之后，软件和API漏洞在19%的事件中被利用，先前被入侵的凭据占16%。这些入口点不仅仅是技术区别；它们通常映射到不同的威胁行为者画像。

多域攻击不仅广泛存在，而且设计上就很隐蔽。威胁行为者知道大多数安全工具都限定在单一环境中，无论是云基础设施、SaaS应用程序还是本地网络。没有跨域关联，攻击者可以从一个系统移动到另一个系统而不触发警报。

考虑这些来自Unit 42的真实案例：

云到云升级：攻击者入侵AWS凭据，然后在代码库中发现硬编码的GitHub令牌。从那里，他们找到埋在CI/CD工作流中的Google Cloud服务账户密钥。

通过可信身份滥用SaaS：第三方承包商的Entra ID凭据被钓鱼。使用SSO，攻击者访问内部工具（如Jira），然后使用Slack或Dropbox悄悄外泄数据。

IT到OT的横向移动：攻击者从暗网购买有效的VPN凭据。获得访问权限后，他们在内部IT系统中横向移动，最终通过IoT设备到达OT环境。

这些例子强调了一个核心事实：多域检测不是日志问题，而是关联和上下文问题。

阻止多域攻击需要的不仅仅是更好的警报或更多的日志记录；它需要安全团队在可见性、检测和响应方式上进行转变。

要检测跨域攻击，分析师需要全面、关联的视图，了解所有系统中发生的情况，不仅仅是日志，还包括上下文元数据、身份活动和安全信号。AI和机器学习对于识别模式、过滤噪音和发现原本会被忽视的信号至关重要。

在多域入侵中，身份几乎总是共同点。过度授权的账户、联合SSO和休眠的服务账户为横向移动创造了理想条件。防御者应在各处强制执行MFA（包括服务账户），实施最小权限原则，并主动监控跨域身份关系。

基于规则的检测难以跟上攻击者技术的速度和创造性。AI驱动的行为分析提供了一种可扩展的方法来检测异常活动，即使它来自可信账户和应用程序。

速度很重要。自动化的响应工作流可以立即撤销凭据、隔离端点或阻止IP地址，而无需等待手动批准。