多域可见性的必要性

网络攻击很少遵循线性路径。虽然安全团队通常专注于初始访问向量，如网络钓鱼邮件、暴露的服务和凭据滥用，但这些只是起点。接下来发生的事情要复杂得多。根据2025年全球事件响应报告，84%的调查案例涉及跨多个攻击面的活动，其中70%跨越至少三个向量，有些甚至涉及六个之多。这些不是孤立事件，而是协调行动。

今天的攻击者横向移动，提升权限，瞄准身份，利用云配置错误和外泄数据，有时甚至是同时进行。这种复杂程度和多管齐下的方法强烈反对在孤岛中操作。仅监控一个域或缺乏集成的工具可能会让关键威胁信号埋没在警报噪音中或困在断开的日志中。

在85%的案例中，Unit 42事件响应人员必须访问多种类型的数据源才能完成调查。对于没有这样做的案例，这不是收集失败，而是可见性和上下文失败。这就是多域攻击在现场的表现形式，也是为什么跨域关联和统一响应能力现在对任何现代安全运营中心（SOC）都至关重要。

初始入侵为升级访问奠定基础

虽然攻击很少局限于单个向量，但Unit 42发现初始访问仍然在事件如何展开中起着决定性作用。2024年，网络钓鱼再次成为主要的访问方法，超过了软件和API漏洞（去年位居榜首）。网络钓鱼占事件的23%，其中商业电子邮件泄露（BEC）占这些案例的76%。

这些攻击的成功不仅因为巧妙的诱饵，还因为缺失或配置错误的基础控制。缺乏多因素认证（MFA）在28%的案例中是因素，弱密码或默认密码占20%，暴力破解或账户锁定策略不足占17%。这些方法多种多样，更不用说过度权限的账户，这在快速发展的云和混合环境中很常见，也在17%的案例中促进了权限升级。

紧随网络钓鱼之后，软件和API漏洞在19%的事件中被利用，先前被泄露的凭据占16%。这些入口点不仅仅是技术区别；它们通常映射到不同的威胁行为者画像。例如，国家行为者明显偏好利用软件和API缺陷，瞄准未打补丁的系统和服务，以悄悄获得立足点，而不触发面向用户的警报。

了解哪些向量被青睐及其原因可以帮助团队定制预防和检测策略。但随着攻击迅速超越入口点，初始访问只是更大图景的一部分。

为什么多域攻击如此难以捕捉

多域攻击不仅广泛存在，而且设计上是隐蔽的。威胁行为者知道大多数安全工具都限定在单一环境中，无论是云基础设施、SaaS应用程序还是本地网络。没有跨域关联，攻击者可以从一个系统移动到另一个系统而不引发警报。孤立看来良性的行为（登录、脚本执行、API调用）在全面观察时可能构成协调的违规。

这些操作通常是故意低调和缓慢的。它们持续数天或数周，进行渐进式移动，避免基于速率的警报或行为阈值。这使得它们从根本上更难检测，特别是当碎片化的日志记录、不一致的遥测格式和断开的检测系统阻止了全貌的形成。即使日志被规范化，有价值的上下文（例如，特定资产的身份或风险状况）也可能在转换中丢失。

考虑这些从Unit 42案头提取的真实例子：

• 云到云升级：攻击者泄露AWS凭据，然后在存储库中发现硬编码的GitHub令牌。从那里，他们找到埋在CI/CD工作流中的Google Cloud服务账户密钥。由于没有单一平台跟踪跨提供商的移动，每个操作看起来都很常规，直到攻击者在多个云环境中获得完全控制。

• 通过可信身份滥用SaaS：第三方承包商的Entra ID凭据被钓鱼。使用SSO，攻击者访问内部工具，如Jira，然后使用Slack或Dropbox悄悄外泄数据。所有活动都通过可信应用程序流动，使用合法身份。没有强大的用户行为分析，就没有任何标记为可疑的内容。

• IT到OT横向移动：攻击者从暗网购买有效的VPN凭据。获得访问权限后，他们在内部IT系统中横向移动，最终通过IoT设备到达OT环境，那里最少的监控和遗留协议提供了很少的阻力。VPN登录看起来有效，OT可见性差距为攻击者提供了未被注意的操作空间。

这些例子强调了核心事实：多域检测不是日志问题，而是关联和上下文问题。没有统一的可见性，即使是最好的安全团队也将在重大损害发生前难以响应。

防御多域攻击的有效方法

阻止多域攻击需要的不仅仅是更好的警报或更多的日志记录；它要求安全团队在思考可见性、检测和响应方式上发生转变。随着攻击者在云、SaaS、IT和OT环境中横向移动，防御者需要集成的遥测、更智能的分析和自动化的 workflows 以跟上威胁的步伐。

统一遥测并规模化应用AI

为了检测跨域攻击，分析师需要全面、关联的视图，了解所有系统中发生的情况，不仅仅是日志，还包括上下文元数据、身份活动和堆栈每一层的安全信号。但这只是挑战的一半：数据量太大且移动太快，无法手动分析。AI和机器学习对于识别模式、过滤噪音和浮现否则会被忽视的信号至关重要。简化的安全生态系统，工具原生集成并共享遥测，进一步降低了复杂性并加速了威胁检测。例如，Cortex®平台关联每个域的遥测、身份数据和行为分析，因此SOC团队可以实时检测复杂攻击。

加强身份和访问控制

在多域违规中，身份几乎总是共同点。过度权限的账户、联邦SSO和休眠的服务账户为横向移动创造了理想条件。防御者应到处强制执行MFA（包括服务账户），实施最小权限，并主动监控跨域的身份关系。即使部分实施零信任原则也可以降低风险，防止攻击者将一个被泄露的凭据变成完全的企业访问。

使用AI驱动的行为分析发现异常

基于规则的检测难以跟上攻击者技术的速度和创造力。AI驱动的行为分析提供了一种可扩展的方式来检测异常活动，即使它源自可信账户和应用程序。通过学习用户、系统和服务的“正常”样子，这些模型可以在异常升级为全面事件之前标记细微偏差（例如，在奇怪时间登录、跨不寻常系统的横向移动、快速权限升级）。

自动化响应行动以争取时间

速度很重要。遏制威胁所需的时间越长，它可以触及的域就越多。自动化的响应工作流可以立即撤销凭据、隔离端点或阻止IP地址，而无需等待手动批准。当您的SOC平台与IT和业务系统集成时，您消除了延迟遏制和增加暴露的摩擦点。目标不是取代分析师；而是在每一秒都至关重要的时刻给他们一个先机。

多域攻击将继续存在。但通过集成的遥测、更智能的身份治理和AI支持的自动化，防御者可以领先于攻击者，即使他们从各个方向同时袭来。

看清攻击，自信响应

攻击者不再在边界内操作，您的防御也不应该。阻止多域攻击需要统一的可见性、更智能的检测和更快的响应。安全团队需要能够帮助他们跨环境关联信号、浮现真实威胁并在损害扩散前响应的工具和合作伙伴。

要更深入地了解塑造当今威胁形势的战术、技术和趋势，请下载完整的2025年全球事件响应报告。当您需要帮助调查复杂事件或全天候管理检测和响应时，请联系Unit 42与专家防御者合作。

关键要点

• 网络攻击复杂且多域：现代网络攻击很少遵循线性路径。攻击通常跨越多个攻击面（70%跨越至少三个向量）并在不同环境（云、SaaS、IT、OT）中横向移动。这使得使用在孤岛中操作的工具难以检测它们。

• 统一可见性和关联至关重要：阻止多域攻击需要集成的遥测、更智能的分析和自动化的工作流。安全团队需要全面、关联的视图，了解所有系统中发生的情况。不仅仅是日志，还包括上下文元数据、身份活动和堆栈每一层的安全信号。

• AI驱动的解决方案和强大的身份控制至关重要：AI和机器学习对于在大量数据中识别模式和浮现信号至关重要。此外，加强身份和访问控制（到处MFA、最小权限、监控身份关系）以及使用AI驱动的行为分析发现异常对于防御这些复杂威胁至关重要。