CISOs及其团队正在进入网络威胁的"新时代",网络安全巨头CrowdStrike研究人员在《2025威胁狩猎报告》中指出,如今的威胁攻击者展现出"商业级效率"的精密运作特征。“这些对手以战略精度操作以最大化影响并快速达成目标,“报告强调,“创新是智胜这些进取型对手的关键基石。”
AI驱动的攻击升级
威胁战术中最突出的趋势是AI技术的快速采用。“高级对手使用生成式AI提升攻击复杂度、加快行动速度并增强能力,“CrowdStrike高级副总裁Adam Meyers在简报会上表示。攻击者正利用生成式AI制作更逼真的钓鱼内容、商业邮件诈骗话术,甚至伪造身份信息。
防御这类高效攻击者的挑战在于,他们高度依赖通过社交工程(现常由AI辅助)利用难以控制的人为因素,并瞄准IT管辖范围外的非托管设备以规避检测。
五大威胁集群深度剖析
报告通过典型案例将威胁集群划分为五大作战领域:
跨域攻击:Blockade Spider与Operator Panda
这类攻击者通过身份系统、终端设备、云环境等多领域分散行动逃避检测。2025年初观察到的Blockade Spider通过非托管VPN接入网络,试图删除备份文件并干扰CrowdStrike的Falcon传感器。而中国背景的Operator Panda(又称Salt Typhoon)则通过漏洞链攻击思科交换机,并清除日志掩盖行踪。
身份威胁:Scattered Spider
该组织专精社交工程攻击,2025年4月复出后,其勒索攻击从初始访问到加密仅需24小时,较2024年的35.5小时大幅提速。语音钓鱼(vishing)是其标志性手段,去年使用量激增443%。
云环境威胁:Genesis Panda与Murky Panda
过去12个月与中国关联的云入侵事件增长40%。Genesis Panda利用云服务支持工具部署和C2通信,曾通过入侵Jenkins服务器获取云凭证。Murky Panda则通过合作伙伴关系渗透北美企业的Entra ID租户。
终端威胁:Glacial Panda
这个与中国关联的组织专门针对电信行业Linux系统(包括传统系统),部署特制OpenSSH工具实施ShieldSlide技术,通过记录认证事件实现横向移动。
漏洞威胁:Graceful Spider
2024年观察到的漏洞中52%与初始访问相关。该犯罪组织在2024年底利用Cleo数据传输产品的零日文件上传漏洞,实现跨地域多行业的远程代码执行。
关键防御建议
Meyers为防御者提出六项核心策略:
- 实施身份威胁检测:部署身份威胁检测响应(ITDR)系统
- 强制多因素认证:避免使用SMS等弱认证方式
- 强化云安全防护:弥补云环境安全短板
- 消除跨域盲点:通过EDR和下一代SIEM覆盖非托管设备
- 调整补丁优先级:优先修补已知被利用漏洞(参考CISA每周清单)
- 深入了解对手:研究威胁组织战术变化趋势
报告特别强调,勒索软件团伙现在平均在入侵后24小时内就会实施加密,较2023年的80小时大幅提升,这要求企业必须建立更快速的威胁响应机制。