Forescout 2025威胁报告：零日漏洞利用激增46%

Forescout Technologies, Inc.今日发布2025年上半年威胁评估报告，该报告分析了2025年上半年全球159个国家的超过23,000个漏洞和885个威胁组织。关键发现包括：勒索软件攻击平均每天20起，零日漏洞利用增加了46%，攻击者越来越多地针对非传统设备，如边缘设备、IP摄像头和BSD服务器。这些立足点通常用于在IT、OT和IoT环境中横向移动，使威胁组织能够更深地渗透网络并危害关键系统。

“我们看到攻击者通过被忽视的IoT设备或信息窃取器获得初始访问权限，然后使用横向移动在IT、OT和IoT环境中转移，”Forescout Technologies威胁狩猎高级经理Sai Molige表示。“我们的ValleyRAT狩猎行动发现了中国威胁组织Silver Fox targeting healthcare systems，就是一个典型的例子。这些攻击者利用盲点悄悄升级访问权限。Forescout 4D Platform™专为检测隐藏入口点、持续评估其风险并在对手到达关键系统之前中断横向移动而设计。”

“你不能用昨天的工具来防御关键基础设施。今天的安全必须是持续的、主动的且与设备无关的。Forescout提供唯一一个在所有环境中保护所有设备——IT、OT、IoT和IoMT——的平台，以便组织能够保护最重要的东西，”Forescout首席执行官Barry Mainz补充道。

Forescout Research – Vedere Labs 2025年上半年威胁评估关键发现：

漏洞利用转向旧漏洞和非传统设备，零日漏洞增加

47%的新利用漏洞最初发布于2025年之前。
发布的漏洞增加了15%，其中45%被评为高危或严重。
零日漏洞利用增加了46%，添加到CISA KEV的CVE增加了80%。
Modbus占Forescout蜜罐中OT协议流量的57%。
勒索软件组织越来越多地针对非传统设备，如边缘设备、IP摄像头和BSD服务器，这些设备通常缺乏EDR，使其成为未被检测的横向移动的理想入口点，并强调了集成检测解决方案的必要性。

勒索软件同比增长36%，上半年记录3,649起攻击

攻击频率增加到每月608起，或大约每天20起。
美国是首要目标，占所有事件的53%。
目标最多的行业是服务、制造、技术、零售和医疗。
新的攻击向量包括IP摄像头和BSD系统，放大了跨企业环境的横向移动。

医疗行业受围攻，平均每天两起数据泄露

在2025年上半年，医疗行业成为数据泄露影响最严重的垂直领域。
近3000万人在2025年上半年受到数据泄露的影响。
76%的数据泄露源于黑客攻击或IT事件。
62%的数据泄露涉及存储在网络服务器上的数据；24%涉及电子邮件系统。
Forescout发现了特洛伊化的DICOM成像软件直接将恶意软件传递到患者系统。

黑客活动分子与国家支持的组织之间的界限模糊

Forescout在2025年上半年跟踪了137个威胁组织更新，其中40%归因于国家支持的组织，9%为黑客活动分子。剩余的51%是网络犯罪分子，如勒索软件组织。

与伊朗有关的组织如GhostSec和Arabian Ghosts targeted programmable logic controllers (PLCs) linked to Israeli media and water systems。
CyberAv3ngers在2023-2024年重大OT攻击之前放大了未经证实的 claims， echoing similar tactics now under a new identity: APT IRAN。
APT IRAN、CyberAv3ngers和其他伊朗黑客活动分子角色形成了伊朗对OT/ICS威胁的连续体。

“黑客活动分子行动不再只是象征性的或孤立的。它们正在演变成针对关键基础设施的协调运动，具有现实世界的后果，”Forescout研究主管Daniel dos Santos表示。“我们从伊朗 aligned groups看到的是转向更激进、国家影响的破坏 tactics masked as activism。随着地缘政治紧张局势升级，这些组织变得更快、更响亮且更难归因，这使得他们的威胁对防御者来说更加紧迫。”

Forescout建议采取以下步骤降低风险并建立网络弹性

使用无代理发现来识别和监控所有连接的资产——IT、OT、IoT和医疗系统。
定期评估漏洞，应用补丁，禁用未使用的服务，并强制执行强、唯一的凭据与MFA。
分段网络以隔离设备类型并在妥协时限制横向移动。
加密所有敏感数据在传输和静止时，尤其是PII、PHI和财务信息。
部署威胁检测工具，从EDR、IDS和防火墙摄取数据，同时启用用户和系统活动的详细日志记录。