一、检测能力持续提升,潜伏周期连续四年下降 曼迪安特公司《M-Trends 2022》年度报告中指出,全球企业的网络安全检测能力正在阶段性改善。数据显示,攻击者在目标网络中的平均潜伏时间已连续四年下降,从2020年的24天缩短到2021年的21天。其中,勒索软件攻击的平均检测时间已降至5天以内,非勒索软件攻击的检测时间也从2020年的45天缩短至36天。 从更长周期看,此下降更为明显。2012年前后,企业从发现恶意活动到启动应急响应平均需要418天;到报告统计期,这一数字已降至21天,降幅接近95%。报告认为,这与企业加强第三方安全合作、政府与行业间情报共享逐步完善、云端威胁情报系统更广泛接入等因素有关。 从地区分布看,亚洲和欧洲的改善更突出;北美地区平均检测时间仍在17天左右,下降幅度相对有限,反映出各地区在安全投入和响应机制建设上仍存在差异。 二、勒索威胁加速演变,快速检测未必等于低损失 报告同时提醒,检测更快并不必然意味着损失更小。曼迪安特高级总监史蒂文·斯通指出,一些攻击者正在调整策略,在渗透早期就触发勒索载荷。一旦加密开始,即便企业在数小时内发现异常,数据也可能已经被锁定,可恢复的关键窗口随之缩小。 这表明,检测速度提升与损失降低之间并非简单对应关系。勒索攻击“快进快出”的特点要求企业不仅要更快发现,还要能在攻击链更早阶段完成阻断,否则“发现得早”也难以转化为实际防护效果。 三、工具偏好更集中,漏洞利用与供应链攻击占比上升 报告梳理了2021年的攻击工具使用情况。数据显示,Cobalt Strike的Beacon后门在已识别恶意族系中占比达28%,仍是攻击者最常用的渗透工具之一;Sunburst、Metasploit等工具的使用频率则明显下降。 在初始入侵途径上,漏洞利用与供应链攻击合计占比已升至54%,而2020年该比例不足30%。这一变化说明,攻击者正加速转向更隐蔽、可规模化的入侵方式。曼迪安特服务交付执行副总裁于尔根·库彻尔提醒,战术持续变化要求企业及时更新知识库与处置策略,若对已知漏洞修复滞后,旧问题也可能成为新入口。 四、混合身份架构成为新跳板,配置疏漏带来放大风险 报告指出,随着企业推进数字化转型,混合活动目录架构正逐步取代传统域控制器,成为攻击者横向移动的重点目标。在本地与云端活动目录并行的环境中,一旦权限配置存在漏洞,攻击者可能利用凭证与密钥同步机制,从本地横向进入云端资源,进而获取更高权限。 针对这一风险,报告建议将混合服务器视为零级核心资产,仅允许通过隔离网络中的特权工作站访问,并配套持续监测机制。曼迪安特全球红队总经理埃文·佩纳强调,混合活动目录的安全最佳实践并不复杂,难点在于能否真正落地执行,而不是停留在方案层面。 五、防御体系需系统升级,多项措施联动推进 报告建议企业在完善防御体系时重点推进以下方向:一是全面审计并修正混合活动目录权限配置,消除潜在横向移动路径;二是启用应用白名单机制并禁用宏脚本执行,减少可被利用的入口;三是建立异常横向移动行为基线,结合自动化告警实现快速响应;四是定期开展“断开—评估—恢复”全流程演练,验证应急机制可用性;五是推动检测与响应从小时级深入提升到分钟级,压缩攻击者操作时间窗口。
潜伏期从“数周”压缩到“数日”,既反映了防守能力的进步,也说明攻击手法在加速迭代。关键不在于更早看到风险,而在于能否把风险控制在可承受范围内。面对勒索“快打”和混合身份等新挑战,企业需要以体系化治理补齐短板,把预案和演练常态化,才能在下一次警报出现时,将损失降到最低、恢复时间压到最短。