关键发现

漏洞利用仍是主要威胁

漏洞利用仍是攻击者入侵组织的主要手段，但由于信息窃取程序（infostealer）的兴起，其占比同比略有下降。

四大最常被利用的漏洞中有三个是零日漏洞，且均存在于网络安全产品中（Palo-Alto、Ivanti Connect Secure、Ivanti Policy Secure和Fortinet）。在大多数案例中，勒索软件组织通过绕过安全厂商的防护得手，即安全厂商的缺陷产品反而是受害者遭殃的根源。

零日漏洞安全产品风险供应链攻击

检测能力不足

“57%的组织首次得知2024年的入侵事件来自外部通知。外部通知可分为攻击者通知和第三方实体通知。攻击者通知通常以勒索信形式出现。”

对大多数组织而言，检测到入侵的瞬间等于：“糟了，我们被黑了。”

49%的组织是在勒索软件部署时才发现自己被入侵，仅30%通过内部检测（即认真看告警并处置）。其余21%是通过外部通知（如执法机构、CISA、NCSC等）得知网络中存在攻击者。

关键教训：认真看告警。如果没人力看告警，别买产品，去找托管安全服务商（MSSP）。

威胁检测安全运营MSSP

驻留时间与响应窗口

驻留时间（从初始入侵到事件响应的时间）同比略有上升。攻击者通常在环境中潜伏11天。

别相信那些“用AI一小时内部署勒索软件！！！”的标题党——所有事件响应数据都显示，勒索软件部署前通常有一周的时间供检测和响应。你可以检测并应对，别去买那些“魔法网络安全豆子”（忽悠产品）。

值得注意的是，内部团队发现的勒索软件驻留时间中位数为29天——资源充足的内部团队能让你提前干预，避免公司事后“开胸手术”。

攻击途径与防御措施

勒索软件初始入侵途径：暴力破解未启用多因素认证（MFA）的VPN、信息窃取程序窃取凭据、漏洞利用。

解决方案：全面部署MFA、及时修补网络边界设备漏洞、换掉不靠谱的VPN厂商。

信息窃取程序相关事件占16%。以Snowflake事件为例（印证了我当时的分析…这是场“快乐”的小事故）。所有用户访问必须启用MFA。Snowflake现已强制要求客户和用户使用MFA。

MFA补丁管理VPN安全

数据暴露风险

报告隐含吐槽：大家都在担心AI，但攻击者直接去读JIRA、Confluence、SharePoint里的系统文档和风险评估。

“Mandiant评估常发现敏感数据存放在易访问的文档库中——网络文件共享、SharePoint站点、Jira实例、Confluence空间和GitHub仓库往往包含大量有价值信息。”

待办事项：限制访问权限，仅限必要人员。

GenAI炒作与现实

总结：报告值得一读。建议结合Sophos年度报告（Mandiant侧重高价客户，Sophos包含中小企业数据）。

GenAI未被提及的根本原因是厂商过度炒作威胁——AI对高管来说就像S情内容。有现成的钥匙在门垫下，何必造火箭？专注安全基础，攻击者巴不得你分心。

Mandiant数据显示，钓鱼作为初始入侵手段的比例已连续三年下降——自高管们猛灌GenAI鸡汤后几乎减半。Sophos数据也显示钓鱼仅占6%。别被销售话术灌醉。

AI炒作安全基础威胁情报

关键结论

• 漏洞利用仍是最大威胁
  
  ，尤其安全产品自身漏洞。
• MFA和补丁管理
  
  是防御勒索软件的核心。
• 内部告警响应
  
  能大幅降低损失，但多数组织仍依赖外部通知。
• 炒作陷阱
  
  ：GenAI威胁被夸大，攻击者更爱“走大门”（利用现有漏洞和错误配置）。

• CobaltStrike（Beacon）的使用率断崖式下跌

  ：CobaltStrike使用率下降可能因为：1）Mandiant客户群偏差；2）谷歌、微软等大力检测非官方/破解版。

后台回复关键字“M-Trends 2025”，获取英文版和中文版《Mandiant 2025 年趋势报告》。