Google Cloud旗下網絡安全巨頭Mandiant最新發布的M-Trends 2025報告顯示,2024年全球網絡安全威脅格局發生重大變化,財務動機攻擊持續佔據主導地位,憑證竊取首次躍升為第二大攻擊手法。報告同時揭示攻擊者停留時間延長、金融業成為最大受害者等關鍵趨勢,為企業敲響網絡安全防護升級的警鐘。
財務動機攻擊持續升溫,間諜活動比重下降
Mandiant追蹤數據顯示,2024年有55%的威脅攻擊組織出於財務動機,相較2023年的52%和2022年的48%呈現明顯上升趨勢。這一數據反映了網絡犯罪的商業化程度不斷加深,攻擊者更傾向於通過勒索軟體、數據盜竊和加密貨幣詐騙等手段獲取直接經濟利益。
與此相對,間諜活動的比率則從2023年的10%降至8%,顯示國家級威脅行為者的活動相對收斂,或者可能採用了更隱蔽的攻擊方式,避開了安全公司的監測雷達。
憑證竊取躍升第二位,攻擊手法多元化發展
連續五年,漏洞利用以33%的比率保持最常見攻擊手法的地位。值得關注的是,憑證竊取以16%的比率首次排名第二,超越了傳統的釣魚攻擊(14%),成為攻擊者的新寵。
其他主要攻擊手法包括網站入侵(9%)和利用既有漏洞(8%)。憑證竊取的崛起反映了攻擊者策略的精進,通過竊取合法用戶憑證來規避傳統安全檢測機制,實現更隱蔽和持久的攻擊效果。
金融業首當其衝,關鍵基礎設施成重點目標
行業受攻擊情況分析顯示,金融業以17.4%的比率成為最大受害者,商業與專業服務(11.1%)、高科技(10.6%)、政府(9.5%)及醫療保健(9.3%)緊隨其後。
金融業的高受攻擊率反映了其豐富的數據資產和直接的經濟價值。同時,關鍵基礎設施如政府和醫療機構的高比率,也顯示攻擊者對社會影響力的重視,這些攻擊往往能產生更大的勒索壓力。
攻擊停留時間延長,檢測能力待提升
全球平均停留時間從2023年的10天增加到11天,這一數據變化雖然看似微小,但反映了攻擊者技術的進步和企業檢測能力的相對滞後。
更值得關注的是,當外部網絡安全公司通知企業有攻擊事件時,平均停留時間高達26天;而當機構內部發現惡意活動時,平均停留時間為10天。這一巨大差距說明企業內部安全監控能力的重要性,也暴露了許多企業在主動威脅檢測方面的不足。
雲端遷移與Web3技術帶來新挑戰
報告特別指出,隨著企業加速雲端遷移,相關的安全風險也在急劇增加。雲端環境的複雜性和配置錯誤成為攻擊者的新攻擊面。同時,Web3技術如加密貨幣和區塊鏈的普及,也為攻擊者提供了新的攻擊目標和洗錢管道。
數據竊取工具的激增更加劇了這一問題,攻擊者能夠更高效地從受害企業竊取敏感數據,並在暗網市場進行交易。
企業應對策略:多層防禦與主動檢測並重
針對當前威脅格局,Mandiant建議企業採取綜合性防禦策略。首先是建立完善的分層安全措施,包括漏洞管理、最少權限設置和系統強化等基礎防護。
其次,企業應投資先進的檢測技術和事件回應能力,改進網絡安全日誌記錄和監控實踐,以縮短攻擊停留時間。主動威脅搜尋練習也變得越來越重要,企業需要主動尋找潛在的安全漏洞。
對於雲端環境,企業必須實施強而有力的安全控制,定期評估和審核雲端配置,防範錯誤配置導致的安全風險。
TechApple 觀點:網絡安全軍備競賽進入新階段
Mandiant的M-Trends 2025報告描繪了一個令人憂慮的網絡安全圖景,但也揭示了一些值得深思的趨勢。財務動機攻擊的持續上升,本質上反映了網絡犯罪的「產業化」程度。當攻擊成為一門有利可圖的生意時,我們看到的不僅是攻擊數量的增加,更是攻擊質量和專業化程度的顯著提升。
憑證竊取躍升為第二大攻擊手法,這一變化尤其值得關注。它標誌著攻擊者策略從「暴力破門」轉向「鑰匙開鎖」,這種變化讓傳統的邊界防護變得形同虛設。當攻擊者能夠偽裝成合法用戶時,零信任架構就不再是選擇,而是必需。然而,最令人擔憂的可能是攻擊停留時間的延長。11天的平均停留時間意味著攻擊者有充足的時間完成數據竊取、橫向移動和破壞活動。更糟糕的是,外部通知案例中26天的停留時間,暴露了許多企業安全監控能力的嚴重缺陷。
這份報告也反映出一個殘酷的現實:網絡安全已經成為一場永無止境的軍備競賽。當企業還在為昨天的威脅建立防護時,攻擊者已經在研發明天的攻擊手法。雲端和Web3技術的快速發展,為這場競賽增加了新的變數。
