美国CrowdStrike公司作为端点安全产品和威胁情报信息的提供者,于今年2月发布了年度《全球威胁报告》2026年版,并于3月19日在日本正式公布。报告概要可在其官网查看,填写相关信息后可获取完整报告。
同日,CrowdStrike日本分公司技术战略师林薫先生举办了记者说明会,详细解读了报告内容。
今年报告的主题为“规避型攻击者时代”,较去年“先进攻击者”的主题更进一步,强调攻击者绕过企业多层防御进行攻击的趋势。
侵入到横向扩展时间持续缩短
报告分为六大主题:
- 攻击者利用AI的情况显著增加;
- 勒索软件攻击呈现跨端点、网络及云环境的跨域攻击增长;
- 与中国相关的威胁行为者针对网络边界设备(如边缘设备)发起攻击;
- 供应链攻击绕过传统安全措施的现象;
- 零日漏洞利用数量上升;
- 针对云环境的攻击持续扩大。
林薫指出,2025年从入侵到通过横向移动扩大侵害的平均时间(突破时间)已从2024年的48分钟缩短至29分钟,显示攻击者技术水平提升。2025年最快的突破时间仅为27秒。
AI相关攻击激增,AI本身也成为攻击目标
2025年,利用AI的攻击较2024年增长了89%。攻击者利用生成式AI制作多语言欺骗内容,黑客活动者用生成AI制造假冒内容。此外,攻击者还让AI生成攻击脚本,利用OCR技术从图像中窃取信息,甚至让AI设计绕过安全检测的手段。
另一方面,AI系统自身也成为攻击目标。例如,低代码无代码开发工具Langflow AI的漏洞被利用部署勒索软件;攻击者复制并篡改AI使用的MCP服务器以窃取信息。
更高级的攻击手法包括俄罗斯FANCY BEAR组织开发的“LAMEHUG”恶意软件,该软件本身不执行攻击,而是通过访问AI云服务Hugging Face的API,指示AI即时生成并执行恶意代码。由于仅访问正规网站且仅携带指令,传统恶意软件检测难以识别,增加了防御难度。
勒索软件、边缘设备、云身份及供应链攻击活跃
报告指出,勒索软件依然是网络犯罪的主流,PUNK SPIDER攻击者的攻击事件同比增长138%,达到198起。攻击手法包括语音钓鱼、滥用SaaS账户、针对VMware ESXi的攻击、通过Windows SMB共享远程加密文件以及跨域入侵。
跨域攻击中,攻击者常通过未受控的边缘设备入侵,利用合法认证信息进行横向扩展,难以被发现。攻击者还通过获取SaaS和单点登录(SSO)访问权限,在虚拟环境中搭建攻击平台。
与中国相关的攻击者倾向于利用边缘设备作为跳板进入内部网络,边缘设备监控不足导致事件持续时间延长。
供应链攻击方面,攻击者通过信任关系从合作伙伴处入侵,或利用软件内部依赖的其他软件发起供应链攻击,甚至窃取SaaS访问令牌。
零日漏洞利用从2024年到2025年增长了42%,部分攻击组织针对同一产品反复利用新漏洞。
国家支持的攻击者更关注边缘设备,而网络犯罪者则多针对通用企业应用和操作系统。
云身份滥用成为主要攻击路径,特别是混合云环境中的身份管理漏洞。国家级和网络犯罪攻击者均加大对云攻击技术的投资,预计2026年及以后风险将持续上升。
防御建议:保护AI、身份和边缘设备,实现跨域可视化
林薫提出五点防御策略:
- 确保AI安全。攻击者会观察企业数据集中点并加以攻击,企业在利用生成式AI提升业绩的同时,必须重视AI安全。
- 保护身份和SaaS应用。SaaS通过单一身份连接外部系统,保护和可视化身份信息至关重要。
- 弥补跨域可视性缺口。企业往往分别保护端点、云和网络,但攻击者跨域横向扩展时整体视图难以掌握,需实现跨域安全可视化。
- 优先保护边缘设备并及时打补丁。边缘设备的监控和补丁管理是防御关键。
- 了解攻击者动态。利用威胁情报持续掌握攻击趋势,评估自身防御策略的有效性。
通过这些措施,企业可以更有效地应对日益复杂的网络威胁环境。
