网络威胁解析：如何保护你的企业

作者：来自 Elastic Elastic Security Team

网络威胁基础知识

网络威胁（Cyber threats - 网络安全威胁）是指那些可能通过利用安全漏洞，对个人或组织产生负面影响的事件、行为或情况。网络威胁可能影响数据、系统、运营或人们数字存在的机密性、完整性或可用性。

网络安全威胁在不断演变，人工智能（AI）的快速应用进一步加剧了其规模和复杂性。网络安全意识对于防止这些威胁演变为全面的网络攻击至关重要。当安全团队了解不同类型的网络威胁时，他们可以更全面、更有效地进行预防、检测和响应。

网络安全的重要性

有效的网络安全实践通过优先缓解网络安全风险，确保组织的数据、系统和网络的机密性、完整性和可用性。通过识别各种威胁类型并实施防范策略防止其演变为安全漏洞，企业可以保护其敏感信息、声誉和利润。风险巨大——据估计，网络犯罪的成本将持续增长，到 2029 年可能高达 15.63 万亿美元。

下载报告

常见网络安全威胁概览

国家行为体、恐怖组织、犯罪团伙或个人黑客都可能成为网络威胁的实施者。网络安全威胁可以是：

• 外部的（如恶意攻击）或内部的（如内部人员威胁）
• 有意的（如黑客攻击）或无意的（如敏感数据泄露）

过去，安全团队主要担心的是一些简单的病毒，它们入侵计算机后只会造成轻微破坏。然而，如今的世界日益互联，这使得网络安全威胁带来了更广泛的影响。像恶意软件、勒索软件等复杂攻击，可能会使跨国企业甚至整个国家的运作陷入瘫痪。安全团队如今的任务是发现漏洞并保护更广泛的攻击面，这些攻击面涵盖分布式系统、物联网（ IoT ）、移动设备和其他攻击向量。

恶意行为者设计某些网络攻击是为了窃取数据、敏感信息或机密，以谋取经济利益；而另一些攻击则旨在造成声誉损害，以获取政治或个人利益。

网络安全威胁类型

组织必须为日益复杂的网络安全威胁做好准备，这些威胁会利用不断扩大的攻击面上的弱点和漏洞。以下是一些常见的网络安全威胁类型：

恶意软件（Malware）

恶意软件，即“ malicious software ”，是一种广泛的威胁类别，旨在破坏或干扰系统、窃取敏感信息，或实现对网络的未经授权访问。

• 病毒是最早的恶意软件类型之一。病毒会执行恶意代码并在计算机之间传播，可能干扰系统运行并造成数据丢失。

• 蠕虫会自我复制，通过网络协议传播到其他设备，无需人工干预。恶意蠕虫通过多态性、行为模仿和加密等技术逃避检测，有些蠕虫还利用机器学习预测并对抗入侵检测系统。

• 特洛伊木马隐藏在合法软件中，或伪装成有用的文件、附件或应用程序。攻击者越来越多地使用被攻陷的网站和虚假链接（属于一种社会工程手段）来传播特洛伊木马。一旦下载，特洛伊木马就能控制受害者的设备、系统或网络。根据 2024 年 Elastic 全球威胁报告，特洛伊木马占所有恶意软件类型的 82%。其中，以银行木马和“窃取器”木马为主，它们专门用于窃取登录凭据或财务信息，并不断演变以规避检测。

• 加密挖矿（Cryptomining）也叫加密劫持（Cryptojacking），是指恶意软件劫持受害者的计算资源来挖掘加密货币，使攻击者能在长时间内秘密获利。

• 勒索软件是一种高级恶意软件，设计目的是劫持受害者信息或阻止其使用系统，直到他们支付赎金以解锁。通常，攻击者会加密某些文件类型，并迫使受害者支付解密密钥。根据 Chainalysis 数据，2024 年受害者向勒索软件攻击者支付了约 8.1355 亿美元。最新的勒索操作快速且具适应性，攻击供应链、利用未打补丁的系统，并使用 AI 自动化攻击并提升规避能力。

• 无文件恶意软件由于其特性而非常难以检测 —— 它不会在硬盘上创建文件，而是驻留在内存中。这类攻击利用已有的合法程序执行恶意活动，常常绕过用户和终端防御机制。通过操纵原生工具，无文件恶意软件能像传统恶意软件一样窃取数据、勒索赎金和挖矿。

• 恶意软件即服务（MaaS）现在是组织面临的最大威胁之一。它不是一种具体的恶意软件类型，而是一种业务模式，使攻击者能轻松获取现成、有效、灵活且难以检测的恶意软件。 MaaS（以及勒索软件即服务 RaaS）使没有技术背景的网络犯罪分子也能购买并部署先进恶意软件（如窃取器木马），并获得支持和更新。

钓鱼攻击（Phishing）

钓鱼攻击试图获取敏感信息，如银行信息、登录凭据或可用于恶意目的的其他私人数据。攻击者使用电子邮件、短信、电话或社交媒体，诱使用户通过看似合法的通信分享信息。

钓鱼是一种社会工程攻击（也称为人性黑客），通过操纵人类行为暴露个人信息或危害组织安全。

钓鱼通常是向尽可能多的用户发送欺诈性电子邮件和消息，但也可以是定向的。例如，“鱼叉式钓鱼（spear phishing）” 会定制信息来针对特定受害者，而 “鲸鱼式钓鱼（whaling）” 则锁定高价值目标，如高管。

另一种钓鱼变体是业务电子邮件泄露（business email compromise - BEC），攻击者冒充高管、供应商或可信同事，诱使受害者汇款或分享敏感数据。根据 FBI 数据，2023 年 BEC 给美国经济带来了超过 29 亿美元的损失。

钓鱼攻击也在演变。如今，网络犯罪分子可以使用生成式 AI 开展高度个性化且具有欺骗性的钓鱼活动。 AI 制作的攻击内容极具迷惑性，使受害者更难识别，从而增加攻击成功的可能性。

由于门槛低，许多网络攻击都从钓鱼邮件开始，因此钓鱼攻击在网络犯罪中非常流行。根据反钓鱼工作组数据，2024 年 7 月至 9 月间发生了近 93.3 万起钓鱼攻击，而 2024 年 4 月至 6 月为 87.75 万起。美国 CISA 评估团队发现，10 个组织中有 8 个至少有 1 名员工成为钓鱼攻击受害者。

拒绝服务攻击（Denial-of-service - DoS）

拒绝服务（ DoS ）攻击通过大量流量使网站或网络资源不可用。分布式拒绝服务攻击（ distributed denial-of-service - DDoS ）则来自多个来源向受害者服务器发送流量。

通过淹没服务器，攻击者会导致系统崩溃或服务中断，影响正常用户的使用。

DDoS 被认为比 DoS 更严重，通常会导致受害系统或网络瘫痪，也更难控制，因为它可能涉及数千台被感染设备连续攻击数小时。

攻击者进行 DDoS 攻击的动机多种多样，包括政治、意识形态、抗议或扰乱竞争对手等。DDoS 攻击通常还伴随敲诈，攻击者使服务器瘫痪、植入恶意软件，逼迫受害者支付赎金以恢复。

与恶意软件和钓鱼类似，DDoS 攻击也在演进。最新攻击会利用 HTTP/2 协议中的漏洞，发起超大规模 DDoS 攻击，而且攻击数量还在持续增长。

高级持续性威胁（Advanced persistent threats - APTs）

高级持续性威胁是协调、有计划且隐蔽的网络攻击，通常由国家或受国家支持的犯罪组织发起，目标是窃取特定组织或个人的敏感数据。

传统上， APT 常与全球或地区地缘政治冲突相关。这些国家支持的网络犯罪组织拥有丰富资金和先进工具，主要攻击政府、关键基础设施、金融机构和国防产业。

APT 与恶意软件类似，攻击者首先利用漏洞进入受害系统，然后安装后门以长期维持访问权限，并使用定制恶意软件逃避检测。随后攻击者在网络中横向移动，窃取更多数据或破坏系统。这类攻击可能在几个月甚至几年内都未被察觉。

新兴的网络安全威胁

新兴威胁是指网络犯罪分子利用的新战术、技术和程序（ TTPs ），用于攻击、破坏或入侵安全系统，并持续演变。随着这些威胁的演进，它们变得越来越难以检测和缓解。威胁行为者常常使用与网络安全防御者相同的技术进步，如机器学习、生成式 AI 和 IoT 设备。以下是当前的一些新兴网络威胁：

IoT 漏洞

IoT 设备包括家用电器、安全摄像头、工业传感器、打印机及其他连接到互联网的设备。这些设备通常缺乏适当的安全防护，容易被滥用。常见的漏洞包括固件利用、中间人攻击和硬件攻击，以及弱密码。

较为知名的一种 IoT 攻击方式是利用未加保护的 IoT 设备在 DDoS 攻击中生成网络流量。由于每个 IoT 设备都有自己的 IP 地址，使得此类攻击更难被阻断。

云安全威胁

与 IoT 类似，云计算通过网络和服务管理在线数据，使其能从任何有互联网连接的地方访问。这种便捷性对用户来说是优势，但也让其成为网络犯罪分子的攻击目标。

许多云安全威胁源于身份与访问管理问题。例如，内部威胁因云的远程访问能力而加剧。无论是有意还是无意，内部人员（如承包商、业务合作伙伴或员工）都可能使组织面临安全风险。借助远程访问，内部人员可以在任何地方滥用访问权限，导致这类威胁更难检测和防范。

云的可扩展性和灵活性使企业能够扩展业务并适应市场变化，但也扩大了潜在的攻击面。

人工智能和机器学习威胁

同样提升安全团队工作流程的先进技术，也提高了网络犯罪分子的效率。AI 强化了现有的 TTPs，使恶意软件、社交工程和网络钓鱼攻击更加高效、有效且更难被发现。总体而言，预计在不久的将来，AI 会提升攻击的数量和影响力。

AI 滥用的一个例子是生成和使用深度伪造内容（ deepfakes ），通过高度逼真的伪装欺骗受害者。此外，威胁行为者开始使用大型语言模型（ LLMs ）来生成恶意软件代码，或撰写更具说服力和个性化的钓鱼邮件。他们还可以指示 LLM 或 AI 代理去查找并窃取敏感数据，或执行其他恶意操作。

探索最常见的十大基于 LLM 的攻击技术。查看 LLMs 如何被滥用，以及如何通过 Elastic Security Labs 的 LLM 安全评估来缓解这些攻击。

虽然 AI 降低了初级安全分析师调查和响应攻击的门槛，但它同样也降低了威胁行为者的门槛。借助 AI，技能较低的黑客和网络犯罪分子也能大规模地发起高效且复杂的攻击，使全球更多组织和个人变得更加不安全。

减轻网络安全威胁的策略

无论是终端用户、安全分析师，还是系统管理员，个人都是防御网络威胁的第一道防线。在组织层面，减少网络安全威胁暴露意味着拥有健全的网络安全风险管理计划，并主动更新、测试和改进网络防御。

以下是减轻网络威胁的关键策略：

主动威胁狩猎策略

防止网络安全威胁成为问题的关键策略之一，是采取主动方法，而不是被动应对突发事件。组织应主动发现和检测威胁以降低风险。

通过威胁狩猎，安全团队会主动调查任何异常情况，确保没有可能导致大规模泄露的恶意活动。威胁狩猎对抗高级持续性威胁（APT）尤其有效，因为这些威胁可能在网络环境中潜伏数月而不被发现，同时收集敏感信息。

了解更多关于威胁狩猎的信息。

组织策略

防火墙、VPN、多因素认证、自动软件更新和网络访问控制等网络安全基础措施对组织大有帮助。除此之外，组织还应培养安全意识文化，培训员工识别和避免网络威胁，并采取措施保护组织的资产和数据。

组织还应使用自动威胁防护，帮助实时识别和阻止常见的网络安全威胁，如恶意软件或勒索软件，防止损害发生。

了解更多关于自动威胁防护的信息。

事件响应与恢复

没有事件响应和恢复计划的安全系统是不完整的。

当网络攻击发生时，企业必须尽快调查和响应。快速响应对于最大限度减少攻击影响至关重要。

了解更多关于网络调查与响应的信息。

使用 Elastic Security 减轻网络安全威胁

Elastic Security 提供对威胁的无限可见性，缩短调查时间，保护你的企业免受不断演变的威胁。借助由 Search AI Platform 驱动的 Elastic Security，安全团队能够全面了解攻击面，发现隐藏威胁，并以前所未有的规模阻止攻击。

使用 Elastic Security，领先应对网络威胁。

原文：Cybersecurity threats and enterprise protection strategies​ | Elastic Blog