解读网络威胁：如何保护您的企业

有效的网络安全实践通过优先降低网络安全风险，确保企业数据、系统和网络的机密性、完整性和可用性。通过识别各种威胁类型并实施策略防止其成为漏洞，企业可以保护其敏感信息、声誉和利润。这事关重大——据估计，网络犯罪的成本每年将持续增长，到 2029 年可能高达 15.63 万亿美元。¹

各组织必须做好准备，以应对日益复杂的网络安全威胁，这些威胁利用不断扩大的攻击面中的弱点和漏洞。以下是一些常见的网络安全威胁类型：

恶意软件（又称流氓软件）是一种广泛的威胁类别，旨在破坏或扰乱系统、窃取敏感信息或实现未经授权的网络访问。

• 病毒 是最古老的恶意软件类型之一。病毒执行恶意代码，在计算机之间传播。病毒会破坏系统的运行并导致数据丢失。

• 蠕虫可自我复制，并利用网络协议传播到其他设备，无需人工干预。恶意蠕虫利用多态性、行为模仿和加密等技术逃避检测。有些蠕虫还利用机器学习来预测和对抗入侵检测系统。

• 木马隐藏在合法软件中，或伪装成有用的文件、附件或应用程序。特别是，攻击者越来越多地使用被破坏的网站和虚假链接（一种社交工程）来安装木马程序。一旦下载，木马就会控制受害者的设备、系统或网络。根据《2024 年 Elastic 全球威胁报告》，特洛伊木马占所观察到的所有恶意软件类型的 82%。更深入地看，银行木马和窃密木马目前在这一威胁类别中占主导地位。它们旨在获取敏感数据，如登录信息或财务信息，并不断演变以避免检测。

• 加密挖矿也被称为加密劫持。加密挖矿恶意软件劫持受害者的计算资源来挖掘加密货币。这种恶意软件能让威胁行为者在很长一段时间内秘密产生现金。

• 勒索软件是一种高级恶意软件，旨在扣押受害者的信息或防止其使用系统，直到他们支付赎金才能解锁。通常，威胁行为者会加密某些文件类型，然后迫使受害者支付解密密钥。根据 Chainalysis 的数据，2024 年，受害者向勒索软件攻击者支付了约 8.1355 亿美元。²最新的勒索软件操作快速且适应性强，以供应链为目标，利用未打补丁的系统，并采用 AI 来自动化攻击和提高规避能力。

• 无文件恶意软件由于其性质，很难被检测到 — 它不会在硬盘驱动器上创建文件。相反，无文件恶意软件驻留在内存中。这种类型的攻击利用现有的合法程序来执行恶意活动，通常会绕过用户和终端防御。通过操纵本地合法工具，无文件恶意软件会造成与传统恶意软件相同的破坏——它可以窃取数据、勒索赎金和挖掘加密货币。

• 恶意软件即服务 (MaaS) 目前已成为企业面临的最大威胁之一。与其说 MaaS 是一种恶意软件，不如说它是一种商业模式，使威胁行为者能够轻松获取即用、有效、灵活且难以检测的恶意软件。MaaS（以及勒索软件即服务，简称 RaaS）使没有专业技术知识的网络犯罪分子也能购买和部署最先进的恶意软件，如 窃取木马，并获得支持和软件更新。

网络钓鱼是指试图获取敏感信息（例如银行信息、登录凭证或其他可用于恶意目的的私人数据）的攻击。网络钓鱼攻击者会使用电子邮件、短信、电话或社交媒体，企图通过看似合法的通信来诱骗用户分享信息。 

网络钓鱼是一种社会工程攻击（也称为人肉黑客），通过操控个人采取行动，从而暴露其个人信息或危害组织安全。

通常，网络钓鱼涉及向尽可能多的用户发送欺诈性电子邮件、信息和其他通信，但也可能是有针对性的。例如，“鱼叉式网络钓鱼”会个性化信息以针对特定受害者，而“捕鲸式网络钓鱼”则以高价值个人（如高管）为目标。

另一种网络钓鱼攻击变体称为商业电子邮件入侵（BEC）。在 BEC 攻击中，威胁行为者冒充高管、供应商或受信任的同事，诱骗受害者汇款或共享敏感数据。根据 FBI 的数据，2023 年 BEC 给美国经济造成的损失超过 29 亿美元。³ 

就像恶意软件一样，网络钓鱼威胁也在演变。如今，网络犯罪分子可以使用生成式 AI 来开发高度个性化和令人信服的网络钓鱼活动。使用 AI 创建的攻击可以生成几乎与真实通信难以分辨的文档，这使得受害者更难发现欺诈性内容，从而增加了成功攻击的可能性。

由于其易用性，许多网络攻击都是从网络钓鱼电子邮件开始的，因此在网络犯罪分子中非常受欢迎。根据反网络钓鱼工作组的数据，2024 年 7 月至 9 月期间发生了近 93.3 万次网络钓鱼攻击，高于 2024 年 4 月至 6 月的 877,536 起。⁴任何人都可能成为受害者：80% 的组织中至少有一人成为 CISA 评估团队网络钓鱼尝试的受害者。⁵ 

DoS 攻击通过大量流量使网站或网络资源超载，从而导致其不可用。 分布式拒绝服务 (DDoS) 攻击 涉及从多个来源向受害者服务器输入流量。

通过让服务器承受过大的流量，威胁者造成合法用户服务中断和系统崩溃。

DDoS 攻击比 DoS 攻击更为严重，通常会导致受害者的系统或网络崩溃。它也更难控制，因为它可能涉及成千上万台感染了恶意软件的机器，这些机器会反复攻击，有时长达数小时。

威胁行为者出于各种原因选择实施 DDoS 攻击，包括政治或意识形态原因、抗议或扰乱竞争对手。DDoS 攻击通常涉及敲诈勒索，网络犯罪分子会使服务器崩溃，安装恶意软件，并迫使受害者支付赎金以挽回损失。

与恶意软件和网络钓鱼类似，DDoS 攻击也在不断演变。例如，最新的 DDoS 攻击利用 HTTP/2 协议中的一个弱点，允许攻击者发起超体积 DDoS 攻击。它们的数量也在不断增加。

高级持续性威胁是协调、持续且隐蔽的网络攻击，通常由国家或在国家支持下的犯罪团伙实施。它们的目标是窃取特定组织或个人的敏感数据。

传统上，APT 通常反映全球和地区的地缘政治冲突，许多与俄罗斯、伊朗、朝鲜和中国等国家支持的团体有关。他们赞助的网络犯罪团伙技术娴熟、资金雄厚，并使用最新的先进工具。它们通常针对政府、关键基础设施、金融机构和国防工业。

APT 与恶意软件类似，威胁行为者首先利用漏洞来访问受害者的系统。然后，他们安装后门，利用定制恶意软件来躲避检测措施，长期维护访问权限。威胁行为者逐渐通过网络移动，以窃取更多数据或破坏整个系统。这些可能数月或数年不被发现。

新兴威胁 — 即网络犯罪分子为利用、破坏或攻破安全系统而采用的新战术、技术和流程 (TTP) — 正不断演变升级。随着它们的演变，它们变得越来越难以检测和缓解。威胁行为者经常使用与网络安全防御者相同的先进技术，如机器学习、生成式 AI 和物联网设备。以下是当今一些新出现的网络威胁：

物联网设备包括家用电器、安全摄像头、工业传感器、打印机和其他连接到互联网的设备。这些设备通常缺乏适当的安全保护，很容易被滥用。常见的漏洞包括固件漏洞、路径攻击、硬件攻击和凭据薄弱。

比较著名的物联网攻击之一是在 DDoS 攻击中使用不安全的物联网设备产生网络流量。每个物联网设备都有自己的 IP 地址，因此此类攻击更难阻止。

与物联网类似，云计算利用网络和服务来在线管理数据，使其可以从任何有互联网连接的地方访问。这种便利性不仅为用户提供了方便，也使其成为网络犯罪分子的目标。

许多云安全威胁源于身份和访问管理问题。内部威胁，例如，云的远程访问加剧了这些威胁。无论是有意还是无意，内部人员（如承包商、业务合作伙伴或员工）都可能使组织面临安全风险。通过远程访问，内部人员可以在任何地方滥用他们的访问权限，从而使检测和防止此类威胁变得更加困难。

云的可扩展性和灵活性使企业能够扩大业务并适应不断变化的市场条件，但同时也扩大了潜在的攻击面。

与改善安全团队工作流的相同先进技术也提高了网络犯罪分子的效率。AI 增强了现有的 TTP，使恶意软件、社交工程和网络钓鱼攻击更加高效、有效和难以察觉。总体而言，预计在不久的将来，AI 将增加攻击的数量和影响。

滥用 AI 的一个例子是创建和使用深度伪造，这种伪造提供几可乱真的伪装来欺骗受害者。此外，威胁行为者开始使用大语言模型（LLM）来帮助生成恶意软件代码，并编写更有说服力的个性化网络钓鱼电子邮件。他们还可以指示 LLM 或 AI 智能体查找和渗出敏感数据或执行其他恶意行为。

无论是最终用户、安全分析师还是系统管理员，个人始终是抵御网络威胁的第一道防线。在组织层面，减少网络安全威胁意味着要有一个健全的网络安全风险管理计划，并积极主动地更新、测试和改进网络防御系统。

以下是减轻网络威胁的关键策略：

防止网络安全威胁成为问题的关键策略之一是采取积极主动的方法，而不是被动地应对出现的事件。组织应积极主动地发现和检测威胁，以降低风险。

通过威胁搜寻，安全团队将积极主动地调查任何异常情况，确保不存在可能导致大规模安全漏洞的恶意活动。威胁搜寻对打击 APT 特别有用，因为这些威胁可能会在网络环境中潜伏数月而不被发现，同时收集敏感信息。

了解更多关于威胁搜寻的信息。

网络安全基础知识，如防火墙、VPN、多因素身份验证、自动软件更新和网络访问控制，可为组织提供极大帮助。除这些最佳实践外，组织还应培养安全意识文化，培训员工如何识别和避免网络安全威胁，并采取措施保护组织的资产和数据。

组织还应使用自动威胁防护，帮助在损害发生前实时识别和阻止常见的网络安全威胁，如恶意软件或勒索软件。

了解有关自动威胁防护的更多信息。

没有事件响应和恢复计划，任何安全系统都不算完整。

当网络攻击发生时，企业必须尽快进行调查和响应。快速响应至关重要，这样才能将攻击的影响降至最低。

了解有关网络调查和响应的更多信息。

Elastic Security 提供对威胁的全面可视化能力，缩短调查时间，并保护您的企业免受不断变化的威胁环境的影响。借助由 Search AI Platform 提供支持的 Elastic Security，安全团队可以获得攻击面的可见性，揭示隐藏的威胁，并以前所未有的规模阻止攻击。

利用 Elastic Security 提前应对网络威胁。