WatchGuard发布的《2024 Q3全球威胁报告》揭示:「边界失守」,端点恶意软件检出量激增300%!
2025-02-27 来源:安全资讯
近日,WatchGuard发布的《2024 Q3全球威胁报告》揭示了网络边界失守,导致端点恶意软件检测量激增300%。这一最新变化主要源于攻击者利用合法网站或文档掩护,通过钓鱼邮件、恶意链接
近日,WatchGuard发布的《2024 Q3全球威胁报告》揭示了网络边界失守,导致端点恶意软件检测量激增300%。这一最新变化主要源于攻击者利用合法网站或文档掩护,通过钓鱼邮件、恶意链接或伪装附件等手段,结合社会工程学攻击,诱导用户下载执行恶意代码,轻易绕过边界防护直达用户终端。
赤豹终端安全研究院基于过去一年的持续监测、分析及行业报告,也给出了综合研判:
一、威胁趋势核心数据与演化特征
1. 终端恶意软件爆发式增长
检测量环比激增300%,攻击者利用社会工程策略,将恶意代码植入合法文档及网站:
OneNote文件滥用:微软禁用Office宏后,攻击者转向OneNote文件分发Qbot僵尸网络,伪装为“订单确认”“发票”等诱饵。
WordPress插件漏洞利用:全球超4.8亿网站使用WordPress,攻击者通过插件漏洞植入SocGholish恶意软件,伪造“浏览器更新”提示诱导用户执行恶意代码。
2. 供应链攻击与OT系统威胁升级
供应链攻击常态化:62%的定向攻击通过软件更新通道渗透,开发工具链成高危目标。
3. 身份攻击与AI武器化
身份劫持技术迭代:MFA疲劳攻击增长81%,攻击者通过社会工程获取合法凭证,绕过零信任策略。
AI技术滥用:暗网中AI生成钓鱼内容、自动化漏洞挖掘工具交易量增长47%,降低低技能攻击者门槛。
二、威胁技术演进与防御缺口
(一)攻击技术特征
这些数据不仅令人警醒,更预示着网络安全防护工作正面临前所未有的挑战。
(二)关键行业暴露面
关键基础设施:能源、交通等OT系统遭定向攻击频次提升67%。
金融与医疗:信贷欺诈攻击增长42%,医疗数据泄露事件中81%源于API接口滥用。
三、防御体系优化建议(基于威胁数据验证)
面临如此严峻的网络威胁态势,企业应采取“纵深防御”方法,结合AI驱动的威胁检测和传统防恶意软件控制,快速应对老旧威胁并适应新挑战。
1. 终端防护强化
• 文档沙盒检测:针对OneNote、PDF等高危文件类型,部署动态行为分析引擎,阻断无文件攻击。
• 实施应用程序控制白名单,禁用高风险脚本执行权限。
• 供应链准入管控:建立软件物料清单(SBOM)自动化核验机制,覆盖200+开发工具链。
2. 身份与权限治理
• MFA疲劳防御:设置单日认证尝试次数阈值,异常行为触发二次人工验证。
• 最小化API权限:按业务需求动态调整API访问范围,阻断95%的横向渗透路径。
3、防御能力度量标准
• 参考MITRE ATT&CK框架评估终端对TTPs的检测覆盖率,建议基线值≥92%。
• 定期进行勒索攻击模拟演练,响应时效应≤15分钟。
4. 威胁情报协同 建立体系化防御
• 终端防护与网络流量分析、身份管理系统形成数据闭环;
• 构建威胁情报分钟级同步机制,实现跨安全组件联动阻断。
• OT-IOC库建设:集成工业协议特征与攻击组织TTPs,提升ICS系统威胁检出率。
• AI对抗能力:部署生成式AI诱捕系统,干扰攻击者自动化工具链。
「赤豹」作为江民科技旗下终端安全子品牌,以“精准防御、高效协同”为核心,构建了终端防护、流量监测、XDR分析与威胁对抗的立体化产品矩阵,形成“端、管、云”协同防御体系。
其技术架构包含三大核心层:
• 终端动态防护层:
第四代AI威胁引擎支持无文件攻击检测与内存防护,勒索软件阻断响应≤0.5秒;
国产化深度适配银河麒麟、统信UOS系统,指令集级优化降低60%资源占用。
• 跨域协同层:
XDR平台实现终端、网络、云端威胁联动分析,提高用户自动化处置能力和效率70%;
• 智能决策层:
依托赤豹终端安全研究院的全球威胁情报,构建全球APT组织TTPs规则库,2024年已成功阻断APT组织定向攻击23次。
一、威胁趋势核心数据与演化特征
1. 终端恶意软件爆发式增长
检测量环比激增300%,攻击者利用社会工程策略,将恶意代码植入合法文档及网站:
OneNote文件滥用:微软禁用Office宏后,攻击者转向OneNote文件分发Qbot僵尸网络,伪装为“订单确认”“发票”等诱饵。
WordPress插件漏洞利用:全球超4.8亿网站使用WordPress,攻击者通过插件漏洞植入SocGholish恶意软件,伪造“浏览器更新”提示诱导用户执行恶意代码。
2. 供应链攻击与OT系统威胁升级
供应链攻击常态化:62%的定向攻击通过软件更新通道渗透,开发工具链成高危目标。
3. 身份攻击与AI武器化
身份劫持技术迭代:MFA疲劳攻击增长81%,攻击者通过社会工程获取合法凭证,绕过零信任策略。
AI技术滥用:暗网中AI生成钓鱼内容、自动化漏洞挖掘工具交易量增长47%,降低低技能攻击者门槛。
二、威胁技术演进与防御缺口
(一)攻击技术特征
(二)关键行业暴露面
关键基础设施:能源、交通等OT系统遭定向攻击频次提升67%。
金融与医疗:信贷欺诈攻击增长42%,医疗数据泄露事件中81%源于API接口滥用。
三、防御体系优化建议(基于威胁数据验证)
面临如此严峻的网络威胁态势,企业应采取“纵深防御”方法,结合AI驱动的威胁检测和传统防恶意软件控制,快速应对老旧威胁并适应新挑战。
1. 终端防护强化
• 文档沙盒检测:针对OneNote、PDF等高危文件类型,部署动态行为分析引擎,阻断无文件攻击。
• 实施应用程序控制白名单,禁用高风险脚本执行权限。
• 供应链准入管控:建立软件物料清单(SBOM)自动化核验机制,覆盖200+开发工具链。
2. 身份与权限治理
• MFA疲劳防御:设置单日认证尝试次数阈值,异常行为触发二次人工验证。
• 最小化API权限:按业务需求动态调整API访问范围,阻断95%的横向渗透路径。
3、防御能力度量标准
• 参考MITRE ATT&CK框架评估终端对TTPs的检测覆盖率,建议基线值≥92%。
• 定期进行勒索攻击模拟演练,响应时效应≤15分钟。
4. 威胁情报协同 建立体系化防御
• 终端防护与网络流量分析、身份管理系统形成数据闭环;
• 构建威胁情报分钟级同步机制,实现跨安全组件联动阻断。
• OT-IOC库建设:集成工业协议特征与攻击组织TTPs,提升ICS系统威胁检出率。
• AI对抗能力:部署生成式AI诱捕系统,干扰攻击者自动化工具链。
关于赤豹
「赤豹」作为江民科技旗下终端安全子品牌,以“精准防御、高效协同”为核心,构建了终端防护、流量监测、XDR分析与威胁对抗的立体化产品矩阵,形成“端、管、云”协同防御体系。
其技术架构包含三大核心层:
• 终端动态防护层:
第四代AI威胁引擎支持无文件攻击检测与内存防护,勒索软件阻断响应≤0.5秒;
国产化深度适配银河麒麟、统信UOS系统,指令集级优化降低60%资源占用。
• 跨域协同层:
XDR平台实现终端、网络、云端威胁联动分析,提高用户自动化处置能力和效率70%;
• 智能决策层:
依托赤豹终端安全研究院的全球威胁情报,构建全球APT组织TTPs规则库,2024年已成功阻断APT组织定向攻击23次。
