摘要：根据eSentire 威胁响应部门（TRU）的新研究，从 2023 年到 2025 年第一季度，身份驱动的威胁激增了 156%，目前占所有已确认网络事件的 59%。这些发现标志着攻击者访问组织的方式发生了根本性转变。

摘要: 身份驱动攻击激增156%，零信任架构成防御关键。

根据eSentire 威胁响应部门（TRU）的新研究，从 2023 年到 2025 年第一季度，身份驱动的威胁激增了 156%，目前占所有已确认网络事件的 59%。这些发现标志着攻击者访问组织的方式发生了根本性转变。

一．网络攻击的新威胁格局

他们不再强行闯入，而是直接登录。

传统攻击聚焦于软件缺陷或暴露端口，而如今攻击者则选择阻力最小的路径，利用有效的用户凭证——这些凭证常通过盗取、购买甚至意外泄露等渠道获得。诸如Tycoon2FA这类钓鱼即服务（PhaaS）平台使此类攻击变得前所未有的便捷——网络犯罪分子仅需每月支付数百美元，即可租用采用中间人攻击（AitM）技术的一站式服务，用于收集凭证并绕过多因素认证。这些工具能即时拦截登录信息与会话令牌，使攻击者在受害者察觉前便获得系统完全控制权。

这些凭证不会闲置。

它们在地下市场出售，其运作模式更类似于电子商务平台而非传统暗网集市。凭证经过系统分类、明确定价且支持搜索功能，其中企业邮箱账户溢价出售，财务系统登录凭证被抢购一空，管理员权限凭证更是迅速售罄。

信息窃取恶意软件在此生态中扮演核心角色，它们已从原始的键盘记录器升级为能精准提取浏览器密码、VPN配置、SSH密钥及令牌认证数据的工具。以Lumma Stealer为代表的恶意软件系列针对大规模攻击进行优化，提供仪表板过滤器以优先筛选高价值数据。其运作模式极为高效，从感染设备到非法获利仅需数小时。

根据TRU报告，截至2025年，信息窃取类恶意软件已占所有恶意软件案例的三分之一以上，其影响横跨各行业，尤以商业服务、软件和制造业受损最重——这不仅源于其高频的被攻击属性，更因为这些行业普遍缺乏对整体IT资产的可见性。

这就是盲点所在。

许多漏洞始于非托管设备（个人笔记本电脑、测试服务器、传统终端），这些设备不受标准安全控制监控。从这些机器窃取的凭据使攻击者能够混入其中。他们可以通过企业VPN登录，模仿合法用户，并潜伏数天或数周而不被察觉，直到为时已晚。

这些漏洞并不罕见，它们是结构性的。

第三方访问是另一个敞开的大门。托管服务提供商（MSP）的漏洞使攻击者能够获得对数十甚至数百个客户网络的特权访问。远程监控和管理（RMM）工具成为力量倍增器，将一次漏洞转化为多次漏洞。

二．身份是新的边界

BeyondTrust 的现场首席技术官 James Maude 指出，身份已成为新的安全边界——攻击者只需登录即可入侵，而无需传统意义上的“黑客入侵”。

他表示，中间人（AitM）攻击的显著增加，暴露出许多组织过度依赖那些容易遭受会话劫持的、较弱的非网络钓鱼防御形式的多因素认证（MFA），或者更糟糕的是根本不使用 MFA。真正的危险通常在于被泄露身份所拥有的权限和访问范围，因为一个身份就可能访问数十个系统或账户，每个都带有自身的权限和风险。Maude 称这是一个“警钟”，不仅要考虑如何保护身份本身，更要审视这些身份所拥有的访问权限和特权，应移除长期特权以降低泄露风险。

他还表示，许多组织难以从整体上审视身份问题，这导致它们无法理解与单个身份相关的风险及其潜在影响范围。在云应用的竞争中，组织因不断添加云基础设施和 SaaS 应用而不堪重负，难以有效管理身份权限，最终形成了一个复杂的权限路径网络，极大地扩大了身份攻击面。

攻击者能够以图视角思考，快速利用泄露的身份，并通过这些通常隐蔽的特权路径造成重大破坏。而与此同时，防御者却常常各自为战，缺乏以身份为中心的安全方法。

三．重构防御方法

1.采用防网络钓鱼认证

现代网络攻击正日益转向“身份优先”模式，其本质不再是单纯利用技术漏洞，而是利用信任关系。对此，各实体正通过重构防御方法予以应对。TRU建议向零信任架构转型，实施基于风险的实时身份验证，包括采用防网络钓鱼认证（如密钥和FIDO2）替代传统多因素认证（MFA）、执行严格的设备合规策略以及部署情境感知访问控制。

检测机制同样亟需升级——静态规则无法及时捕捉凭据滥用，企业需构建集中式身份验证日志、建立用户行为基线、整合基于ASN的威胁情报，并部署能识别超越地理速度限制等异常的模式检测，例如，用户一小时内从不同国家登录，或从陌生设备/位置呈现熟悉登录行为。

速度成为关键要素，TRU敦促组织将身份威胁响应时间压缩至一小时以内，这意味着需启用自动化触发器、加速遏制流程并协调身份、安全与法律团队制定联合行动方案。因为一旦凭证失窃，倒计时随即启动，攻击者无需强行突破防线，只需凭借看似合法的身份即可长驱直入。

2.采用托管检测与响应服务

随着由 Tycoon2FA 等PhaaS平台推动的利润丰厚的地下经济兴起，即使是低技能攻击者现在也无需利用技术漏洞即可获得初始访问权限。这导致网络钓鱼和基于身份的攻击演变成攻击者与防御者之间持续不断的猫鼠游戏。

因此，亟需包含身份威胁检测与响应 (ITDR) 能力的 24/7 托管检测与响应服务，使组织能够实时撤销会话令牌并终止活动会话。”Kowski 补充说，公司应该专注于实时威胁检测，可以在恶意 URL 和可疑通信到达员工收件箱之前发现它们，并结合主动保护，在点击时分析威胁——特别是因为信息窃取者专门针对许多人方便地存储在浏览器中的密码。

3.注意陌生的链接或附件

Black Duck 基础设施安全实践总监 Thomas Richards 补充道，PhaaS犯罪组织为他人提供了实施网络钓鱼攻击的平台。

“这些平台通常宣称能够绕过反网络钓鱼控制和垃圾邮件检测，并提供相关支持。对于技术能力或资源有限的攻击者而言，付费使用这些服务极具吸引力。这些攻击本身通常并不复杂，使用通用模板窃取流行平台的凭证，但只要您的邮箱地址被纳入其攻击目标，就依然构成风险。”

为免成为受害者，Richards 建议不要点击陌生的链接或附件。“攻击者常伪装成发票通知或谎称付款错误，要求您输入账号信息以‘解决问题’。务必仔细核对网站地址。”

来源：安全419