威胁简报

威胁格局演进:攻击者从破坏设备转向窃取数据,企业安全战略需重新定义

网络安全攻击焦点已从破坏设备转向窃取数据。本文分析攻击方式变化、企业面临的风险,并提出基于身份安全、零信任和数据保护的防御建议。

事件概览

长期以来,网络安全攻击的主要目标是破坏设备运行——例如通过病毒使系统崩溃或锁定文件。然而,根据CNET近期分析及FBI 2025年互联网犯罪报告,攻击者的策略已发生根本性转变:他们不再满足于“制造麻烦”,而是将目标对准个人与企业数据的窃取。2025年,美国因网络犯罪损失约210亿美元;Identity Theft Resource Center追踪到3322起数据泄露事件,创下历史新高。

这一趋势对企业安全负责人(CISO)而言意味着:传统的以设备为中心的防御模型正迅速失效,数据安全必须成为安全架构的核心。

技术与风险分析

攻击方式演变:从破坏到窃取

传统恶意软件常以文件加密、系统崩溃为主要表现,攻击者主要通过勒索赎金获利。但如今,攻击链更复杂且隐蔽:

  • 社会工程与AI赋能:攻击者利用AI生成高度逼真的钓鱼邮件、语音克隆,甚至伪造视频,以获取凭证或敏感信息。这类攻击不再需要用户“犯错”,而是通过精准的心理操控降低警惕。
  • 勒索软件的双重勒索:攻击者不仅加密数据,还会在加密前窃取数据,并威胁公开泄露。这增加了企业的数据泄露风险和合规压力。
  • 中间人攻击(Adversary-in-the-Middle):攻击者拦截用户与应用之间的通信,窃取传输中的敏感数据,或篡改通信内容以诱导进一步泄露。
  • 针对企业数据库的定向攻击:攻击者通过漏洞利用、凭证窃取或供应链入侵,直接访问企业核心数据库,批量获取客户、员工及业务数据。

受影响资产:从终端到数据湖

传统上,安全团队重点保护端点(台式机、服务器)。但当前,攻击者瞄准的是:

  • 身份系统:通过钓鱼或凭证填充获取特权账户访问权限。
  • 云环境:利用错误配置或API漏洞访问存储桶、数据库。
  • 协作平台:如电子邮件、Slack、Teams,成为社会工程和数据外泄的通道。
  • 第三方集成:通过合作伙伴或供应商的系统间接渗透。

企业影响分析

从企业视角看,数据窃取带来的风险远甚于设备瘫痪:

  • 运营风险:数据加密或泄露导致业务中断,恢复成本高昂。
  • 财务风险:直接资金损失、勒索赎金、监管罚款、诉讼赔偿。
  • 合规风险:GDPR、CCPA等法规要求企业在规定时间内报告泄露,并可能面临巨额处罚。
  • 品牌与声誉风险:客户信任度下降,市场份额流失。
  • 数据资产风险:知识产权、商业秘密、客户数据的永久丧失。

行业趋势观察

这一转变并非孤立事件,而是网络安全行业长期演进的必然结果。

1. 数据成为新“货币”:暗网上个人信息、金融数据、医疗记录的交易价格持续走高,催生了专门的数据窃取产业链。 2. AI的双刃剑效应:AI既被攻击者用于规模化、个性化攻击,也被防御方用于威胁检测和响应。但当前防守方仍处于追赶状态。 3. “零信任”从理念走向实践:由于边界消失,企业开始假设网络内部也存在威胁,对每一次访问请求进行验证。 4. 供应链风险上升:攻击者通过渗透较小的供应商来触及大型企业,如2020年SolarWinds事件。 5. 数据保护法规趋严:全球各地纷纷出台数据本地化、泄露通知等要求,企业合规成本增加。

防御与应对建议

企业层面:建立数据为中心的防御模型

  • 身份与访问管理(IAM):推行多因素认证(MFA)和基于风险的条件访问。密码管理器、弱口令检测工具应成为标配。
  • 最小权限原则:限制数据访问范围,实施细粒度权限控制,定期审查永不过期的访问令牌。
  • 数据分类与加密:对敏感数据实施静态加密和传输加密,即使数据被窃取也难以利用。
  • 持续监控与检测:部署EDR、XDR、SIEM,并结合用户行为分析(UEBA)发现异常数据访问模式。

技术层面:强化关键安全能力

  • 端点安全:使用现代反恶意软件(包含行为检测)和漏洞管理工具,及时修补已知漏洞。
  • 云安全态势管理(CSPM):自动检测云环境的配置错误,如公开的S3存储桶。
  • 数据泄露防护(DLP):监控并阻止敏感数据通过邮件、USB、云应用等途径外传。
  • 备份与恢复:实施3-2-1备份策略,并定期测试恢复流程,确保不依赖单一备份副本。

管理层:构建韧性体系

  • 事件响应计划:确保计划覆盖数据泄露场景,包括通知执法机构、监管机构及受影响个人。
  • 第三方风险管理:对供应商进行安全评估,合同条款需包含数据保护义务和泄露报告要求。
  • 安全意识培训:定期开展针对钓鱼、社会工程的培训,模拟演练。
  • 数据治理:建立数据生命周期管理,定期清理未使用账户和不必要的数据留存。

SecurityPost Insight

从“攻击设备”到“攻击数据”,这一转变深刻反映了网络犯罪经济模式的升级。对于企业而言,继续将安全预算主要投入在网络边界和端点防护已不足以应对威胁。CISO需要推动董事会和业务部门理解数据安全不仅是IT问题,更是业务连续性、合规和品牌信任的核心。

未来,数据安全的核心将是“身份”与“访问”的持续验证,以及对数据流向的全面可视化。企业应优先投资于零信任架构、数据加密和威胁情报共享。同时,法规环境的收紧将迫使企业将数据保护纳入战略风险框架。

值得警惕的是,攻击者利用AI的效率和隐蔽性正在快速提升,防御方必须同样借助AI和自动化来缩小响应时间差。在这个数据驱动的时代,保护数据就是保护企业未来。

证据路径 · securitypost

securitypost 将这段说明放在「威胁简报 / 企业安全 / 聚焦身份、云防护、终端安全、安全运营、供应商动态,以及影响企业风险管理的关键控制措施。」的站点语境中。「威胁简报 / 企业安全 / 聚焦身份、云防护、终端安全、安全运营、供应商动态,以及影响企业风险管理的关键控制措施。」解释了本文的本地编辑角度: 读者复用摘要前应先打开来源链接。日期、名称和状态变化仍需重新核对。

Source URL

  1. https://www.cnet.com/tech/services-and-software/threat-landscape-evolution-target-data/Primary

相关文章

返回频道