2025网络威胁:卡巴斯基MDR对40万警报的分析
卡巴斯基的MDR、事件响应和妥协评估服务处理了20万家企业客户的数据。2025年,它们记录了40万条警报。AI自动解决了9.5万条(24%),SOC分析师过滤了剩余30万条中的87%。仅有2.1万起事件到达客户手中。
响应时间:关键事件42分钟,中等33分钟,低危31分钟。比2024年提升22%,得益于自动化。
事件严重性趋势
关键事件占比连续第六年下降:从2021年的14.3%降至2025年的3.8%。MDR每天捕获约3起此类事件。97%的的事件为中等或低危,主要来自自动化恶意软件和机会主义攻击。
人工操控攻击占比虽低,但仍是最大威胁。早期捕获解释了严重性下降趋势。
受攻击最多的行业
按事件占比前三行业:
- 政府——19%
- 制造业——17%
- IT——15%(超过金融业)
IT行业关键事件占比4.9%,政府4.3%(高于平均)。IT攻击上升与供应链妥协有关:黑客入侵服务提供商和集成商,再攻击客户。我们见过多组织连锁攻击的案例。
初始入侵路径
事件响应数据:
- 公共应用漏洞利用——43.7%
- 泄露凭证——25.4%
- 信任关系(供应商)——15.5%
钓鱼自2023年起退出前三,现仅在杀伤链中辅助。供应商攻击自2023年起激增:入侵弱安保企业,利用其远程访问客户,使流量显得合法。
成功攻击的影响
数据加密位居破坏性事件首位,占比39%。其次是持久驻留扰乱(12%)、Web数据外泄(7%)。
检测时机差异:
- 损害后:加密、数据销毁、服务中断。
- 损害前:持久驻留、Active Directory妥协。
驻留时间取决于监控成熟度,而非入侵点。
被利用的漏洞
50%的事件响应漏洞为RCE,多为无认证。顶级漏洞:
- CVE-2025-31324(SAP NetWeaver,CVSS 9.8)——未授权文件上传
- CVE-2025-42999(SAP NetWeaver,CVSS 9.1)——不安全反序列化,RCE
- CVE-2025-61882(Oracle E-Business Suite,CVSS 9.8)——无认证服务接管
- CVE-2024-55591(Fortinet FortiOS,CVSS 9.8)——认证绕过
三分之一漏洞源于2021年——Exchange中的ProxyLogon四年后仍活跃。攻击者利用已修补的已知缺陷。
攻击者工具
关键MDR事件中的LOLBins:
| 工具 | 占比 |
|-----------------|--------|
| powershell.exe | 14.4% |
| rundll32.exe | 5.9% |
| mshta.exe | 3.8% |
| comsvcs.dll | 3.0% |
| msedge.exe | 2.7% |
mshta.exe因假CAPTCHA诱饵激增。专用工具:Mimikatz(14.3%)、PowerShell(8.1%)、PsExec/AnyDesk(7.5%)。典型案例:通过MPDefender.exe的DLL劫持。
SOC挑战
规则覆盖率平均43%,数据源超50个时降至30%。主要问题:
- 无监督导致覆盖衰减。
- 未调优的供应商规则——误报泛滥。
- 检测不均衡日志(网络、数据库、Web)。
2025新兴技术
T1568动态解析进入转化率前十(23%):DGA、Fast Flux DNS。案例:滥用HTTP.sys的URL保留实现隐秘C2,伪装Exchange流量。
关键洞见
- 关键事件3.8%,但MDR在损害前阻断。
- 顶级路径:公共应用(43.7%)、凭证(25.4%)、供应商(15.5%)。
- 漏洞:50% RCE,三分之一来自2021年——补丁可用。
- SOC覆盖43%数据;衰减是主要风险。
- IT进入前三(15%),经供应链攻击。
— Editorial Team
暂无评论。