作为安全领域从业者,我们很容易陷入 “对抗最新高级攻击技术” 的竞赛中。然而,影响最深远的攻击往往并非来自尖端漏洞利用,而是源于被破解的凭证与遭泄露的账户。尽管人们对这一威胁途径已有广泛认知,但 Picus Security《2025 年蓝色报告》(Blue Report 2025)显示,企业在防范密码破解攻击、检测泄露账户恶意使用方面,仍面临诸多挑战。
2025 年上半年已过,遭泄露的合法账户仍是防御最薄弱的攻击途径,这凸显出企业亟需采取主动防御策略,重点应对那些能绕过现有防护体系的威胁。
警钟敲响:密码破解成功率飙升,形势堪忧
《Picus 蓝色报告》是一份年度研究报告,旨在分析企业对真实网络威胁的防范与检测能力。与仅聚焦威胁趋势或调查数据的传统报告不同,该报告的结论基于1.6 亿次真实攻击模拟的实证结果 —— 这些模拟在全球企业网络中开展,依托 Picus Security 验证平台完成。
《2025 年蓝色报告》中,Picus 实验室发现:46% 的受测环境中,密码破解尝试最终成功,这一成功率较去年几乎翻倍。如此显著的增长暴露出企业在密码策略管理(或 “管理失当”)上的根本性缺陷。弱密码与过时的哈希算法持续让关键系统暴露在风险中,攻击者可通过暴力破解或彩虹表攻击破解密码,获取未授权访问权限。
密码破解本是最古老、却始终有效的攻击手段之一,而这一研究结果指向一个严峻问题:许多企业在全力对抗最新、最复杂的新型威胁时,既未能推行基础的强密码安全策略,也未将现代身份验证方式融入自身防御体系。
企业为何难以防范密码破解攻击?
那么,企业为何仍无法有效防范密码破解攻击?根本原因在于弱密码的持续使用与凭证存储方式的过时:
- 许多企业仍依赖易被猜测的密码(如 “123456”“password”)与安全性不足的哈希算法;
- 多数情况下,企业未采用适当的盐值(salting)技术,也未部署多因素认证(MFA)。
事实上,报告中的调查结果显示:46% 的受测环境中,至少有一个密码哈希被破解并还原为明文。这一数据凸显出诸多密码策略的不足 —— 尤其是内部账户,其安全控制往往比外部账户更为宽松。
要应对这一问题,企业必须:
- 推行更严格的密码策略;
- 为所有用户部署多因素认证(MFA);
- 定期验证凭证防御体系的有效性。
若不做出这些改进,攻击者将持续通过破解合法账户,轻松入侵关键系统。
凭证类攻击:隐蔽却极具破坏性的威胁
凭证滥用的威胁既普遍又危险,但《2025 年蓝色报告》强调,企业对这类攻击的防御准备仍严重不足。一旦攻击者获取合法凭证,便可轻松实现横向移动(在网络内跨设备 / 系统扩散)、权限提升,最终攻陷关键系统。
信息窃取器(Infostealer)与勒索软件团伙常借助被盗凭证在网络中扩散,不断深入渗透,且往往不会触发安全警报。这种隐蔽的网络内移动让攻击者能长时间潜伏(“驻留时间” 长),在未被发现的情况下肆意窃取数据。
尽管这一问题长期存在且广为人知,企业却仍将防御重点放在 “边界防护”(如防火墙、IPS 等)上,导致身份安全与凭证保护常被忽视,相关投入也严重不足。《2025 年蓝色报告》明确指出:合法账户滥用是现代网络攻击的核心手段,这进一步凸显出企业亟需加强身份安全与凭证验证的紧迫性。
合法账户(T1078):最易被利用的入侵途径
《2025 年蓝色报告》的核心发现之一是:合法账户(对应 MITRE ATT&CK 框架中的 T1078 技术)仍是最常被利用的攻击手段,其成功率高达98%—— 这一数字令人忧心。
这意味着,一旦攻击者通过密码破解或 “初始访问中介”(Initial Access Broker,即暗网中兜售账户凭证的群体)获取合法凭证,便能迅速在企业网络中渗透,且往往能绕过传统防御体系。
利用泄露凭证发起的攻击之所以高效,关键在于其 “隐蔽性”:攻击者可伪装成正常用户操作,让安全团队更难检测到恶意行为。进入网络后,他们可访问敏感数据、部署恶意软件,或构建新的攻击路径 —— 全程与合法用户活动无缝融合,难以分辨。
如何强化防御:应对凭证滥用与密码破解
要抵御日益高效的凭证类攻击,企业需从以下几方面强化防御:
1. 优化密码策略与身份验证体系
- 推行强密码策略:强制要求密码复杂度(如包含大小写字母、数字、特殊符号),禁用常见弱密码;
- 淘汰过时哈希算法:改用 bcrypt、Argon2 等更安全的算法,并结合盐值技术存储密码;
- 全面部署多因素认证(MFA):对所有敏感账户(如管理员账户、核心业务系统账户)强制启用 MFA—— 即便凭证泄露,攻击者也需额外验证才能访问系统。
2. 定期验证凭证防御有效性
通过模拟攻击(如暴力破解、凭证填充)定期测试凭证防御体系,识别薄弱环节,确保安全控制措施按预期生效。
3. 增强行为检测能力
部署用户与实体行为分析(UEBA)工具,监测与凭证滥用、横向移动相关的异常活动(如 “非工作时间异地登录”“短时间内跨多设备访问”)。
4. 加强数据泄露防护(DLP)
- 监控并审查出站流量,及时发现数据窃取迹象(如大量敏感文件批量导出);
- 确保 DLP 措施已部署到位且有效运行,保护敏感信息(如个人身份信息 PII、商业机密)不被未授权外传。
填补凭证与密码管理的漏洞
《2025 年蓝色报告》的发现表明,遗憾的是,许多企业仍无法抵御密码破解与账户泄露这一 “隐蔽威胁”。尽管强化边界防护仍是企业的优先事项,但显而易见的是,核心安全漏洞存在于凭证管理与内部控制环节。报告还强调,信息窃取器与勒索软件团伙正充分利用这些漏洞发起攻击。
若你已准备采取主动措施加固安全体系、降低暴露风险、优先修复关键漏洞,《2025 年蓝色报告》将提供极具价值的洞见,帮你明确防御重点。Picus Security 也随时愿意为企业提供支持,助力解决特定的安全需求。
别忘了获取《2025 年蓝色报告》完整版,从现在开始采取主动行动,提升企业安全水平。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
