2024年度威胁报告：网络安全设备成黑客首选突破口

根据Darktrace最新发布的年度威胁报告，2024年最严重的网络攻击事件大多与防火墙及安全边界技术中的软件漏洞有关。原本应当充当企业防线的网络安全设备，竟然成了黑客眼中的“香饽饽”？

黑客策略升级：专攻安全厂商“软肋”

Darktrace的威胁研究人员发现，在过去一年里，黑客最青睐的漏洞攻击目标，主要集中在Ivanti Connect Secure和Ivanti Policy Secure设备，以及Fortinet和Palo Alto Networks的防火墙产品上。这些网络安全设备肩负着企业网络的“护城河”重任，但却因为自身漏洞，成为攻击者入侵企业系统的跳板。

更令人警惕的是，这些安全厂商的产品，竟然占据了Darktrace观测到的六大最常被利用漏洞中的四席：

• 影响Ivanti产品的两大漏洞（CVE-2023-46805和CVE-2024-21887）
• Palo Alto Networks防火墙PAN-OS的三大漏洞（CVE-2024-3400、CVE-2024-0012和CVE-2024-9474）
• Fortinet FortiManager的漏洞（CVE-2024-47575）

换句话说，企业在构建安全防线时，首先倒下的可能就是自己花大价钱购买的安全设备。

Darktrace威胁研究副总裁Nathaniel Jones直言不讳：“这些（网络安全）设备就像你家大门前的摄像头，一旦被攻破，攻击者就能大摇大摆地进门。”

更可怕的是，黑客并没有选择绕开企业安全防护，而是直接瞄准了安全设备本身。一旦攻破这些设备，就等于绕开了所有预设的检测系统。

国家级黑客与“脚本小子”联手出击，零日漏洞是主战场

Darktrace的研究显示，国家级黑客通常掌握最多的资源，因此往往是零日漏洞攻击的幕后推手。但这些漏洞一旦曝光，很快就会被以盈利为目的的犯罪团伙利用，进行大规模的自动化攻击。Jones强调：“企业应对这些漏洞的修补时间正在不断缩短，稍有迟疑，就可能成为下一个受害者。”

此外，攻击者还热衷于利用“活跃环境攻击”手法——也就是在被攻陷的设备上窃取凭证、创建新账户，并在企业网络中长期潜伏。

边界设备成重灾区

根据Darktrace的研究数据，去年上半年，有40%的恶意活动利用了互联网暴露设备的漏洞。而在2024年下半年，信息窃取类恶意软件的攻击量激增，成为Darktrace观测到的最主要攻击行为。

Darktrace基于近10,000家客户的安全数据，分析了当前全球最活跃的网络威胁。这份报告提醒所有企业，面对快速演变的网络安全形势，再不重视安全设备自身的防护，企业可能连自己是怎么“破防”的都不知道！

参考链接：

http://www.darktrace.com/resources/annual-threat-report-2024