Check Point：2025年网络安全报告.pptxVIP

;目录;;;安全事件;;;;;0网络安全;虚假信息与影响力行动;;2024年，黑客活动突显了网络空间中联盟和影响力不断变化的动态，反映了东西方之间的地缘政治紧张局势。像“HolyLeague”这些联盟往往反映了现实世界的发展。这些团体通过反复声明合作来强调他们的统一战线，试图在日益复杂的现代网络冲突格局中持续吸引关注、增强其心理影响并扩大全球影响力。;网络驱动的金融战;;;医疗保健行业遭受攻击

勒索软件团体转向以医疗保健组织为目标，突显了先前既定的“道德”准则的逐渐衰落。在新冠疫情的最初几个月，许多RaaS运营商公开宣布医院和医疗提供者是禁区。然而，随着时间的推移，这些限制逐渐减弱。一些RaaS管理员采取了一种更微妙的方法。虽然他们不鼓励直接破坏医疗保健服务，比如对关键系统进行加密，但他们允许窃取敏感的医疗数据。附属机构随后可以通过威胁泄露患者信息来勒索受害者，并向医疗保健实体施压要求付款，而不会直接危及患者。;;OMERDEMBINSKY

数据研究集团经理;在我们审视2024年的网络态势时，信息窃取软件成为了焦点。这不仅是由于其方法和策略的演变，还因为更广泛的犯罪生态系统已经成熟和专业化，使得这些威胁更具效力。信息窃取软件之所以获得了强大的力量，是因为它们能够高效管理、快速处理和出售大量日志。它们是全面入侵企业网络的第一步。信息窃取软件传播的一个关键方面在于，它主要依靠“广撒网碰运气”的方法，而非直接针对企业网络。尽管采取了这种策略，但其主要目标之一是获取用于访问BYOD（自带设备）上企业资源的凭证。CheckPoint旗下的Cyberint公司报告称，信息窃取软件感染的设备中超过70%是个人设备，而非企业或托管设备。;;;露很可能始于信息窃取软件提取并在网上出售的凭证。;;云安全管理的复杂性;;MICHAELABRAMZON

威胁情报与研究架构师;传统上，边缘设备一直是受国家支持的行为者的主要关注点。然而，网络犯罪集团也在愈发将这些资产作为目标，采用类似的策略来获取经济利益。;今年，随着攻击者继续将其用于更广泛的网络渗透，企业边缘设备面临的零日漏洞利用日益增多。2024年初，在IvantiConnectSecure和PaloAltoNetworks的PAN-OSGlobalProtect中发现了高严重性漏洞，允许远程代码执行和多因素绕过。国家行为者和勒索软件组织都利用这些设备作为访问和破坏敏感环境的切入点。由于这些边缘设备在主网络流中起着关键作用，不容易进行补丁修复，因此边缘设备中的此类零日漏洞利用会产生重大后果。对边缘设备进行补丁修复可能会导致网络服务暂时关闭，从而带来相当大的运营损失和其它后果。;LOTEMFINKELSTEIN

威胁情报与研究总监;0全球分析;;;每个组织遭受的攻击次数;;它们能压缩恶意有效载荷并混淆其内容，使安全解决方案更难对其进行分析。;全球恶意软件统计数据;多用途恶意软件全球分析;图16-全球主要信息窃取恶意软件–2024年。;图20-全球主要加密货币挖矿恶意软件–2024年。;图24-全球主要移动终端恶意软件–2024年。;就地理分布而言，今年受影响的公司有50%在美国，其次是英国占6%，加拿大占5%，德国和意大利各占3%。;;全球漏洞;;视角;本部分基于从广泛的CheckPoint事件响应团队(CPIRT)的事件调查和缓解案例中收集的经验和数据。与其它部分不同，这里呈现的数据来自触发事件报告的实际案例研究，不仅限于CheckPoint产品用户。大多数攻击成功入侵了目标，为我们提供了一个关于威胁形势和组织在主动攻击期间面临的实际挑战的不同视角。;对由MITREATTCK策略触发的安全警报进行细分后发现，命令和控制(C2)通信是事件响应最常见的触发因素。与C2通信相关的恶意活动通常可以通过相对简单的手段被检测到，例如入侵指标(IoC)、可疑的网络特征或异常的出站流量模式等。此外，检测这些活动的安全解决方案，如入侵防护系统(IPS)和防僵尸网络/防病毒(AB/AV)模块，在各行业中都已经得到了广泛应用。这些工具提高了对C2行为的可见性，并促成了此阶段的高检测率。;案例研究：

对政府CERT关于数据泄露的警报做出响应

2024年10月，一个欧洲政府的CERT警报触发了CPIRT的一个案例，表明该组织的一个IP地址正在向与命令和控制(C2)活动相关的一个IP传输大量数据。所提供的IP地址是该组织的外部NATIP，促使SOC团队和CPIRT调查防火墙和DNS日志，以确定网络上负责数据传输的特定设备。

调查