2025 年,多起事件表明,攻击链的起点正在前移。相比利用0Day漏洞或复杂漏洞链,攻击者越来越倾向于通过已泄露的员工账号密码、被窃取的令牌、内部人员或被钓鱼员工的合法权限等方式获得初始访问权限。
这类访问方式有一个共同特点:在技术层面,它们往往不会触发入侵告警,因此入侵成功率更高,失败成本更低,且不依赖漏洞,不受补丁影响,更容易绕过基于漏洞的检测体系。
2025 年发生的多起政府机构、金融机构、跨国企业邮箱与内部系统被滥用事件,均呈现出这一特征。
2025年7月,全球领先的IT分销商 Ingram Micro(英迈) 遭受勒索攻击。在这起事件中,攻击者未动用任何系统漏洞,而是利用社会工程学手段获取了内部凭据。
通过在深夜对管理员账号发起密集的验证请求,诱使疲惫的员工误点击“允许”。这起事件导致英迈约3.5TB的敏感数据外泄,且由于核心供应链流程受阻,每日收入损失约1.36亿美元。
这种转变标志着勒索攻击正从单纯的技术博弈进入到策略对抗的新阶段。
供应链风险进一步加剧
2025 年,多起大规模数据泄露事件并非直接发生在企业自身网络中,而是源于第三方业务系统、外包运维平台、协作系统、ERP、供应链管理系统等。
以罗技数据泄露事件为例,攻击并未对其核心业务系统造成破坏,但第三方系统中的数据被窃取,并最终在暗网流出约 2TB 数据包。
这类事件反映的并不是企业安全意识不足,而是企业对第三方系统缺乏技术控制能力。这体现在:
不清楚第三方系统中实际存储了哪些公司数据
无法实时掌握第三方的漏洞与暴露状态
即便发现异常,也难以快速判断数据是否已被完整导出
传统合规审计难以覆盖运行过程中的真实风险
当攻击发生在第三方,企业既是受害者,又是责任承担方。而攻击者恰恰看中了这一点进行勒索和施压。
数据泄露成为核心勒索筹码
2025 年,一个更加明显的趋势是:越来越多勒索攻击不再以加密系统为主要手段。
攻击者直接以数据泄露为核心进行勒索,甚至在企业尚未确认异常前,数据就已被完整打包并转移。这类攻击对企业造成的影响,往往比加密勒索更为持久,即使业务系统恢复,合规、法律、声誉风险等风险也并未结束。
甚至在多起无加密勒索事件中,即便企业选择支付赎金,也无法验证攻击者是否彻底删除数据副本。
合法工具正在被黑客滥用
通过对2025年多起安全事件的观察发现,攻击行为开始不再依赖于通过恶意软件传播,而是直接使用系统和运维环境中原本就存在的功能完成加密、破坏和控制。这种方式的隐蔽性并不来自技术复杂度,而来自其合理性。
以罗马尼亚国家水务局遭攻击事件为例,黑客在获取权限后,直接启用了Windows系统自带的BitLocker功能对磁盘实施加密。由于BitLocker本身是系统合法的安全工具,传统的终端检测系统很难将其判定为恶意行为。
这一趋势反映出一个更现实的问题:在高度统一、自动化程度较高的 IT 环境中,系统自身的管理能力本身就具备破坏潜力。当这些能力被错误使用时,其影响范围往往远超传统勒索手段。对企业而言,防御的重点也不再只是阻止非法程序运行,而是识别合法权限被异常放大的行为。
总得来看,2025 年的网络攻击并未显著变得更高端,但却使企业的处境变得更加被动。在这一趋势下,企业面临的核心挑战已不只是防漏洞,而是如何管住凭证、限制权限滥用,并建立对第三方和内部行为更有效的安全约束体系。
