根據Darktrace最新發布的年度威脅報告，2024年最嚴重的網絡攻擊事件大多與防火墻及安全邊界技術中的軟件漏洞有關。原本應當充當企業防線的網絡安全設備，竟然成了黑客眼中的“香餑餑”？

黑客策略升級：專攻安全廠商“軟肋”

Darktrace的威脅研究人員發現，在過去一年里，黑客最青睞的漏洞攻擊目標，主要集中在Ivanti Connect Secure和Ivanti Policy Secure設備，以及Fortinet和Palo Alto Networks的防火墻產品上。這些網絡安全設備肩負著企業網絡的“護城河”重任，但卻因為自身漏洞，成為攻擊者入侵企業系統的跳板。

更令人警惕的是，這些安全廠商的產品，竟然占據了Darktrace觀測到的六大最常被利用漏洞中的四席：

• 影響Ivanti產品的兩大漏洞（CVE-2023-46805和CVE-2024-21887）
• Palo Alto Networks防火墻PAN-OS的三大漏洞（CVE-2024-3400、CVE-2024-0012和CVE-2024-9474）
• Fortinet FortiManager的漏洞（CVE-2024-47575）

換句話說，企業在構建安全防線時，首先倒下的可能就是自己花大價錢購買的安全設備。

Darktrace威脅研究副總裁Nathaniel Jones直言不諱：“這些（網絡安全）設備就像你家大門前的攝像頭，一旦被攻破，攻擊者就能大搖大擺地進門。”

更可怕的是，黑客并沒有選擇繞開企業安全防護，而是直接瞄準了安全設備本身。一旦攻破這些設備，就等于繞開了所有預設的檢測系統。

國家級黑客與“腳本小子”聯手出擊，零日漏洞是主戰場

Darktrace的研究顯示，國家級黑客通常掌握最多的資源，因此往往是零日漏洞攻擊的幕后推手。但這些漏洞一旦曝光，很快就會被以盈利為目的的犯罪團伙利用，進行大規模的自動化攻擊。Jones強調：“企業應對這些漏洞的修補時間正在不斷縮短，稍有遲疑，就可能成為下一個受害者。”

此外，攻擊者還熱衷于利用“活躍環境攻擊”手法——也就是在被攻陷的設備上竊取憑證、創建新賬戶，并在企業網絡中長期潛伏。

邊界設備成重災區

根據Darktrace的研究數據，去年上半年，有40%的惡意活動利用了互聯網暴露設備的漏洞。而在2024年下半年，信息竊取類惡意軟件的攻擊量激增，成為Darktrace觀測到的最主要攻擊行為。

Darktrace基于近10,000家客戶的安全數據，分析了當前全球最活躍的網絡威脅。這份報告提醒所有企業，面對快速演變的網絡安全形勢，再不重視安全設備自身的防護，企業可能連自己是怎么“破防”的都不知道！