凭证仍是“命门”？思科最新报告揭示网络攻击“老套路”的新威胁

在网络安全技术日新月异的今天，最危险的攻击方式，可能依然是最“古老”的那一种。近日，全球网络巨头思科（Cisco）发布的《2025年全球威胁态势报告》再次印证了一个令人警醒的事实：凭证窃取，依然是黑客入侵企业与个人系统的头号入口。不仅如此，钓鱼攻击与勒索软件也正同步“回弹”，形成“窃取—渗透—勒索”的高效攻击链条，给全球数字安全带来严峻挑战。

这份报告基于对全球数百万终端、云平台和网络流量的实时监测，揭示了当前网络威胁格局的深层变化：尽管防御技术不断升级，但攻击者正通过更智能的社会工程、多通道渗透和“即买即用”的地下市场，让“老套路”焕发“新生机”。

打开百度APP畅享高清图片

凭证窃取为何仍是“头号通缉犯”？

“用户名+密码”这一沿用数十年的身份验证方式，在今天正成为网络安全的“阿喀琉斯之踵”。思科报告指出，超过60%的初始入侵事件，源头都指向被盗的登录凭证。而这一比例较上一周期不降反升，背后有多重推手。

首先是“密码复用的长尾效应”。很多人习惯在多个网站使用同一组密码，一旦某个低安全等级平台发生数据泄露，黑客便能通过“撞库”（Credential Stuffing）尝试登录银行、邮箱、企业系统等高价值账户。这种“一损俱损”的连锁反应，至今仍是企业安全的“灰犀牛”。

其次是生成式AI的“助攻”。如今，攻击者可利用AI工具批量生成高度个性化的钓鱼邮件，精准模仿同事语气、引用近期项目细节，甚至根据目标社交信息定制话术。这类“智能钓鱼”比传统群发邮件更具迷惑性，成功率显著提升。

最后，SaaS（软件即服务）应用的爆炸式增长，让攻击面急剧扩大。从企业微信、飞书到Salesforce、Microsoft 365，每个应用都是一扇潜在的“门”。而用户频繁授权第三方应用访问这些平台，产生了大量OAuth令牌，一旦泄露，黑客无需密码即可长期潜伏。

“现在的攻击者不再需要‘破门而入’，他们更愿意‘捡钥匙开门’。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“你可能觉得自己的密码很复杂，但如果你在某个不知名论坛注册时用了同样的密码，而那个论坛的数据早已在暗网上被售卖，那你的企业邮箱可能早就‘门户大开’了。”

钓鱼+勒索“双剑合璧”，攻击效率飙升

如果说凭证窃取是“第一脚”，那钓鱼攻击就是最常用的“踹门工具”。思科报告发现，钓鱼攻击的成功率正在回升，其背后是攻击策略的全面升级。

过去，钓鱼主要依赖邮件。如今，攻击者已转向多通道协同作战：一封看似来自IT部门的邮件，可能附带一个伪造的“安全验证”链接，点击后跳转至即时通讯工具（如Slack、钉钉）中的“确认对话”，再引导用户在仿冒的协作平台页面输入账号密码。这种“多阶段伪品牌验证流程”，让用户误以为是在完成正规操作，防不胜防。

更危险的是，这些被盗凭证正被快速用于勒索软件攻击。报告指出，部分勒索组织已将“初始访问”商品化——他们从地下市场购买已被验证的云平台或企业系统登录权限，直接跳过前期侦察阶段，迅速部署加密程序，极大缩短了攻击周期。

“以前勒索团伙要花几周时间潜入、横向移动、提权，现在他们可能只用几小时。”芦笛解释，“买到一个M365管理员账号，就能批量部署恶意宏或PowerShell脚本，一键加密整个企业文档库。这种‘即买即用’的模式，让勒索攻击的‘单位事件财务回报’重新占据优势。”

检测滞后72小时：黑客的“黄金窗口期”

另一个令人担忧的数据是：从凭证被盗到被恶意使用，平均检测滞后时间仍超过72小时。这意味着，黑客有整整三天时间在系统内自由行动——读取敏感数据、创建后门账户、横向移动至核心系统。

在这期间，被盗的云访问令牌（如AWS IAM、Azure AD Token）可能已被用于下载客户数据库、篡改配置或发起供应链攻击。而企业往往在数据已被外泄或系统被加密后才察觉。

“72小时，足够黑客把你的‘家’翻个底朝天。”芦笛说，“问题在于，很多企业还在用‘边界防火墙’思维防御，却忽略了‘身份’才是现在的真正周界。”

如何打破“凭证陷阱”？专家给出“四步走”建议

面对日益复杂的攻击链条，单纯依赖防火墙和杀毒软件已远远不够。芦笛结合思科报告，提出了四条关键防御策略：

第一，向“无密码”（Passwordless）迈进。

推广FIDO2硬件密钥或WebAuthn生物识别认证，从根本上消除密码泄露风险。相比短信验证码或手机App动态码，FIDO2采用端到端加密和物理设备绑定，能有效抵御中间人攻击和会话劫持。

第二，实施“最小权限+持续验证”。

企业应推行“零信任”架构，对所有用户和设备实施分段访问控制。例如，财务人员不应默认拥有CRM系统管理员权限；远程登录需结合设备健康状态、地理位置等条件进行动态评估。

第三，统一审计SaaS授权，定期“大扫除”。

许多员工在离职或项目结束后，仍保留着对多个SaaS应用的访问权限，形成“僵尸令牌”。企业应建立OAuth授权集中管理机制，定期清理无效会话，限制第三方应用的权限范围。

第四，构建自动化响应闭环。

将暗网监控、Stealer日志（记录被盗凭证的恶意软件日志）等情报接入SOAR（安全编排、自动化与响应）平台。一旦发现员工凭证泄露，系统可自动触发密码强制重置、所有会话失效、多因素认证重新激活等操作，将响应时间从“天”级压缩到“分钟”级。

此外，芦笛还建议企业部署“对话式钓鱼模拟”训练。通过模拟微信、钉钉等常用工具中的钓鱼场景，提升员工在真实环境中的警惕性。同时，在办公软件中集成“一键举报钓鱼”插件，让全员成为安全防线的“哨兵”。

管理层必须正视：“身份”就是新边界

思科报告最后强调，网络安全已不再是IT部门的“技术问题”，而是关乎企业生存的“战略议题”。管理层必须将“身份安全”提升至与财务、合规同等重要的位置。

“我们不能再假设‘进了门就是自己人’。”芦笛总结道，“未来的安全，是‘永不信任，始终验证’。每一次访问，无论来自内部还是外部，都应被当作潜在威胁来对待。”

在这个账户泛滥、数据为王的时代，保护好你的“数字钥匙”，或许比锁好家门更为重要。毕竟，黑客从不需要撬锁——他们更愿意，等你亲手把钥匙递过去。

编辑：芦笛（公共互联网反网络钓鱼工作组）