恶意软件检测
Windows 仍然是占比最大的攻击目标,Linux 也越来越多地成为了攻击者青睐的目标。
检测到的恶意软件中,绝大多数都是木马:
Yara 检测最多的恶意软件家族为 CobaltStrike、Metasploit:
端点行为
按操作系统统计端点告警数量,超过九成的告警都是 Windows 平台产生的:
按战术阶段进行划分,防御规避战术阶段的告警数量遥遥领先:
Windows 平台中最常见的防御规避技术是进程注入:
Linux 平台中最常见的防御规避技术是削弱防御,例如禁用防火墙、卸载内核模块等:
macOS 平台中最常见的防御规避技术是反射代码加载:
云安全
云环境中的战术阶段最多的是凭据访问、初始访问和持久化:
按云服务提供商划分,Azure 数量最多(注:微软数据为 Azure+Microsoft 365 的数据):
在 Azure 中最多的是凭据访问:
在 AWS 中最多的是防御规避:
在 Google Cloud 中最多的是持久化:
2025 年预测
攻击者将会加大防御规避的力度,尤其是阻碍检测可见性的技术
删除日志仍然是干扰容器和服务器基础设施可见性的低成本方法
暴露的凭据会越来越多地导致数据暴露或未授权访问
CSP资源宽松可能导致未来的数据暴露
生成式人工智能将带来新的遥测数据收集范式并识别新威胁
云服务提供商将改进默认安全配置