文章总结： 文档分析了2025年勒索攻击新趋势，指出AI赋能攻击链、无加密勒索兴起及供应链攻击扩大。传统被动防御已失效，企业需向主动防御转型，核心在于建立威胁可见性。建议实施攻击者视角审视、执行3-2-1-1备份原则、引入持续威胁暴露面管理等措施，以应对高维度的商业勒索打击。 综合评分： 85 文章分类： 安全建设,解决方案,威胁情报

感觉良好？2025年，你的“基础防御”已成勒索攻击的舒适区

原创

GJ GJ

网络与信息安全参考

2026年3月5日 17:43 山东

当攻击者用AI规划路径、用法律武器施压时，传统的防火墙与杀毒软件，正在沦为这场不对称战争中的背景板。

      2025年，一起教科书般的勒索攻击，击穿了一家部署了“完善”安全设备的企业。攻击者并未使用高深的零日漏洞，而是利用一个已公开数月的OA系统漏洞获得初始权限。进入内网后，他们并未急于行动，而是潜伏了三周。期间，他们像内部员工一样，使用合法工具进行横向移动，精准定位了财务服务器与研发代码库，悄无声息地窃取了数TB核心数据。最终，在周末凌晨，一键加密了核心生产系统与备份服务器。留下的，不止是勒索信，还有一份详尽的数据泄露分析报告，明确指出哪些数据违反GDPR，并威胁将向监管机构举报。

01 剧变：2025勒索攻击的三大升维打击

      过去，我们认知中的勒索软件，或许还停留在“病毒传播、加密文件、索要比特币”的层面。但2025年的现实是，它已演变为一场由专业化犯罪企业发起的、融合了技术突破、商业洞察与法律武器的复合型商业打击。

      首先，攻击的“大脑”被AI重塑。 根据安全牛《AI时代勒索软件威胁与防护技术应用指南》分析，AI已深度赋能攻击全链条。攻击者利用生成式AI批量制造难以辨别的钓鱼邮件，成功率大幅提升；更关键的是，AI能自动分析企业网络拓扑、识别安全薄弱点，并实时规划最优攻击路径，使攻击如手术刀般精准。

其次，勒索的“商业模式”发生根本性转变，“无加密勒索”兴起。 思而听Solar团队的年度报告揭示了一个显著趋势：攻击者开始放弃复杂的加密环节。他们只需窃取数据，然后威胁公开。这种模式成本更低、更隐蔽，且直接击中企业的合规软肋与声誉命门。2024年，全球无加密勒索攻击占比已达68%，成为主流。

      其三，攻击的“杀伤半径”从单点延伸至全产业链。 攻击者不再满足于加密一家公司。他们瞄准供应链核心企业、云服务商或托管服务提供商（MSP）。一旦攻破，便能“单点突破，全链瘫痪”，以此胁迫上下游多家企业支付赎金，勒索的杠杆效应与破坏力被无限放大。

#

02 失效：为何传统防御的“自信”正在崩塌？

    面对这种升维打击，许多企业建立在“滑动标尺模型”第二阶（基础安全） 的自信，正显得摇摇欲坠。滑动标尺模型将网络安全能力分为五个阶段：架构安全、被动防御、主动防御、威胁情报和进攻反制。许多企业停留在被动防御阶段，即部署防火墙、IDS、杀毒软件等，并认为“已经做了足够的安全投入”。

 然而，2025年的勒索攻击，恰恰绕过了这些静态、基于已知特征的防御。

• 你的防火墙，挡不住利用合法凭证的横向移动。
• 你的杀毒软件，识别不出AI动态生成的恶意代码变种。
• 你的入侵检测，可能将攻击者使用企业合规工具（如PsExec、Rclone）的行为视为正常。
• 你的备份系统，可能早已被潜伏的攻击者锁定并加密。

      更致命的是，这种被动防御模式导致严重的威胁可见性缺失。攻击者在内网长达数周的活动，如幽灵般穿梭，安全团队却可能一无所知，直到加密发生的那一刻，才惊觉已身处灾难之中。

真正的危机，不在于攻击发生了，而在于攻击发生时，你一无所知。 在“滑动标尺”上，未能建立有效威胁可见性的被动防御，实际上是一种虚假的安全感，它让企业暴露在最大的风险之下。

网络安全滑动标尺模型：架构、产品选型与安全运营实践

#

#

03 破局：从“被动告警”转向“主动看见”

      要打破僵局，企业必须将安全能力建设的重心，从滑动标尺的第二阶（被动防御），坚决地推向第三阶（主动防御）。其核心跃迁，在于从等待“告警”到主动获得“威胁可见性”。

威胁可见性，意味着你能看清：

• 资产中是否存在异常账户、隐蔽后门？
• 网络内部是否存在异常的横向连接、数据外传？
• 核心数据是否被异常访问、批量读取？
• 那些看似合法的工具，是否在执行不合规的指令？

实现这种可见性，需要构建三层关键能力：

1. 身份与权限的持续可见 攻击的起点与支点往往是身份。必须建立对所有身份（人、设备、应用） 及其权限、访问行为的持续监控与分析能力。任何异常登录、权限提升、凭证滥用，都应被即时发现。这是遏制横向移动的基石。

2. 网络内部活动的深度可见 加密前的数据窃取、横向移动，必然会在网络流量中留下痕迹。需要通过网络检测与响应（NDR）、加密流量分析等技术，洞察东西向流量的异常，绘制出内部攻击链的图谱，在数据渗出或加密发生前进行阻断。

3. 端点行为的精准可见 传统的基于特征的杀毒已不足够。下一代端点防护（EDR）应能基于行为分析，识别进程的异常操作序列（如大量文件重命名、连接加密算法库等），即使它是从未见过的恶意软件变种或合法工具滥用。

将这些点的可见性关联起来，就构成了“扩展检测与响应（XDR）”——它打通了端点、网络、身份、云等多维数据，能自动关联碎片化告警，还原出从入侵到加密的完整攻击故事线，让防御者从疲于应付的“警报员”，转变为掌控全局的“分析师”。

从国家授时中心被攻击，看现代安全运营的三大核心能力

#

#

#

04 行动：构建主动免疫体系的三个起点

转变并非一蹴而就，但可以从三个务实起点开始：

第一，立即进行“攻击者视角”的暴露面审视。 暂时忘掉你的防火墙策略列表，像攻击者一样思考：你的企业有哪些资产暴露在互联网上？VPN、OA、远程管理端口是否存在未修补的高危漏洞？这比部署任何新设备都更紧迫。

第二，将备份从“IT流程”升级为“安全生命线”。 严格执行 “3-2-1-1”备份原则：3份副本，2种介质，1份异地，其中1份必须是不可变（Immutable）或离线备份。并定期进行恢复演练，确保这条生命线在关键时刻绝对可靠。

第三，引入“持续威胁暴露面管理”（CTEM）与“攻击面管理”（ASM）能力。 这不是一次性的扫描，而是持续、自动化地发现、评估、修复和监控从外部可见的所有资产、漏洞和风险点。确保你的防御视角，始终与攻击者同步。

卡巴斯基扩展数字足迹智能，新增外部攻击面模块

      2025年，勒索攻击的剧本已被重写。它不再是技术漏洞的利用，而是商业逻辑的对抗、响应速度的比拼与认知维度的碾压。当攻击者用AI规划路径、用法律武器施压时，继续在被动防御的舒适区建立自信，无异于在数字洪水中用沙袋筑坝。

      真正的安全，始于承认威胁的未知，成于建立先于攻击的看见。是时候，将安全的标尺，坚定地推向主动防御的那一端了。

本文内容参考数世咨询&360、安全牛和Solar应急响应团队报告：

2025年全球十大勒索软件攻击事件盘点

AI 时代勒索组织新特征：自动化攻击链与多重勒索的攻防博弈

Solar应急响应团队 2025勒索软件威胁态势报告（534起实战案例深度复盘 · 近六万字完整版）

更多 卡巴斯基 APT检测与响应，以及 SOC 运营 解决方案详情，请联系：

高  进 – 186 6376 1060****

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络与信息安全参考 GJ GJ《感觉良好？2025年，你的“基础防御”已成勒索攻击的舒适区》