Verizon发布新报告 漏洞依然是网络攻击者入侵企业的头号途径

本次调研共计分析 3.1 万起安全事件，其中包含 2.2 万起已确认的数据泄露案例，受害主体覆盖全球 145 个国家。多名应急响应领域专家均证实，借助漏洞入侵企业的行为确实呈明显上升趋势。

 

渗透测试平台Pentest-Tools.com安全负责人丹尼尔・贝切内亚表示：攻击者向来倾向于选择成本最低的入侵路径。如今，未打补丁的边界设备成为其首选目标，利用设备上的漏洞无需提前获取权限、无需实施钓鱼、也不用购买泄露数据。

 

他认为，高危漏洞数量持续增长，而已知漏洞的补丁修复进度滞后，最终让漏洞利用取代凭据滥用，成为主流攻击手段。

 

报告数据还显示，2025年美国CISA公布的已知在野利用漏洞中，仅26%完成全量修复，较上一年的38%进一步下滑；与此同时，企业需要处置的高危漏洞数量同比激增50%。

 

安全服务商Bridewell则表示，身份体系依旧是攻防对抗的核心卡点。漏洞虽然如今成为突破防线的 “第一道门”，但在我们处置的绝大多数入侵事件里，被盗凭据仍贯穿攻击全程，主要被用于内网横向移动、窃取核心数据。

 

报告还显示，钓鱼攻击造成初始入侵的占比为16%，与去年持平；借故诱骗类攻击占比 6%，该手段在勒索与敲诈攻击中愈发常见。

 

Bridewell补充表示，凭据滥用占比看似下降，部分原因源于统计口径：凭据窃取和借故诱骗两类攻击边界逐渐模糊，并非实际风险降低。

 

随着企业越来越多地引入外部供应商，攻击者也将目标瞄准供应链。报告统计，涉及第三方的安全事件占比已达全部案例的48%。

 

这份已连续发布 19 年的调查报告，是业内公认的数据泄露标杆研究。其他机构的调研结果也印证了相关趋势。例如，谷歌云安全最新发布的《云威胁态势报告》同样指出，攻击者正转向利用未修复的第三方软件漏洞，而非单纯依赖弱口令或被盗凭据。《云威胁态势报告》数据显示，软件漏洞是占比最高的初始入侵途径，在事件中占比达 44.5%，已超越凭据滥用。

 

尽管本次Verizon报告采用的是 2025 年数据，时间早于新一代前沿AI模型落地，但通过复盘大量安全事件不难发现，网络犯罪团伙早已开始借助AI实施攻击。

 

Verizon警示：不法分子利用AI大幅缩短已知漏洞的利用耗时，原本长达数月的防御窗口期，如今被压缩至短短数小时。

 

谷歌威胁情报小组近期也公布证据，证实已有网络犯罪组织借助 AI 成功挖掘并实现零日漏洞利用。

 

托管安全服务商Huntress结合报告结论，建议企业安全负责人尽快优化漏洞管理与身份安全体系。

 

Huntress表示：漏洞利用、凭据窃取、多渠道社工攻击、供应链入侵正被攻击者大规模同步使用。只有搭建纵深防御体系，全面应对各类攻击路径，企业才能有效抵御风险。建议企业摒弃固定周期的补丁机制，因为这类做法会让漏洞长期暴露在风险中，转向基于风险、持续动态的管理模式，并结合实时漏洞利用情报开展工作。

 

微分段与入侵隔离厂商Illumio认为，即便企业补丁能力有所提升，待修复漏洞的积压规模增长速度，依旧远超安全团队的处置能力。漏洞数量暴涨是多重因素叠加所致：AI助力漏洞挖掘、企业大量采用第三方组件与开源代码、联网设备持续增多，再加上如今漏洞披露机制更加活跃、激励政策更为完善。

 

报告显示，近半数（48%）数据泄露事件涉及勒索软件，较去年 44% 略有上升，但受害者支付赎金的比例有所下降，69% 的受害企业选择拒绝付款。

 

网络安全企业Atsign认为，赎金支付意愿下滑，倒逼勒索团伙转变牟利模式。“既然受害者不再愿意为解密密钥付费，攻击者便将重心转向数据窃取与公开敲诈。”勒索软件团伙发起大量低成本、自动化攻击，靠提升攻击数量弥补单笔收益的不足，而 AI 技术进一步放大了这种模式的获利空间。

 

Bridewell则持有不同看法。他表示，勒索团伙的入侵能力并未减弱，但向受害者索要赎金的难度明显加大。“拒付赎金比例上升，说明企业安全建设取得了实质进展，并非攻击者实力下降。如今多数企业完成了备份演练与故障恢复预案，即便系统被加密，也有底气拒绝支付赎金。”与此同时，报告也证实，即便遭遇系统加密，拒绝付款的案例也在不断增加。

 

赎金支付率走低，使得攻击者变本加厉地破坏企业正常运转，以此逼迫受害者妥协。英国知名零售商玛莎百货就曾遭遇勒索攻击，系统停运数周，造成巨额经济损失。攻击者的施压手段，已经从 “掌握你的数据” 转变为 “让你的业务彻底停摆”。对于关键服务类企业而言，业务中断带来的打击更为致命。