近日，WatchGuard发布的《2024 Q3全球威胁报告》揭示了网络边界失守，导致端点恶意软件检测量激增300%。这一最新变化主要源于攻击者利用合法网站或文档掩护，通过钓鱼邮件、恶意链接或伪装附件等手段，结合社会工程学攻击，诱导用户下载执行恶意代码，轻易绕过边界防护直达用户终端。

赤豹终端安全研究院基于过去一年的持续监测、分析及行业报告，也给出了综合研判：

一、威胁趋势核心数据与演化特征

1. ‌终端恶意软件爆发式增长‌
‌检测量环比激增300%‌‌，攻击者利用社会工程策略，将恶意代码植入合法文档及网站：
‌OneNote文件滥用‌：微软禁用Office宏后，攻击者转向OneNote文件分发Qbot僵尸网络，伪装为“订单确认”“发票”等诱饵‌。
‌WordPress插件漏洞利用‌：全球超4.8亿网站使用WordPress，攻击者通过插件漏洞植入SocGholish恶意软件，伪造“浏览器更新”提示诱导用户执行恶意代码‌。

2. ‌供应链攻击与OT系统威胁升级‌
‌供应链攻击常态化‌：62%的定向攻击通过软件更新通道渗透，开发工具链成高危目标‌。

3. ‌身份攻击与AI武器化‌
‌身份劫持技术迭代‌：MFA疲劳攻击增长81%，攻击者通过社会工程获取合法凭证，绕过零信任策略‌。

‌AI技术滥用‌：暗网中AI生成钓鱼内容、自动化漏洞挖掘工具交易量增长47%，降低低技能攻击者门槛‌。

二、威胁技术演进与防御缺口

（一）攻击技术特征

这些数据不仅令人警醒，更预示着网络安全防护工作正面临前所未有的挑战。

（二）关键行业暴露面
关键基础设施‌：能源、交通等OT系统遭定向攻击频次提升67%‌。
‌金融与医疗‌：信贷欺诈攻击增长42%，医疗数据泄露事件中81%源于API接口滥用‌。

三、防御体系优化建议(基于威胁数据验证)

面临如此严峻的网络威胁态势，企业应采取“纵深防御”方法，结合AI驱动的威胁检测和传统防恶意软件控制，快速应对老旧威胁并适应新挑战。

1. ‌终端防护强化‌

•‌ 文档沙盒检测‌：针对OneNote、PDF等高危文件类型，部署动态行为分析引擎，阻断无文件攻击‌。
• 实施应用程序控制白名单，禁用高风险脚本执行权限。
•‌ 供应链准入管控‌：建立软件物料清单（SBOM）自动化核验机制，覆盖200+开发工具链‌。

2. ‌身份与权限治理‌

•‌ MFA疲劳防御‌：设置单日认证尝试次数阈值，异常行为触发二次人工验证‌。
•‌ 最小化API权限‌：按业务需求动态调整API访问范围，阻断95%的横向渗透路径‌。

3、‌防御能力度量标准‌

• 参考MITRE ATT&CK框架评估终端对TTPs的检测覆盖率，建议基线值≥92%。‌
• 定期进行勒索攻击模拟演练，响应时效应≤15分钟。

4. ‌威胁情报协同 建立体系化防御

• 终端防护与网络流量分析、身份管理系统形成数据闭环；
• 构建威胁情报分钟级同步机制，实现跨安全组件联动阻断‌。‌
•‌ OT-IOC库建设‌：集成工业协议特征与攻击组织TTPs，提升ICS系统威胁检出率‌。
•‌ AI对抗能力‌：部署生成式AI诱捕系统，干扰攻击者自动化工具链‌。

关于赤豹  

「赤豹」作为江民科技旗下终端安全子品牌，以“精准防御、高效协同”为核心，构建了终端防护、流量监测、XDR分析与威胁对抗的立体化产品矩阵，形成“端、管、云”协同防御体系‌。

其技术架构包含三大核心层：

• ‌终端动态防护层‌：
第四代AI威胁引擎支持无文件攻击检测与内存防护，勒索软件阻断响应≤0.5秒‌；
国产化深度适配银河麒麟、统信UOS系统，指令集级优化降低60%资源占用‌。

•‌ 跨域协同层‌：
XDR平台实现终端、网络、云端威胁联动分析，提高用户自动化处置能力和效率70%‌；

•‌ 智能决策层‌：
依托赤豹终端安全研究院的全球威胁情报，构建全球APT组织TTPs规则库，2024年已成功阻断APT组织定向攻击23次。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课