2025年安全團(tuán)隊(duì)必須優(yōu)先考慮SaaS安全風(fēng)險(xiǎn)評(píng)估以發(fā)現(xiàn)漏洞，并采用SSPM工具持續(xù)監(jiān)控，主動(dòng)進(jìn)行系統(tǒng)防御。

2024年，針對(duì)SaaS的網(wǎng)絡(luò)威脅激增，僅在Entra ID中，每秒阻止的密碼攻擊頻次就高達(dá)7000次，比前一年增加了75%，釣魚(yú)攻擊嘗試增加了58%，造成了35億美元的損失（來(lái)源：Microsoft Digital Defense Report 2024）。黑客通常通過(guò)合法使用模式來(lái)規(guī)避檢測(cè)。

進(jìn)入2025年，安全團(tuán)隊(duì)必須優(yōu)先考慮SaaS安全風(fēng)險(xiǎn)評(píng)估以發(fā)現(xiàn)漏洞，并采用SSPM工具持續(xù)監(jiān)控，主動(dòng)進(jìn)行系統(tǒng)防御。

以下是2025年需要重點(diǎn)關(guān)注的SaaS威脅行為者：

1. ShinyHunters

攻擊風(fēng)格：精準(zhǔn)射擊（網(wǎng)絡(luò)犯罪組織）

最大受害者：Snowflake 、Ticketmaster 和 Authy

“爆炸性”事件：利用一處配置錯(cuò)誤，攻破了165多家組織。

2024年ShinyHunters以無(wú)情的SaaS漏洞攻擊席卷了整個(gè)網(wǎng)絡(luò)世界，泄露了包括Authy和Ticketmaster在內(nèi)的多個(gè)平臺(tái)的敏感數(shù)據(jù)。他們的攻擊并非利用供應(yīng)商的漏洞，而是抓住了 Snowflake客戶忽視的一處配置錯(cuò)誤。這些用戶并未啟用多因素認(rèn)證（MFA）或妥善保護(hù)其SaaS環(huán)境，因此，ShinyHunters能夠輕松滲透、竊取數(shù)據(jù)并勒索這些Snowflake用戶。

SaaS安全啟示：Snowflake事件暴露了客戶端的重大安全疏忽，而非供應(yīng)商的失誤。

企業(yè)未能強(qiáng)制執(zhí)行MFA 、定期輪換憑證或?qū)嵤┰试S列表，導(dǎo)致系統(tǒng)容易遭受未經(jīng)授權(quán)的訪問(wèn)。

2. ALPHV（BlackCat）

攻擊風(fēng)格：戰(zhàn)略操控（勒索軟件即服務(wù)，RaaS）

最大受害者：Change Healthcare 、Prudential（醫(yī)療保健與金融領(lǐng)域）

“爆炸性”事件： 與RansomHub的2200萬(wàn)美元退出騙局。

ALPHV，又名BlackCat，在2024年上演了年度最大膽的操作之一。在通過(guò)竊取的憑證從 Change Healthcare勒索了2200萬(wàn)美元后，他們竟然偽造了FBI查封的頁(yè)面，以誤導(dǎo)執(zhí)法機(jī)構(gòu)和合作伙伴。更戲劇的是，作為合作伙伴的RansomHub公開(kāi)指控ALPHV獨(dú)吞贖金并讓他們空手而歸，甚至分享了一筆比特幣交易作為證據(jù)。盡管遭到背叛，RansomHub仍公布了被盜數(shù)據(jù)，導(dǎo)致Change Healthcare既支付了贖金又失去了數(shù)據(jù)。

SaaS安全啟示：通過(guò)暗網(wǎng)監(jiān)控追蹤憑證泄露，并強(qiáng)制執(zhí)行單點(diǎn)登錄（SSO）以簡(jiǎn)化身份驗(yàn)證流程，降低憑證風(fēng)險(xiǎn)。

跟蹤身份驗(yàn)證活動(dòng)，盡早檢測(cè)到被泄露的憑證，并應(yīng)用賬戶暫停策略以防止暴力破解攻擊。

3. RansomHub

攻擊風(fēng)格：機(jī)會(huì)主義攻擊（勒索軟件即服務(wù)，RaaS）

最大受害者： Frontier Communications （電信與基礎(chǔ)設(shè)施領(lǐng)域）

“爆炸性”事件：卷入ALPHV 的2200萬(wàn)美元騙局風(fēng)波。

2024 年初，RansomHub從Knight Ransomware的廢墟中崛起，成為最活躍的勒索軟件團(tuán)伙之一。他們以機(jī)會(huì)主義策略而聞名，因與 ALPHV（BlackCat）的合作登上頭條。他們?cè)贑hange Healthcare事件中的角色影響了超過(guò)1億美國(guó)公民，突顯了他們利用SaaS漏洞（包括配置錯(cuò)誤、弱身份驗(yàn)證和第三方集成）的能力，并最大限度地?cái)U(kuò)大了自己的影響范圍和影響力。

SaaS安全啟示：警惕利用竊取的個(gè)人信息進(jìn)行的釣魚(yú)攻擊，這些攻擊更具欺騙性。

實(shí)施身份威脅檢測(cè)工具，監(jiān)控賬戶劫持跡象和用戶活動(dòng)異常，以便及時(shí)識(shí)別并響應(yīng)潛在的數(shù)據(jù)泄露。

4. LockBit

攻擊風(fēng)格：持續(xù)進(jìn)攻（勒索軟件即服務(wù)，RaaS）

最大受害者： Evolve Bank&Trust的供應(yīng)鏈效應(yīng)（金融科技領(lǐng)域）

“爆炸性”事件：FBI的“Cronos 行動(dòng)”未能徹底將其消滅。

盡管 FBI 和NCA（英國(guó)國(guó)家犯罪局）不斷努力摧毀其基礎(chǔ)設(shè)施，LockBit 在勒索軟件的“賽場(chǎng)”上仍然占據(jù)主導(dǎo)地位。針對(duì)Evolve Bank&Trust等金融科技公司的高調(diào)行動(dòng)，以及對(duì)Affirm和Wise等更多公司的供應(yīng)鏈影響，鞏固了LockBit作為SaaS攻擊聯(lián)盟中最穩(wěn)定進(jìn)攻者的地位。

SaaS安全啟示：優(yōu)先進(jìn)行第三方供應(yīng)商風(fēng)險(xiǎn)評(píng)估，并保持對(duì) SaaS 應(yīng)用連接的可視性，以便盡早發(fā)現(xiàn)潛在的利用路徑。

使用具備威脅檢測(cè)、 UEBA（用戶和實(shí)體行為分析）以及異常檢測(cè)功能的活動(dòng)監(jiān)控工具，實(shí)時(shí)發(fā)現(xiàn)可疑行為。

5. Midnight Blizzard（APT29）

攻擊風(fēng)格：防御性滲透（高級(jí)持續(xù)性威脅，APT）

最大受害者： TeamViewer （遠(yuǎn)程訪問(wèn)工具）

“爆炸性”事件：突破防線，開(kāi)展無(wú)聲間諜活動(dòng)。

這個(gè)組織得到了俄羅斯國(guó)家資源的支持，專門(mén)攻擊關(guān)鍵系統(tǒng)，2024年TeamViewer 成為其突出目標(biāo)。這個(gè)組織并不張揚(yáng)——不會(huì)留下勒索信或在暗網(wǎng)論壇上吹噓。相反，他們悄無(wú)聲息地竊取敏感數(shù)據(jù)，留下的數(shù)字足跡微乎其微，幾乎無(wú)法追蹤。與勒索軟件團(tuán)伙不同，像Midnight Blizzard這樣的國(guó)家支持組織專注于網(wǎng)絡(luò)間諜活動(dòng)，低調(diào)地收集情報(bào)而不觸發(fā)任何警報(bào)。

SaaS 安全啟示：對(duì)關(guān)鍵 SaaS 應(yīng)用的入侵保持警惕，這些應(yīng)用往往是國(guó)家級(jí)行為者的目標(biāo)。定期進(jìn)行配置審計(jì)以降低風(fēng)險(xiǎn)，并確保實(shí)施多因素認(rèn)證（MFA）等安全訪問(wèn)控制措施。

主動(dòng)審計(jì)有助于最小化入侵影響并限制利用路徑。

第六人：值得關(guān)注的其他團(tuán)體

Hellcat：一個(gè)在2024年底嶄露頭角的勒索軟件團(tuán)伙，已確認(rèn)對(duì)施耐德電氣（Schneider Electric）發(fā)起攻擊。他們的迅速崛起和初期成功預(yù)示著2025年可能會(huì)采取更激進(jìn)的策略。

Scattered Spider：這個(gè)混合型社交工程團(tuán)伙曾是網(wǎng)絡(luò)犯罪領(lǐng)域的主要參與者，在遭到逮捕和法律打擊后暫時(shí)沉寂。盡管他們的活動(dòng)有所減少，但專家警告稱，現(xiàn)在斷言他們出局還為時(shí)過(guò)早。

這兩個(gè)團(tuán)體都值得關(guān)注——一個(gè)是因?yàn)槠浒l(fā)展勢(shì)頭，另一個(gè)是因?yàn)槠渎曌u(yù)和潛在東山再起的可能性。

2025年的關(guān)鍵要點(diǎn)

• 錯(cuò)誤配置仍是主要目標(biāo)：威脅行為者繼續(xù)利用被忽視的SaaS錯(cuò)誤配置，獲取關(guān)鍵系統(tǒng)和敏感數(shù)據(jù)的訪問(wèn)權(quán)限。定期審計(jì)、強(qiáng)制MFA和憑證輪換是必不可少的防御措施。
• 身份基礎(chǔ)設(shè)施遭受攻擊：攻擊者利用竊取的憑證、 API操作和隱蔽的數(shù)據(jù)外泄繞過(guò)防御。監(jiān)控憑證泄露、實(shí)施強(qiáng)MFA 、異常檢測(cè)和身份監(jiān)控是防止入侵的關(guān)鍵。
• 影子IT和供應(yīng)鏈成為切入點(diǎn)：未經(jīng)授權(quán)的SaaS應(yīng)用和應(yīng)用間集成會(huì)產(chǎn)生隱藏的漏洞。持續(xù)監(jiān)控、主動(dòng)監(jiān)督和自動(dòng)化修復(fù)對(duì)于降低風(fēng)險(xiǎn)至關(guān)重要。

多層SaaS安全解決方案的基礎(chǔ)始于自動(dòng)化的持續(xù)風(fēng)險(xiǎn)評(píng)估，并將持續(xù)監(jiān)控工具集成到安全管理中。

這并非他們的最后一舞，安全團(tuán)隊(duì)必須時(shí)刻保持高度警惕，為迎接新的一年做好準(zhǔn)備，繼續(xù)抵御全球最活躍的威脅行為者。

而不是等待下一次的入侵。

參考鏈接：https://thehackernews.com/2025/01/from-22m-in-ransom-to-100m-stolen.html