【安全资讯】Blackpoint Cyber报告揭示：利用合法访问路径的现代入侵已成主流

概要：

在当今高度互联的商业环境中，远程访问和可信管理工具是组织运营的基石。然而，Blackpoint Cyber发布的《2026年度威胁报告》揭示了一个严峻趋势：这些合法的访问路径正日益成为网络攻击者的主要入侵渠道。报告基于对数千起安全事件的分析，指出攻击者行为已发生显著转变，从依赖漏洞利用转向滥用常规访问权限，这使得攻击更隐蔽、更难以检测，对全球各行业构成了普遍且严重的威胁。

主要内容：

报告指出，攻击者正越来越多地通过合法访问路径而非软件漏洞发起入侵。在所有可识别的事件中，滥用SSL VPN作为初始访问载体的比例高达32.8%，攻击者通常使用被盗但有效的凭证进行认证，从而建立看似合法的VPN会话。一旦进入内部网络，攻击者便能迅速横向移动，访问高价值系统而不易触发警报。

此外，合法的远程监控与管理工具也频繁遭到滥用。RMM工具滥用出现在30.3%的事件中，其中ScreenConnect在恶意RMM案例中占比超70%。由于这些工具是标准IT管理的一部分，未经授权的安装往往与正常活动相似，缺乏强大可见性的环境难以区分。

社会工程学而非漏洞利用，是驱动大多数事件的主要因素。虚假验证码和ClickFix式攻击活动占所有可识别事件的57.5%。这些活动不依赖恶意软件，而是诱骗用户将命令粘贴到Windows运行对话框中，利用系统内置工具执行操作，完全绕过了传统安全检测。

报告总结，成功的入侵普遍依赖于那些能融入正常运营的活动。攻击者滥用日常流程，如远程登录、可信工具和标准用户操作。防御重点应转向将远程访问视为高风险活动、严格管理RMM工具清单、限制未授权软件安装以及实施基于设备状态和会话风险的条件访问控制。这些模式在制造业、医疗保健、金融服务等多个关键行业均有发现。