【安全资讯】2026年网络威胁新态势：传统泄露监控已失效，信息窃取软件成企业安全新挑战

概要：

在2026年的网络安全格局中，被盗凭证已成为顶级安全威胁，但许多企业仍依赖过时的“打勾式”监控方案，这带来了巨大的风险。根据Lunar平台的研究，尽管85%的组织将凭证泄露视为高风险，但多数防御措施存在严重盲点，尤其是在应对日益猖獗的信息窃取软件（Infostealer）方面。本文将深入分析传统监控的不足，并揭示现代凭证窃取攻击的完整链条与核心技术细节。

主要内容：

信息窃取软件的威胁远超企业普遍认知。2025年，仅Lunar平台就观测到41.7亿条被盗凭证记录。攻击者利用LummaC2、Rhadamanthys、Atomic macOS Stealer等恶意软件家族，通过零日漏洞、恶意软件包、钓鱼邮件等多种载体感染设备。这些软件已发展为成熟产品，具备订阅制、控制面板，并能大规模窃取浏览器保存的登录凭证、会话Cookie和令牌。

传统监控方案存在致命缺陷。许多企业依赖的端点检测与响应（EDR）和零信任架构，无法保护员工从未受管理的家庭设备登录关键SaaS服务的行为。高达60%的组织每月仅检查一次或根本不检查凭证暴露情况，且通用监控工具缺乏法证细节，无法提供受感染账户、设备及被盗会话Cookie的具体信息。

一次典型的信息窃取攻击链条高效而隐蔽。攻击可在数小时内完成：设备感染后，窃密软件提取凭证并发送给操作者；凭证被打包成日志在地下市场出售；攻击者利用有效的会话令牌直接访问企业网络和第三方门户，完全绕过登录页面和多因素认证（MFA），在标准认证日志中不留明显痕迹。

构建成熟的泄露监控程序势在必行。这需要转向持续监控模式，整合窃密日志、Telegram频道等关键来源，并通过自动化与SIEM/SOAR等安全堆栈集成，实现凭证重置、会话失效等剧本的端到端执行。企业必须将凭证泄露视为独立的安全领域，配备专属的度量和响应机制，而非依赖零散工具。