近日，Unit 42 发布了《2026全球事件响应报告》，该报告分析了全球50 多个国家、覆盖所有主要行业的750余起重大网络安全事件，以揭示新兴攻击模式与防御经验。本报告的目标，是将一线经验转化为决策依据，帮助组织弥补攻击者仍然依赖的漏洞与缺口，在事件演变为数据泄露之前将其阻断。

随着黑客不断调整其攻击手段，我们总结出了黑客屡屡得手的6大绝招：

AI 正在压缩攻击时间线

在我们调查的最快案例中，攻击者仅用 72 分钟便从初始访问推进至数据外泄，速度较去年提升 4 倍。我们已观察到 AI 被广泛用于侦察、钓鱼攻击、脚本编写与操作执行，使攻击能够以机器级速度规模化开展。

身份成为主要攻击载体

在近 90% 的调查中，身份薄弱环节发挥了实质性作用。多数情况下，攻击者并非“攻破”系统，而是使用窃取的凭证与令牌直接“登录”，随后利用分散且碎片化的身份环境进行权限提升与横向移动，而不会触发传统防御机制。

供应链风险驱动运营中断

在 23% 的事件中，攻击者利用第三方SaaS应用展开行动。通过滥用受信集成接口、供应商工具及应用依赖关系，他们绕过传统边界防护，使攻击影响范围远超单一系统。

攻击复杂度持续上升

我们发现87%的入侵涉及多个攻击面的活动。攻击几乎不会停留在单一环境中，而是跨终端、网络、云环境、SaaS与身份体系协同展开，迫使防御者必须同时监控所有环境。

浏览器成为主要战场

近48%的事件包含浏览器相关活动。这反映出现代攻击与日常工作流程高度交织——电子邮件、网页访问及日常SaaS使用等正常用户行为，正在被转化为攻击载体。

勒索策略超越加密阶段

基于加密的勒索活动较去年下降15%。越来越多攻击者跳过加密环节，直接转向数据窃取与业务干扰。从攻击者视角来看，这种方式更快、更隐蔽，并能在缺少传统勒索信号的情况下更快得手。

尽管攻击速度与自动化程度不断提升，但我们响应的大多数事件并非始于颠覆性的新技术，而是反复出现的防御缺口。在许多案例中，攻击者依赖的不是复杂漏洞利用，而是被忽视的暴露点。

1）环境复杂性削弱防御能力

在超过90%的调查事件中，配置错误或安全覆盖缺口在实质上导致了攻击成功。一个重要原因是工具泛滥。许多组织部署了50种以上安全产品，使一致性部署控制措施和清晰理解数据含义变得极其困难。

2）可视性缺口延误检测

在许多响应过程中，攻击信号其实已经存在。事后取证回溯时，证据清晰地存在于日志中。但在攻击进行期间，团队需要从多个割裂的数据源拼接信息，导致在最关键的早期阶段延误检测。

3）过度信任扩大影响范围

一旦攻击者取得立足点，过于宽松的访问控制与未受管理的令牌往往使其移动范围远超预期。我们反复看到，身份信任关系将单一被攻破账户转化为广泛横向移动与权限升级。

攻击者在工具与战术上持续进化，但他们最常利用的仍是现代企业环境中的复杂性、可视性不足与过度信任。

在750余起一线调查中，有三项优先事项在与CISO及安全团队的对话中反复出现。

1）降低暴露面（Reduce Exposure）

我们看到的许多攻击始于团队未意识到的暴露点——第三方集成接口、未受管理的SaaS连接，或日常浏览器活动。降低暴露面意味着对整个应用生态系统实施安全控制，并以与核心基础设施同等的审慎态度审视所有受信连接。

2）缩小影响范围（Reduce Area of Impact）

攻击者进入后，事件是否可控往往取决于身份管理。收紧身份与访问管理，消除不必要的信任关系，可限制攻击者移动范围与潜在破坏程度。

3）提升响应速度（Increase Response Speed）

初始访问后的数分钟，往往决定事件是否升级为数据泄露。安全团队需要跨环境的可视性，并能够利用AI进行检测、识别与优先级排序，使SOC能够以机器速度遏制威胁，快于攻击者的行动节奏。